Un IDS (Intrusion Detection System, sistema di rilevamento delle intrusioni) è un componente di sicurezza che analizza il traffico di rete o l’attività di un sistema alla ricerca di comportamenti anomali o pattern noti di attacco, generando allarmi quando li individua. Un IPS (Intrusion Prevention System) estende questa capacità con la possibilità di bloccare attivamente il traffico sospetto in tempo reale, senza intervento umano. La distinzione è operativa: l’IDS osserva e avvisa, l’IPS osserva e agisce.
Classificazione per posizionamento
- NIDS/NIPS (Network-based): ispeziona il traffico che attraversa un segmento di rete. Posto in linea (IPS) o in modalità promiscua su uno span port (IDS). Ha visibilità sull’intero flusso di rete ma non sul contenuto cifrato senza terminazione TLS.
- HIDS/HIPS (Host-based): gira sul singolo sistema operativo. Monitora chiamate di sistema, modifiche a file critici, log di processo e attività di rete locale. Più granulare, ma non ha visibilità sul traffico tra altri host.
Metodi di rilevamento
I due paradigmi principali determinano il tipo di minacce rilevabili:
Rilevamento basato su firma (signature-based): confronta il traffico o i log con un database di pattern noti (firme). Efficace contro attacchi conosciuti, puntuale e con basso tasso di falsi positivi per firme ben scritte. Non rileva attacchi zero-day o varianti sconosciute di malware.
Rilevamento basato su anomalia (anomaly-based): costruisce un modello statistico del comportamento normale del sistema (baseline) e allarma quando il traffico si discosta significativamente. In grado di rilevare attacchi nuovi, ma produce un numero maggiore di falsi positivi durante la fase di apprendimento e in ambienti ad alta variabilità.
False positivi e falsi negativi
Il compromesso fondamentale è tra sensibilità (capacità di rilevare attacchi reali) e specificità (capacità di non allarmare su traffico legittimo). Una soglia troppo bassa genera alert fatigue negli analisti, che iniziano a ignorare gli allarmi; una soglia troppo alta produce falsi negativi, cioè intrusioni non rilevate. La taratura della baseline è una delle attività più critiche nella gestione di un IDS/IPS.
Integrazione con SIEM
In architetture enterprise, gli IDS/IPS non operano isolati: i loro eventi vengono aggregati da un SIEM, che correla allarmi provenienti da fonti multiple — firewall, endpoint, server di autenticazione — per costruire una visione contestualizzata dell’incidente. Un IDS da solo produce rumore; un IDS integrato in un SIEM produce intelligence.
Limiti
Un IPS in linea introduce latenza e può diventare un single point of failure: se il motore va in crash o viene sopravvariato da traffico volumetrico, l’intera connettività di rete può essere interrotta. Per questo i deployment enterprise prevedono modalità fail-open (lascia passare il traffico in caso di guasto) o fail-closed (blocca tutto), con implicazioni opposte per disponibilità e sicurezza.