Utilizza una soluzione di prevenzione delle intrusioni come Darktrace

Perché è importante adottare un sistema di prevenzione delle intrusioni

Che cos’è un Intrusion Prevention System (IPS)? 

Un sistema di prevenzione delle intrusioni IPS è una forma di sicurezza di rete che rileva e prevede le minacce identificate. Monitora costantemente la rete per rilevare possibili incidenti dannosi e acquisire informazioni in merito. Quindi l'IPS segnala questi eventi all'amministratore di sistema e adotta le misure preventive del caso, come la chiusura dei punti di accesso e la configurazione dei firewall, per impedire attacchi futuri. Le soluzioni IPS possono essere utilizzate anche per identificare problemi nelle politiche di sicurezza aziendali, per fungere da deterrente ed evitare che dipendenti e ospiti della rete violino le regole contenute nelle politiche.

Dato l'elevato numero di punti di accesso di una tipica rete aziendale, è essenziale disporre di un metodo per monitorare i segni di possibili violazioni, incidenti e minacce imminenti. Le moderne minacce alle reti sono sempre più sofisticate e possono infiltrarsi anche nelle soluzioni di sicurezza più solide.


Come funzionano i sistemi di prevenzione delle intrusioni? 

I sistemi di prevenzione delle intrusioni funzionano sottoponendo a scansione tutto il traffico di rete. Un IPS è progettato per prevenire molteplici minacce diverse, come:

  • Attacchi denial-of-service (DoS)
  • Attacchi Distributed Denial of Service (DDoS)
  • Vari tipi di exploit
  • Worm
  • Virus

L’IPS esegue un’ispezione approfondita in tempo reale di ogni pacchetto che viaggia attraverso la rete. Se vengono rilevati pacchetti dannosi o sospetti, l’IPS esegue una delle seguenti azioni:

  • Chiude la sessione TCP vittima dell'attacco e blocca l’indirizzo IP o l’account utente di origine impedendogli l’accesso non autorizzato a ogni applicazione, host target o altra risorsa di rete.
  • Riprogramma o riconfigura il firewall per prevenire un attacco simile in futuro.
  • Rimuove o sostituisce eventuali contenuti dannosi che rimangono nella rete dopo un attacco. Questo avviene con il repackaging dei payload e la rimozione delle informazioni dell’intestazione e degli allegati infetti dai file o dai server di posta elettronica.

Tipi di prevenzione 

Un IPS di solito viene configurato per utilizzare vari approcci volti a proteggere la rete da accessi non autorizzati. Includono:

  • Approccio basato sulla firma – Utilizza firme predefinite di minacce di rete ben note. Quando viene avviato un attacco corrispondente a una di queste firme oppure a uno di questi modelli, il sistema adotta la misura necessaria.
  • Approccio basato sulle anomalie – Monitora la rete per rilevare eventuali comportamenti anomali o imprevisti. Se identifica un’anomalia, il sistema blocca immediatamente l’accesso all’host target.
  • Approccio basato sulle politiche – Richiede agli amministratori di configurare politiche di sicurezza in base all'infrastruttura di rete e alle politiche di sicurezza dell’organizzazione. Quando si verifica un’attività che viola una politica di sicurezza, scatta un allarme che viene inviato agli amministratori di sistema.


Esistono diversi strumenti di monitoraggio delle minacce disponibili online, come Darktrace: se non sei in grado di implementare una di queste soluzioni in autonomia rivolgiti al tuo consulente IT oppure contatta il nostro supporto.