Differenze tra IDS, IPS e confronto IDS/IPS Event Manager VS. Next-Gen Firewall

Tutti possono essere Hardware, Software, ma più frequentemente combinati, o Cloud-based. Rilevano e agiscono sulla base di sensori.

IDS = Intrusion Detection System: sistema passivo di rilevazione delle intrusioni che si limita a registrare l'evento in un log e ad inviare un avviso all'amministratore di sistema in caso di violazione di certe regole (rules) o in caso di comportamento (behaviour) sospetto.

Snort è un IDS.

IPS = Intrusion Prevention System: sistema posizionato inline con un certo grado di autonomia nella decisione delle azioni da intraprendere in caso di intrusione o attacco al sistema, ovvero di violazione di regole o di anomalie rilevate nell'analisi statistica del traffico o nel controllo delle firme dei (signatures) pacchetti inviati e ricevuti e attuazione delle Policies (non presente negli IDS).

CISCO IPS è un classico IPS.

Entrambi, IDS e IPS possono essere Network-based o Host-based, ovvero, rispettivamente NIDS e HIDS. I NIDS hanno sensori disposti nella rete stessa, mente i HIDS monitorano il traffico direttamente associato ad un particolare host, end point o qualsiasi dispositivo nella rete.

Firewall Next-Gen: sistema che integra un IDS, un Firewall all'esterno che consente determinati servizi, indirizzi in connessione, apertura di porte etc., scandagliando primariamente il traffico, mentre dietro il Firewall è presente l'IPS, che al contrario, nega determinato traffico alla base delle decisioni sulle azioni da eseguire. Spesso sono aggiunte altre features per un'analisi approfondita di ogni tipo di traffico.

Fortinet è uno tra i produttori più importanti di Next-Gen Firewall.

Gli IPS prevedono un utilizzo abbondante delle risorse di rete e di sistema, quindi un Firewall posizionato verso l'esterno della rete che già selezioni permettendo dei tipi di traffico senza dover lasciar fare tutto all'IPS, è necessario laddove si richiedano prestazioni eccellenti e, allo stesso tempo, sicurezza elevata.

Moderni sistemi integrati IDS/IPS ed Event Manager, come SolarWinds, Suricate, OSSIM Alien Vault, OSSEC, etc. molto spesso sono open source, mentre un Firewall Next-Gen ha in genere codice proprietario e costa diverse migliaia di euro.

Qual è la scelta migliore tra Next-Gen Firewall e sistema IDS/IPS/Event Manager?

1. Spesso si desidera una soluzione maggiormente automatizzata, in grado di prendere decisioni autonome in ogni caso; 2. I Next-Gen Firewall prevengono una varietà di attacchi più elevata del semplice IPS standalone. Ad esempio, alcune "Policies" basate sulla predizione, algoritmi di Intelligenza Artificiale, sistema di ispezione dei pacchetti approfondita, si rivelano efficaci nel fermare attacchi che non seguono patterns conosciuti o predefiniti, come gli zero-day e alcuni worm; 3. Si deve tener conto delle necessità, oltre che delle competenze in operazioni di Sicurezza Informatica e che una soluzione combinata di IDS/IPS/SIEM (Event Manager) richede a volte interventi diretti nella gestione dell'intrusione o attacco alla rete o all'host server o all'end point, settando ottimamente e singolarmente i componenti IDS e IPS, il che può essere un vantaggio o uno svantaggio, in base alle suddette caratteristiche di richiesta.

E' sempre necessario valutare se ad un'azienda converrebbe maggiormente investire in personale qualificato in Cybersec o nell'automatizzazione totale, tramite prodotti da migliaia di euro con maggiore potere decisionale, ma anche difficoltà nella gestione volontaria dei singoli componenti.