Un Intrusion Prevention System (IPS) è una tecnologia di sicurezza di rete / prevenzione delle minacce che esamina i flussi di traffico di rete per rilevare e prevenire exploit di vulnerabilità. Gli exploit di vulnerabilità di solito si presentano sotto forma di input dannosi per un’applicazione o un servizio di destinazione che gli aggressori utilizzano per interrompere e ottenere il controllo di un’applicazione o di una macchina., A seguito di un exploit riuscito, l’utente malintenzionato può disabilitare l’applicazione di destinazione (con conseguente stato di denial of service) o potenzialmente accedere a tutti i diritti e le autorizzazioni disponibili per l’applicazione compromessa.

Prevenzione

L’IPS spesso si trova direttamente dietro il firewall e fornisce uno strato complementare di analisi che seleziona negativamente per i contenuti pericolosi., A differenza del suo predecessore l’Intrusion Detection System (IDS)—che è un sistema passivo che analizza il traffico e riporta le minacce-l’IPS è posizionato in linea (nel percorso di comunicazione diretta tra origine e destinazione), analizzando attivamente e intraprendendo azioni automatizzate su tutti i flussi di traffico che entrano nella rete., In particolare, queste azioni includono:

  • Invio di un allarme all’amministratore (come si vedrebbe in un IDS)
  • Eliminazione dei pacchetti dannosi
  • Blocco del traffico dall’indirizzo di origine
  • Ripristino della connessione

Come componente di sicurezza in linea, l’IPS deve funzionare in modo efficiente per evitare di degradare le prestazioni della rete. Deve anche funzionare velocemente perché gli exploit possono accadere quasi in tempo reale. Gli IP devono anche rilevare e rispondere in modo accurato, in modo da eliminare minacce e falsi positivi (pacchetti legittimi interpretati male come minacce).,

Rilevamento

L’IPS ha una serie di metodi di rilevamento per la ricerca di exploit, ma il rilevamento basato sulla firma e il rilevamento basato su anomalie statistiche sono i due meccanismi dominanti.

Il rilevamento basato sulla firma si basa su un dizionario di pattern (o firme) univocamente identificabili nel codice di ciascun exploit. Quando viene scoperto un exploit, la sua firma viene registrata e memorizzata in un dizionario di firme in continua crescita. Il rilevamento delle firme per IPS si suddivide in due tipi:

  1. 1., Le firme exploit-facing identificano i singoli exploit attivando i modelli unici di un particolare tentativo di exploit. Gli IP possono identificare exploit specifici trovando una corrispondenza con una firma exploit-facing nel flusso di traffico
  2. 2. Le firme rivolte alla vulnerabilità sono firme più ampie che mirano alla vulnerabilità sottostante nel sistema che viene preso di mira. Queste firme consentono alle reti di essere protette da varianti di un exploit che potrebbero non essere state osservate direttamente in natura, ma aumentano anche il rischio di falsi positivi.,

Il rilevamento statistico delle anomalie preleva campioni di traffico di rete in modo casuale e li confronta con un livello di prestazioni di base pre-calcolato. Quando il campione di attività del traffico di rete è al di fuori dei parametri delle prestazioni di base, l’IPS interviene per gestire la situazione.

IPS è stato originariamente costruito e rilasciato come dispositivo autonomo a metà degli anni 2000., Questo, tuttavia, è stato nell’avvento delle implementazioni odierne, che ora sono comunemente integrate in soluzioni UTM (Unified Threat Management) (per le piccole e medie imprese) e firewall di nuova generazione (a livello aziendale).