Si sente molto parlare di Intelligenza Artificiale, in particolare di uno dei suoi rami pi\u00f9 importanti, come il \"Machine Learning\". Tuttavia, l'Intelligenza Artificiale non \u00e8 una novit\u00e0: \u00e8 presente dalla fine degli anni '50, quando gli scienziati si riunirono a Darthmoud e coniarono il termine nel 1956. Oggi, la sua influenza ha raggiunto diversi settori e aree, tra cui: il settore automobilistico, l'energia, l'industria, il settore bancario, la salute, la difesa informatica e la sicurezza informatica.<\/p>\n\n\n\n
Il Machine Learning consiste nel creare modelli o algoritmi per analizzare i dati, imparare da essi e prevedere il loro possibile comportamento nel tempo o in situazioni stimate. Per questi motivi, il settore della cybersecurity non \u00e8 rimasto immune alla crescita, alla diffusione e all'installazione di tecniche per migliorare la sicurezza informatica, utilizzando modelli e tecniche di Machine Learning, che consentono una risposta pi\u00f9 adeguata e in linea con i requisiti attuali. Queste pratiche migliorano e consentono un'analisi delle minacce e promettono di essere pi\u00f9 efficaci nel fermare o prevenire gli incidenti di sicurezza. Attualmente, troviamo diverse applicazioni dell'intelligenza artificiale, attraverso il Machine Learning, nella cybersecurity informatica, tra cui: il rilevamento di frodi con carte bancarie, il rilevamento di intrusioni, la classificazione di malware e il rilevamento di attacchi denial of service, per esempio. Ne elenchiamo alcune.<\/p>\n\n\n\n
\u00c8 innegabile che la comparsa di Internet abbia portato molti vantaggi e miglioramenti nelle condizioni di vita di molte persone. Ad esempio, il telelavoro e l'istruzione virtuale sono due aree o settori che hanno beneficiato degli strumenti e delle piattaforme per lavorare a casa o studiare senza essere immersi nei caotici e costanti problemi di trasporto e insicurezza. delle nostre grandi citt\u00e0.<\/p>\n\n\n
Un altro settore che ha beneficiato dello sviluppo e della massificazione di Internet \u00e8 stato senza dubbio il commercio elettronico. Le aziende sono state immerse nella necessit\u00e0 di creare nuovi media e strategie di comunicazione con i propri clienti, che permettano loro di ottenere il volume di vendite necessario per migliorare i profitti; per questo motivo, il commercio elettronico \u00e8 uno strumento prezioso per il reparto vendite delle aziende. Ma, d'altra parte, cos\u00ec come sono aumentati i benefici e i vantaggi dell'utilizzo di Internet in molteplici strumenti, piattaforme, siti di consultazione, portali finanziari e bancari, ecc. \u00e8 anche vero che sono aumentati i rischi, le minacce e le possibilit\u00e0 di intrusioni da parte di persone senza scrupoli e malintenzionate.<\/p>\n\n\n\n
L'espansione e lo sviluppo accelerato delle comunicazioni, la massificazione dei dispositivi mobili e intelligenti e l'avanzamento di tecnologie come l'Internet delle cose (IoT) ne hanno aumentato l'importanza e la complessit\u00e0; \u00e8 qui che la scienza dei dati ha la possibilit\u00e0 di ottimizzare i meccanismi di analisi dei requisiti nei sistemi informatici e di generare una migliore opzione contro i diversi tipi di rischi per la sicurezza oggi esistenti.<\/p>\n\n\n\n
D'altra parte, gli attacchi e le intrusioni nei sistemi informatici, nei siti Web e nelle applicazioni continuano ad aumentare con sempre maggiore frequenza, rendendo indispensabile l'utilizzo di meccanismi autonomi per prevenire danni o perdite di informazioni. La sicurezza dei dati aziendali, dei dati personali e delle applicazioni mission-critical sono aspetti che le organizzazioni devono evitare a tutti i costi che vengano compromessi. \u00c8 qui che entrano in gioco la costante evoluzione e il miglioramento delle tecniche di apprendimento automatico, che prendono in considerazione dati storici o attuali, con l'intento di fare previsioni o proiezioni su una certa gamma di dati, o in certi periodi di tempo, per poter stabilire analogie, in relazione a modelli o caratteristiche di comportamento. <\/p>\n\n\n\n
Va tenuto presente che, grazie all'apprendimento automatico, un sistema informatico pu\u00f2 individuare comportamenti strani e situazioni anomale in grandi quantit\u00e0 di dati, noti come modelli. Il machine learning individua situazioni anomale che vogliono infiltrarsi nella rete di un sistema. Le soluzioni possibili sono due: IDS euristici e IDS basati su regole.<\/p>\n\n\n
L'IDS \u00e8 il sistema di rilevamento delle intrusioni responsabile del monitoraggio del traffico in entrata e in uscita di un sito web e della registrazione del suo comportamento. Consente una supervisione che rileva le attivit\u00e0 sospette e genera avvisi al momento del rilevamento. Sulla base di questi avvisi, un analista del centro operativo di sicurezza (SOC) o un soccorritore pu\u00f2 indagare sul problema e intraprendere le azioni appropriate per correggere la minaccia. Gli IDS sono progettati per essere distribuiti in ambienti diversi. Come molte altre soluzioni di cybersecurity, un IDS pu\u00f2 essere basato su host o su rete. Vediamo ora di conoscere meglio i diversi tipi di IDS.<\/p>\n\n\n\n
IDS basati su host (HIDS):<\/strong> Un HIDS viene distribuito su un particolare endpoint progettato per proteggere dalle minacce interne ed esterne. Questo tipo di IDS pu\u00f2 essere in grado di monitorare il traffico di rete in entrata e in uscita del computer, osservare i processi in esecuzione e ispezionare i registri di sistema. La visibilit\u00e0 di un HIDS \u00e8 limitata al computer host, il che riduce il contesto in cui prendere decisioni. Tuttavia, ha una visibilit\u00e0 profonda sui componenti interni del computer host.<\/p>\n\n\n\n IDS basati sulla rete (NIDS):<\/strong> Un NIDS \u00e8 progettato per monitorare un'intera rete protetta. Ha visibilit\u00e0 su tutto il traffico che scorre attraverso la rete ed effettua determinazioni in base ai metadati e ai contenuti dei pacchetti. Questa visione pi\u00f9 ampia fornisce un contesto pi\u00f9 ampio e la capacit\u00e0 di rilevare minacce pervasive. Tuttavia, questi sistemi non hanno visibilit\u00e0 sui componenti interni degli endpoint che proteggono. \u00c8 consigliabile una soluzione di gestione delle minacce unificata, che integri le tecnologie in un unico sistema per fornire una sicurezza pi\u00f9 completa. A causa dei diversi livelli di visibilit\u00e0, l'implementazione di un HIDS o di un NIDS isolato fornisce una protezione incompleta del sistema di minacce per un'organizzazione.<\/p>\n\n\n Le soluzioni IDS si differenziano per il modo in cui identificano le potenziali intrusioni:<\/p>\n\n\n\n Rilevamento della firma -<\/strong> Le soluzioni di sistema di rilevamento delle intrusioni basate sulle firme utilizzano le impronte digitali delle minacce informatiche conosciute per identificarle. Una volta identificato il malware o altro contenuto dannoso, viene generata una firma che viene aggiunta all'elenco utilizzato dalla soluzione IDS per la scansione dei contenuti in entrata. Ci\u00f2 consente a un IDS di raggiungere un elevato tasso di rilevamento delle minacce senza falsi positivi, poich\u00e9 tutti gli avvisi sono generati sulla base del rilevamento di contenuti dannosi noti. Tuttavia, un IDS basato sulla firma si limita a rilevare le minacce informatiche note e non le vulnerabilit\u00e0.<\/p>\n\n\n\n Rilevamento delle anomalie -<\/strong> Le soluzioni di rilevamento delle intrusioni basate sulle anomalie creano un modello del comportamento \"normale\" del sistema protetto. Tutti i comportamenti futuri vengono controllati in base a questo modello e le anomalie vengono etichettate come potenziali minacce informatiche e attivano gli avvisi. Sebbene questo approccio sia in grado di rilevare nuove minacce informatiche, la difficolt\u00e0 di creare un modello accurato di comportamento \"normale\" significa che questi sistemi devono bilanciare i falsi positivi con i falsi negativi.<\/p>\n\n\n\n Rilevamento ibrido<\/strong> Un IDS ibrido utilizza sia il rilevamento basato sulle firme che quello basato sulle anomalie. Ci\u00f2 consente di rilevare un numero maggiore di potenziali attacchi con un tasso di errore inferiore rispetto all'utilizzo isolato di uno dei due sistemi.<\/p>\n\n\n I sistemi IDS e i firewall sono soluzioni di cybersecurity che possono essere implementate per proteggere un endpoint o una rete. Tuttavia, le loro finalit\u00e0 differiscono in modo significativo. Un IDS \u00e8 un dispositivo di monitoraggio passivo che rileva potenziali minacce informatiche e genera avvisi, consentendo agli analisti di un SOC di risposta agli incidenti di indagare e rispondere al potenziale incidente. Tuttavia, non fornisce una protezione assoluta per l'endpoint o la rete. D'altra parte, un firewall \u00e8 progettato per agire come un sistema di protezione che analizza i metadati dei pacchetti di rete e consente o blocca il traffico in base a regole predefinite, creando un limite che alcuni tipi di traffico o protocolli non possono superare.<\/p>\n\n\n\n In altre parole, un firewall \u00e8 un dispositivo di protezione attiva, pi\u00f9 simile a un sistema di prevenzione delle intrusioni (IPS). Un IPS \u00e8 simile a un IDS, ma blocca attivamente le minacce informatiche identificate invece di limitarsi a lanciare un allarme. L'IDS integra le funzionalit\u00e0 di un firewall e molti firewall di nuova generazione (NGFW) sono dotati di funzionalit\u00e0 IDS\/IPS integrate, che consentono di applicare regole di filtraggio predefinite e di rilevare e rispondere alle minacce informatiche pi\u00f9 sofisticate (IDS\/IPS).<\/p>\n\n\n \u00c8 la soluzione che parte da una corrispondenza con i pattern in modo che il sistema sia in grado di rilevarli automaticamente e lanciare un avviso. Alcuni esempi sono Snort, Suricata, Ossec, Samhain, Bro o Kismet. Tutti questi sistemi si basano su regole che devono essere preconfigurate per funzionare automaticamente e senza supervisione. \u00c8 inoltre importante ricordare che la loro efficacia dipende dall'aggiornamento dei loro database sulle minacce conosciute.<\/p>\n\n\n Un sistema IDS \u00e8 un componente che deve essere presente nell'implementazione della cybersecurity di qualsiasi organizzazione. Un semplice firewall costituisce la base della sicurezza della rete, ma molte minacce informatiche avanzate possono passare inosservate. Un IDS aggiunge un'ulteriore linea di difesa informatica, rendendo difficile per un cyber-attaccante accedere alla rete di un'organizzazione senza essere individuato.<\/p>\n\n\n\n Quando si sceglie un IDS, \u00e8 importante considerare lo scenario di implementazione. In alcuni casi, un sistema di rilevamento delle intrusioni pu\u00f2 essere la soluzione migliore, mentre in altri la protezione integrata di un IPS pu\u00f2 essere un'opzione migliore. Un NGFW con funzionalit\u00e0 IDS\/IPS integrate fornisce una soluzione integrata e semplifica il rilevamento delle minacce informatiche e la gestione della sicurezza.<\/p>\n\n\n\nMetodi di rilevamento IDS<\/strong><\/h2>\n\n\n
IDS e firewall<\/strong><\/h2>\n\n\n
IDS basati su regole<\/strong><\/h2>\n\n\n
Come scegliere una soluzione IDS?<\/strong><\/h2>\n\n\n