Superati i problemi prestazionali, che caratterizzavano le soluzioni di prima generazione, gli Ips si candidano a svolgere un ruolo cardine nella protezione dei sistemi informativi. Oggi, tuttavia, le funzionalità di prevenzione dagli attacchi si trovano anche incorporate all’interno degli switch.
Nella perenne lotta tra chi si dedica all’effrazione di sistemi informativi e chi cerca di prevenirne le mosse, l’ultima frontiera è costituita dai sistemi di prevenzione delle intrusioni. In pratica, si sta affermando il concetto che, invece di correggere a posteriori i danni subiti, sia preferibile impedire in modo preventivo gli attacchi che, sempre più spesso, mettono in pericolo le informazioni aziendali vitali per il business. In effetti, la prevenzione, così come da tempo è assodato nel settore della medicina, appare l’approccio più corretto e meno costoso per evitare di subire, o almeno contenere, i danni e assicurare una rapida ripartenza delle attività quando il proprio sistema informativo diventa soggetto ad attacchi che mirano ad alterarne il contenuto o a impossessarsi dei dati ivi residenti. Se dalla teoria concettuale si passa, però, alla pratica i problemi aumentano e, in sostanza, si devono valutare attentamente le alternative presenti sul mercato per procedere a una corretta implementazione delle soluzioni di Ips (Intrusion prevention system).
Diversi approcci
Non tutti quelli proposti come Ips lo sono, tuttavia, nella realtà e, anche tra quelli che lo sono, le differenze in termini di modalità di copertura e capacità di prevenzione sono sovente non trascurabili, soprattutto se rapportate all’investimento richiesto e alle problematiche connesse alla relativa gestione. La prevenzione è un’attività che, essendo volta ad annullare o neutralizzare il più possibile una intrusione, richiede soluzioni che incapsulino in qualche modo il sistema da proteggere. Per far questo, la posizione logica è costituita dal perimetro esterno del sistema da proteggere, sistema che, in relazione alla dimensione dello stesso, può essere costituito da piattaforme con caratteristiche anche molto diverse e andare da una vera e propria rete Ict sino a un suo singolo nodo o al solo desktop.
L’applicazione Ips, una volta attivata, al contrario delle soluzioni convenzionali volte a individuare tentativi di effrazione, non si limita a inviare allarmi quando rileva un’intrusione in corso, demandando le decisioni sulla tipologia di intervento al manager, ma provvede a bloccare l’attacco stesso nel momento in cui ne rileva l’inizio delle attività. Per realizzare la propria funzione, l’applicazione Ips provvede a esaminare ogni singolo pacchetto dati che attraversa il "perimetro" della zona del sistema Ict, con il compito di proteggerlo, e prende, in tempo reale, la decisione se scartarlo o lasciarlo transitare. La decisione viene presa in base all’elemento essenziale di una soluzione Ips, ovvero a un elenco di filtri riferiti in letteratura come "signature", che permette di controllare il traffico in transito alla ricerca di tentativi di attacco alle parti vulnerabili dei sistemi It. Data la frequenza con cui si sviluppano nuove modalità di attacco, emergono come aspetti più qualificanti di una soluzione Ips sia l’accuratezza che la rapidità con cui vengono aggiornati gli elenchi di signature, che risultano il reale elemento differenziante tra le diverse soluzioni presenti sul mercato.
I sistemi di Ips operano un controllo che, generalmente, copre l’intera pila dei livelli Osi (Open system architecture), a partire da quello fisico per arrivare sino a quello applicativo. È questo largo spettro di copertura dei livelli che li differenzia dai tradizionali firewall, che si limitano generalmente ai livelli 3 o 4 (riconducibili, rispettivamente, alla rete e al trasporto). La necessità di esaminare ogni pacchetto, ogni byte del pacchetto oppure ogni singolo bit richiede una notevole capacità elaborativa, perché l’analisi deve necessariamente avvenire in real time senza, idealmente, portare al rallentamento del flusso dati o delle transazioni in transito. Una tale necessità ha portato a Ips che si basano generalmente su motori di packet-processing ottimizzati e basati su Asic (Application specific integrated circuit). Il controllo realizzato prevede che i pacchetti siano classificati in base a informazioni relative alla sorgente e alla destinazione contenute nell’header (quelle che risiedono all’inizio del file) e a quelle del campo di applicazione. La classificazione stessa deve essere, poi, coerente con un esame del contesto, cosa realizzata tramite specifiche modalità di filtering. Lo stesso tipo di filtri e la loro complessità dipende, altresì, dal tipo di attacchi da cui ci si vuole proteggere. Attacchi semplici possono essere individuati con signature parimenti semplici mentre, in altri casi, possono essere necessarie regole più sofisticate. Nel caso del packet flooding, ad esempio, sono necessari filtri che tengano conto di statistiche e siano in grado di rilevare anomalie in un’aggregazione di flussi, ricorrendo a tecniche di correlazione. Una differenziazione nel come viene sviluppato e come opera un sistema Ips deriva dalla natura stessa del fornitore. La classificazione è, in primis, tra quelli che appartengono alla categoria degli esperti di intrusion detection e quelli che sono, invece, fornitori di firewall. Gli appartenenti alla prima categoria da tempo propongono sistemi identificabili come "inline intrusion detection", che sono sostanzialmente assimilabili a quelli di intrusion prevention. Nelle prime generazioni, queste soluzioni hanno spesso rivelato alcune imprecisioni, quali falsi allarmi, che finivano con il penalizzare il grado di prestazioni del sistema It nel suo complesso. Ovviamente, è meglio un falso allarme in più che un allarme vero in meno. Le versioni più recenti hanno, però, affinato le modalità di intervento e risultano molto più affidabili, cosa questa che ne sta spingendo la diffusione.
Prestazioni adeguate
Sostanzialmente diverso è, invece, l’approccio seguito dai sistemi basati su firewall, che dispongono di funzioni che permettono di analizzare in dettaglio i pacchetti dati. Già alcuni dei primi firewall di tipo proxy avevano la possibilità di esaminare il pacchetto dati nei suoi diversi campi, relativi ai livelli del protocollo di rete. Si trattava di un esame che, però, richiedeva una notevole capacità elaborativa e portava a una inevitabile lentezza del sistema, finendo con il costituire un collo di bottiglia per il livello complessivo delle prestazioni. Gli sviluppi in termini di capacità elaborativa, tecniche di analisi e disponibilità a firmware del software di controllo dei pacchetti hanno sostanzialmente rimosso queste criticità. La tecnologia, però, non è una cosa statica. Assunto dimostrato dalla diffusione di soluzioni "distribuite" di funzionalità Ips incorporate in apparati switch e load balancing. Questo approccio sta ottenendo un crescente interesse, perché si basa sul fatto che la rete che contorna in modo fisico un sistema It e gli elementi che la costituiscono sono il punto più logico dove far risiedere le funzioni di prevenzione. Le capacità che contraddistinguono gli switch delle nuove generazioni e la loro tecnica costruttiva basata su Asic permettono, pertanto, di disporre anche di una adeguata capacità elaborativa.
