Rilevare attacchi e situazioni potenzialmente pericolose con gli HIDS: cosa sono

Gli Intrusion detection system (IDS) sono strumenti hardware e/o software che permettono di identificare eventuali accessi non autorizzati alle reti informatiche o comunque rilevare eventuali operazioni sospette, evidente segno di tentativi di aggressione, programmi malevoli o attacchi in corso.

A differenza di un firewall che utilizza un insieme di regole per trattare i pacchetti dati in transito permettendo quelli che devono poter entrare o uscire dalla rete e bloccando quelli non permessi, un IDS controlla lo stato dei pacchetti che girano all’interno della rete locale confrontandone le caratteristiche con quelle che possono essere indizio di una situazione pericolosa.

Mentre un Network intrusion detection system (NIDS) è uno strumento focalizzato sull’analisi del traffico di rete, un Host-based intrusion detection system (HIDS) è un tool specializzato nell’analisi e nel monitoraggio del singolo dispositivo.

Il funzionamento degli HIDS è incentrato sull’analisi dei log generati dal sistema operativo e dalle altre applicazioni installate. I file di registro, si sa, sono complessi da gestire e con il trascorrere del tempo possono raggiungere dimensioni davvero ragguardevoli.
Tra i vantaggi delle soluzioni HIDS ci sono quindi le abilità correlate alla efficace estrazione ed elaborazione delle informazioni contenute nei log: le informazioni registrate nei log sono infatti preziosissime per far emergere comportamenti sospetti posti in essere dagli utenti o da processi/programmi non autorizzati.

Un HIDS basato sull’utilizzo di signature si comporta di fatto come un antimalware mentre un NIDS in maniera simile a un firewall. I prodotti che usano questo approccio cercano nei log o nei pacchetti dati “impronte” riconducibili a processi dannosi.
Altri HIDS e NIDS si concentrano invece sulle “anomalie” rispetto ai comportamenti attesi di utenti, programmi e sistema operativo.

I migliori HIDS disponibili sul mercato

Tra i software opensource, disponibili a costo zero, c’è OSSEC: sviluppato da Trend Micro si tratta di un prodotto che combina funzionalità di HIDS e di NIDS.
Può monitorare in tempo reale il contenuto dei file di log proteggendoli dalle modifiche non autorizzate; le policy configurabili – ve ne sono di già pronte attingendo alle risorse condivise dalla comunità degli utenti – consentono di far venire a galla eventuali anomalie sintomo di comportamenti sospetti meritevoli di approfondimento.

Installabile in Windows, Linux e macOS, OSSEC non dispone di interfaccia grafica (gli utenti abbinano di solito l’utilizzo di Kibana o Graylog) ma consente di monitorare il registro degli eventi di Windows e il registro di sistema oltre all’account root dei vari sistemi operativi.

Tra gli HIDS gratuiti non è possibile non citare Sagan: installabile solo su sistemi macOS e Linux, questo software è comunque capace di raccogliere informazioni preziose dai log di Windows. Sfrutta inoltre sia l’approccio basate su signature che il rilevamento delle situazioni anomale.

Un HIDS “puro”, almeno nella versione free, capace di rilevare le anomalie e inviare tempestivamente delle notifiche all’amministratore di sistema è Splunk.
Questo software dispone di un pannello di controllo di primo livello che attraverso grafici e report riassuntivi consente di avere sempre sotto controllo ciò che sta accadendo sulla rete locale.

SolarWinds, che ha sviluppato e commercializza la soluzione HIDS/NIDS più completa sul mercato (ma anche piuttosto costosa), mette a disposizione degli interessati anche Papertrail, un “aggregatore di log” particolarmente utile che consente di gestire il registro degli eventi di Windows, i messaggi Syslog, i file di log di Apache, i messaggi restituiti da Ruby on Rails, le notifiche provenienti da router e firewall.
Papertrail consta di strumenti per l’analisi delle informazioni e consente di visualizzare i messaggi rilevanti in tempo reale non appena essi vengono aggiunti ai log.
Si tratta tuttavia di una soluzione cloud interamente gestita sui server di SolarWinds: la società garantisce backup e archiviazione dei dati permettendo di risparmiare molto sulle attività di acquisto, configurazione e gestione di server on-premise.

Papertrail utilizza sia metodi di rilevamento basati sulle signature che sul riconoscimento delle anomalie. Gli aggiornamenti delle policy vengono distribuiti traendo beneficio dai rilevamenti occorsi sui sistemi degli altri utenti.

È ovvio che HIDS/NIDS non sono la soluzione per una corretta gestione di tutte le problematiche legate alla sicurezza aziendale. Queste soluzioni consentono però di rilevare e bloccare comportamenti potenzialmente pericolosi (si possono decidere di bloccare, per esempio, tutti i dispositivi USB che non siano stati precedentemente autorizzati).

Per approfondire, suggeriamo la lettura dell’articolo Sicurezza informatica, come difendersi dalle minacce più moderne in ufficio e in azienda.