Il settore della sicurezza informatica è pieno di tecnologie che funzionano, ma che non fanno abbastanza, tecnologie che vendono, ma che non sono particolarmente convenienti dal punto di vista del rapporto costi-benefici.
Una delle tecnologie di sicurezza più diffuse e che normalmente non è troppo vantaggiosa è costituita dai sistemi di rilevazione/prevenzione delle intrusioni. Alcuni produttori potrebbero provare a convincervi che tutte le aziende e tutti gli utenti hanno bisogno di questa tecnologia, ma non è del tutto vero.
In particolare, per le aziende di piccole dimensioni bisognerebbe valutare con molta attenzione se l’adozione di sistemi di questo tipo sia effettivamente vantaggioso.
TECNOLOGIE NIDS E NIPS
L’idea di base dei cosiddetti network based instruction detection e intrusion prevention systems (rispettivamente NIDS e NIPS), sembra decisamente interessante.
Collegate alla vostra rete locale una macchina in grado di controllare tutto il traffico e, in base a varie analisi, questa macchina sarà in grado di avvisarvi se siete sotto attacco (nel caso dei NIDS ) e perfino filtrare il traffico inerente all’attacco (nel caso delle NIPS).
Ovviamente il fatto di poter tenere sotto controllo tutto ciò che accade sulla rete è molto interessante, soprattutto perché è un qualcosa di normalmente impossibile da fare. Ma appena attiverete per la prima volta il vostro nuovo sistema contro le intrusioni , vedrete immediatamente dove sta il problema: verrete letteralmente inondati di messaggi d’allarme con una regolarità di quasi 10.000 allarmi al giorno.
Ovviamente non tutti questi allarmi corrispondono a intrusioni reali, ma è chiaro che per estrarre un qualche tipo di valore dai dati è necessario poter separare i pochi allarmi reali dai moltissimi allarmi irrilevanti.
Perché i sistemi anti-intrusione generano così tanti allarmi? Chiaramente esistono moltissimi falsi positivi, ma questo è solo parte del problema.
INTERNET È SOTTO ATTACCO
Ciò che accade è che internet è zeppa di programmi automatici che navigano alla ricerca di bachi di sicurezza da sfruttare, tutta Internet è continuamente sotto attacco. Chiunque gestisca un server che prevede delle password d’accesso vedrà nei log una miriade di tentativi di login. I malintenzionati cercano di penetrare nelle macchine anche tentando di indovinare a caso le password e quindi, dal punto di vista di un sistema
contro le intrusioni, non va certo considerato come falso positivo un tentativo di accesso fallito.
Il punto è che gran parte di questi attacchi è destinato al fallimento, ma pochi altri potranno avere successo, per esempio se gli utenti della rete locale usano password facili e quindi non è possibile ignorare tutti gli allarmi, anzi al contrario sarà necessario interpretarli per cercare di capire se riguardano una vera minaccia, cosa che richiede sempre molto tempo, risorsa di cui la maggioranza degli utenti e delle aziende non dispone.
