Estratto del documento

Corso di "sicurezza dei sistemi informatici in Internet"

Corso tenuto nell’A.A. 2021/2022 dal prof. Massimo Carnevali presso l’Università degli Studi di Ferrara. Licenza Creative Commons 4.0 International: BY-SA. Documento derivato dall’elaborazione del materiale didattico fornito dal prof. Massimo Carnevali per il corso “Sicurezza dei sistemi informatici in Internet” presso l’Università degli Studi di Ferrara.

Gestione degli incidenti

Created @November 1, 2021 6:33 PM. Last edit @December 19, 2021 3:47 PM. Slide 8.

Indice

  • System & Networks Monitoring
  • Intrusion Detection System (IDS)
  • Svantaggi e debolezze dell’intrusion detection
  • Intrusion Prevention System (IPS)
  • Gestione dei Log
  • SIEM (Security Information & Event Management)
  • Damage Control
  • Piano per la gestione degli incidenti informatici (Incident Response Plan)
  • Incident Response Team
  • Honeypots
  • Sandbox
  • Canary

System & networks monitoring

È necessario per garantire e controllare la disponibilità dei dati; non è da sottovalutare la sua funzione in chiave di identificazione di compromissioni della sicurezza. È necessario stabilire una baseline affidabile, facendo le seguenti considerazioni:

  • Un server sta facendo traffico anomalo?
  • Un client sta cercando di collegarsi ad altri client?
  • Un client produce una quantità di traffico anomalo?
  • Un utente crea numerose sessioni da/verso Internet?
  • Un’applicazione varia il pattern delle sue transazioni?
  • Una linea si satura improvvisamente?

Stabilire una baseline significa stabilire una situazione normale, per poi essere in grado di capire le anomalie.

Intrusion Detection System (IDS)

Gli Intrusion Detection System (IDS) sono metodologie e tecniche per scoprire attività anomale, scorrette o non appropriate nei sistemi e nelle reti. Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer. Gli IDS catturano il traffico che passa sulla rete eseguendo un filtro su tre livelli:

  • Primo livello: estrae il traffico da analizzare, con regole o campionamento.
  • Secondo livello: analizzatore del traffico sospetto (pattern matching o statistical: identifica anomalie e la loro frequenza).
  • Terzo livello: modulo di intervento (logging, alerting).

Il traffico viene catturato tramite un adattatore di rete configurato in modalità promiscua (shared media) oppure collegato ad una porta di mirroring dello switch. Un IDS è composto da quattro componenti:

  • Uno o più sensori utilizzati per ricevere le informazioni dalla rete o dai computer.
  • Un motore che analizza i dati prelevati dai sensori e provvede a individuare eventuali falle nella sicurezza informatica.
  • Una console utilizzata per monitorare lo stato della rete e dei computer.
  • Un database cui si appoggia il motore di analisi e dove sono memorizzate una serie di regole utilizzate per identificare violazioni della sicurezza.

Il più semplice IDS è un dispositivo che integra tutte le componenti in un solo apparato. Gli IDS si possono suddividere anche a seconda di cosa analizzano:

  • Host-based: solitamente sta sul server e consiste in un agente che analizza l’host alla ricerca di intrusioni, attraverso un auditing sistematico dei log di sistema e del filesystem. Le intrusioni vengono rilevate analizzando l'I/O, i processi e le attività nella rete; un esempio di rilevamento può essere a seguito di modifiche al file system del pc sul quale è installato (modifiche nel file della password, nel database degli utenti e della gestione dei privilegi ecc.). L'auditing può essere real-time o scheduled.
  • Network-based: analizzano il traffico della rete per identificare intrusioni, permettendo quindi di monitorare non solo un singolo host ma una rete completa. È un sistema che “sniffa” il traffico cercando tracce di attacchi.

L'analisi può essere fatta:

  • Online: in tempo reale si vede cosa succede.
  • Offline: dopo aver subito un attacco si controllano i log per capire da dove è partito.

È sempre necessario avere una baseline per definire cosa è normale sia sulla rete che sui server. Un IDS può prevedere anche un autoapprendimento, ossia diventa in grado di capire cosa dover segnalare e farlo al verificarsi di certe condizioni. Per gli IDS si identificano due categorie base:

  • Sistemi basati sulle firme (signature): usano tecniche in modo analogo a quelle per il rilevamento dei virus, che permette di bloccare file infetti.
  • Sistemi basati sulle anomalie (anomaly): utilizzano un insieme di regole che permettono di distinguere ciò che è "normale" da ciò che è "anormale".

Svantaggi e debolezze dell’intrusion detection

Un IDS non può bloccare o filtrare i pacchetti in ingresso ed in uscita, né tanto meno può modificarli. Un IDS può essere paragonato ad un antifurto, mentre i...

Anteprima
Vedrai una selezione di 4 pagine su 12
Appunti Gestione degli incidenti Pag. 1 Appunti Gestione degli incidenti Pag. 2
Anteprima di 4 pagg. su 12.
Scarica il documento per vederlo tutto.
Appunti Gestione degli incidenti Pag. 6
Anteprima di 4 pagg. su 12.
Scarica il documento per vederlo tutto.
Appunti Gestione degli incidenti Pag. 11
1 su 12
D/illustrazione/soddisfatti o rimborsati
Acquista con carta o PayPal
Scarica i documenti tutte le volte che vuoi
Dettagli
SSD
Scienze matematiche e informatiche INF/01 Informatica

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher elefante1234 di informazioni apprese con la frequenza delle lezioni di Sicurezza dei sistemi informatici e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università degli Studi di Ferrara o del prof Carnevali Massimo.
Appunti correlati Invia appunti e guadagna

Domande e risposte

Hai bisogno di aiuto?
Chiedi alla community