In ambito informatico, il rilevamento degli intrusi è un termine utilizzato per descrivere le varie strategie di sicurezza utilizzate per proteggere una rete di computer dall’accesso e dall’utilizzo da parte di soggetti non autorizzati. A volte indicato come rilevamento delle intrusioni, l’idea di queste misure di sicurezza non è solo quella di proteggere la rete da accessi e usi illegali dall’esterno, ma anche di prevenire violazioni della sicurezza all’interno della rete stessa. Per raggiungere il livello di protezione desiderato, verrà utilizzata una combinazione di risorse per mantenere la rete sempre sicura.
Una delle risorse chiave utilizzate in un sistema di rilevamento degli intrusi è la capacità di limitare l’accesso a diverse informazioni ospitate nei server e nei dischi rigidi dei computer che fanno parte della rete. Questo processo inizia con l’assegnazione dei diritti di accesso ai dipendenti autorizzati. Molti programmi consentono agli amministratori di assegnare vari livelli di diritti, in base alle responsabilità lavorative dell’individuo. Ad esempio, un venditore può essere in grado di accedere alle informazioni di fatturazione relative ai propri clienti, ma non può accedere agli stessi dati per i clienti assegnati ad altri venditori. Allo stesso modo, un responsabile di reparto può avere accesso immediato a qualsiasi informazione rilevante per l’esercizio delle sue funzioni, ma non essere in grado di accedere a informazioni associate ad altri reparti.
Oltre a proteggere l’accesso ai dati tramite codici di accesso, password e anche una serie di domande qualificanti, possono essere necessari altri metodi per verificare l’identità dell’individuo che tenta di accedere alla rete. La tecnologia per consentire le scansioni della retina o la lettura delle impronte digitali viene spesso utilizzata nelle strutture ad alta sicurezza. Nel caso in cui venga effettuato un tentativo da parte di un estraneo di accedere illegalmente alla rete, i protocolli di sicurezza normalmente prevedono il blocco del tentativo e l’avviso al personale all’interno dell’organizzazione di intraprendere le azioni appropriate, inclusa l’individuazione dell’origine del tentativo di violazione e la segnalazione al autorità competenti. Metodi come il monitoraggio dei tasti per registrare e analizzare le sequenze di tasti utilizzate o la considerazione degli eventi delle porte di ingresso utilizzate per entrare nel sistema sono comuni anche con questo tipo di approccio di rilevamento degli intrusi.
Il concetto generale di rilevamento degli intrusi consiste nell’utilizzare una serie di strategie diverse che impediscono l’accesso non autorizzato alle informazioni proprietarie ospitate sulla rete. In genere, i protocolli di sicurezza identificheranno i tentativi e li fermeranno prima che si verifichi una violazione effettiva. Anche quando questi protocolli vengono in qualche modo elusi, funzionalità di sicurezza aggiuntive monitorano e registrano l’attività mentre è in corso, segnalando rapidamente tutto ciò che sembra essere al di fuori dell’ambito delle azioni normalmente associate alle credenziali utilizzate. Poiché gli hacker hanno sviluppato nuovi metodi per entrare nelle reti, anche i metodi impiegati come parte dell’avvio del rilevamento degli intrusi sono diventati più completi, contribuendo a mantenere l’integrità dei dati e a proteggere gli interessi degli individui o delle aziende che possiedono e gestiscono la rete.