Il rilevamento delle intrusioni si occupa di rilevare tentativi non autorizzati di accedere a una rete di computer oa un sistema informatico fisico. Il suo scopo è rilevare eventuali minacce che potrebbero consentire l’accesso a informazioni non autorizzate, influire negativamente sull’integrità dei dati o causare una perdita di accesso all’interno di una rete. Di solito viene implementato attraverso l’uso di un sistema di rilevamento delle intrusioni (IDS) che rileva, registra e registra varie informazioni su altri che si connettono alla rete o accedono a un host fisico. Questi sistemi possono variare da soluzioni software che registrano semplicemente le informazioni sul traffico a sistemi fisici che coinvolgono guardie di sicurezza, telecamere e sensori di movimento.
Esistono tre tipi principali di rilevamento delle intrusioni, inclusi metodi basati sulla rete, basati su host e fisici. I metodi basati sulla rete cercano di contrassegnare il traffico di rete sospetto e in genere utilizzano programmi che registrano il traffico e i pacchetti che passano attraverso una rete. I metodi basati su host cercano possibili intrusioni su un sistema informatico fisico e controllano l’integrità dei file, identificano i rootkit, monitorano le politiche di sicurezza locali e analizzano i registri. I metodi fisici si occupano anche dell’identificazione dei problemi di sicurezza sui dispositivi fisici e utilizzano controlli fisici, come persone, telecamere di sicurezza, firewall e sensori di movimento. In molte attività con dati riservati e sistemi critici, è auspicabile una combinazione di questi metodi per la massima sicurezza possibile.
I sistemi di rilevamento delle intrusioni di solito non impediscono il verificarsi di intrusioni; invece, registrano semplicemente gli eventi che si verificano in modo che altri possano raccogliere e analizzare le informazioni. Sebbene ciò sia particolarmente vero per i metodi di rilevamento delle intrusioni basati su rete e host, ciò potrebbe non essere vero per alcuni metodi fisici, come firewall e personale di sicurezza. I firewall spesso offrono la possibilità di bloccare il traffico sospetto e possono scoprire cosa è consentito e cosa non è consentito l’accesso. Il personale di sicurezza può anche impedire alle persone di entrare fisicamente in un’azienda o in un data center e le trappole monitorate e i sistemi di controllo degli accessi sono altri metodi fisici che possono impedire a qualcuno di entrare.
I limiti dei sistemi di rilevamento delle intrusioni significano che molte organizzazioni utilizzano anche un sistema di prevenzione delle intrusioni (IPS) per intervenire quando si verificano attività sospette. Molti di questi sistemi includono le funzioni di un sistema di rilevamento delle intrusioni e forniscono un sistema di sicurezza più completo che è utile quando è fondamentale rispondere alle violazioni della sicurezza. Quando l’IPS rileva traffico sospetto o violazioni dei criteri, intraprende l’azione configurata nei suoi criteri. I dipendenti della sicurezza delle informazioni o gli amministratori di sistema di solito configurano i criteri utilizzati dall’IPS per rispondere a ciascun evento.