Ogni applicazione, incluso il malware, ha uno schema distinto dalle sue azioni, dalle dimensioni dei file, dagli hash dei file e dal codice compilato. Questo modello è chiamato firma. Il rilevamento delle intrusioni basato su firme esamina il traffico in una rete per rilevare le firme software dannose. Sebbene si tratti di una vecchia forma di rilevamento di malware, il rilevamento basato su firme è accurato e ancora fattibile nella sicurezza informatica e nella data protection.
Che cos'è il rilevamento delle intrusioni basato sulla firma?
Il rilevamento delle intrusioni basato su firme identifica le minacce confrontando l'attività del sistema con un database di schemi di attacco noti o firme per rilevare comportamenti dannosi.
Il malware, come qualsiasi altro programma, viene compilato in un linguaggio informatico binario. Il suo codice compilato può essere sottoposto a hash per creare una firma univoca, ma anche altre caratteristiche possono creare una firma. Le azioni che il malware esegue insieme al suo codice in-memory possono determinarne la firma univoca. Alcuni malware visualizzano frasi degli autori memorizzate nella memoria, mentre altri memorizzano file specifici in posizioni specifiche, che vengono inserite anche nel pattern specifico.
Il malware moderno spesso comunica con una posizione di comando e controllo (C2). Il malware ha indirizzi IP o nomi di dominio codificati per comunicare con l'autore. La comunicazione informa l'autore dell'attacco che una macchina mirata sta eseguendo il malware e che l'attacco è andato a buon fine. I firewall e i sistemi di rilevamento delle intrusioni possono rilevare le richieste di comunicazione su questi indirizzi IP e domini per avvisare gli amministratori di attività sospette.
Come funziona il rilevamento delle intrusioni basato sulla firma
Per utilizzare il rilevamento delle intrusioni basato su firme, è necessario innanzitutto memorizzare le firme malware. Le firme vengono memorizzate in un database, solitamente fornito dal provider di rilevamento delle intrusioni. La firma scelta come indicatore viene decisa dai ricercatori della sicurezza che spesso condividono i risultati in posizioni open source. Ad esempio, il popolare strumento YARA può essere utilizzato per classificare e creare firme malware.
I sistemi di rilevamento delle intrusioni monitorano continuamente il traffico di rete alla ricerca di firme malware. e confrontano il traffico di rete con le firme memorizzate nel database del sistema di rilevamento delle intrusioni. Quando viene rilevata una firma nel traffico, il rilevamento delle intrusioni agisce come gli avvisi agli amministratori.
Vantaggi del rilevamento delle intrusioni basato sulla firma
Poiché le firme sono realizzate a partire da malware, si tratta di un sistema molto più preciso rispetto ad altri sistemi di rilevamento basati su anomalie. Le firme sono statiche, a condizione che l'autore del malware non apporti modifiche e introduca una variante, pertanto il rilevamento delle intrusioni con un database aggiornato presenta pochissimi falsi positivi. I falsi positivi si verificano quando il rilevamento delle intrusioni segnala un'applicazione in modo errato.
Un altro vantaggio del rilevamento basato su firme è che è veloce e non richiede alcun dato di benchmark. Le firme possono essere identificate rapidamente senza prima raccogliere dati per determinare se l'attività non corrisponde ai benchmark. Ad esempio, il rilevamento basato sulle anomalie richiede un benchmark di attività sui file prima di poter determinare se troppe richieste di accesso potrebbero essere malware o attività di rete comuni.
Limitazioni del rilevamento delle intrusioni basato su firme
Per avere firme malware, la minaccia deve essere nota. Le minacce zero-day sono quelle invisibili, quindi non hanno una firma da rilevare. La mancanza di firme nelle minacce zero-day significa che il rilevamento delle intrusioni basato su firme non è in grado di rilevarle. Senza una copertura completa, questo tipo di rilevamento delle intrusioni può dare agli amministratori un falso senso di sicurezza.
Il rilevamento delle intrusioni basato su firme richiede anche più risorse rispetto ad altre forme di rilevamento delle intrusioni. Il traffico viene costantemente confrontato con un elenco di firme in un database e il database delle firme potrebbe contenere milioni di elementi memorizzati. Per il rilevamento delle intrusioni tramite firme, è necessario anche assicurarsi che il database sia costantemente aggiornato. I cloud provider in genere forniscono aggiornamenti, ma lo storage locale potrebbe richiedere interventi manuali da parte degli amministratori di rete.
Casi d'uso e applicazioni
Qualsiasi settore con dati locali e cloud può sfruttare il rilevamento delle intrusioni basato su firme, ma è spesso utilizzato come un unico componente nella data protection. Il rilevamento delle intrusioni basato sulla firma è ideale per identificare immediatamente le minacce note con pochi falsi positivi. Ad esempio, un operatore sanitario può utilizzare questo tipo di rilevamento delle intrusioni per proteggersi da ransomware noti. Ransomware è spesso destinato alle agenzie sanitarie, agli ospedali e alle compagnie assicurative perché spesso dispongono di software obsoleti. La protezione basata su firme può bloccare queste minacce all'istante, specialmente se abbinata a sistemi di prevenzione delle intrusioni.
Le organizzazioni del servizio clienti sono un altro obiettivo comune perché ricevono allegati da esaminare. Se un allegato contiene malware, la firma del malware potrebbe essere rilevata. Il rilevamento delle intrusioni è importante nei segmenti di rete in cui vengono scaricati e archiviati allegati e-mail di terze parti.
Conclusione
La sicurezza informatica a livello aziendale richiede diversi livelli di protezione. Il rilevamento delle intrusioni basato su firme è un livello, ma ne servono altri per proteggere completamente l'ambiente. Grazie alla sicurezza basata su firme, puoi proteggere il tuo ambiente dalle minacce note, che sono un fattore determinante per le violazioni dei dati.
L'archiviazione di firme e altri analytics di sicurezza richiede sistemi di storage affidabili. Pure Storage offre la velocità e la capacità necessarie per ambienti di grandi dimensioni con rilevamento delle intrusioni complesse. Pure Storage ha collaborato con Elasticsearch per velocizzare le ricerche e adottare un'architettura resiliente per la scalabilità.
