Le performance della rete sono un indicatore chiave della produttività e integrità di un'azienda. Per una azienda è fondamentale quello di mantenere un flusso di lavoro della rete regolare, ma questo obiettivo non è affatto semplice da raggiungere. Le reti aziendali sono esposte a rischi, tra i quali attività non autorizzate conseguenti a intrusioni mirate: intrusioni che possono avvenire sia sfruttando vulnerabilità presenti nella rete, sia tramite backdoor. 

Queste intrusioni, che i cyberattaccanti possono tentare per diversi scopi, hanno in comune il fatto che comportano sicuramente spiacevoli e pericolose conseguenze per le aziende: dalla perdita dei dati ad un sovrautilizzo delle risorse e così via. Ecco perchè i team di sicurezza IT cercano di rilevare in modo proattivo le intrusioni nella rete aziendale. I team IT devono quindi conoscere dettagliatamente le tipologie di intrusioni e di attacchi ad una rete, di modo che possano impostare in maniera conseguente ai rischi effettivi i sistemi di rilevamento e prevenzione . 

La conoscenza sul tema inizia con l'identificazione del tipo di vettore di attacco. 

Le intrusioni in questo tipo di attacco avvengono da vari percorsi verso il dispositivo di destinazione. I pacchetti di dati finalizzati all'intrusione in rete bypassano i sensori per raggiungere il target: l'attaccante cerca di sovvertire il meccanismo di routing, tentando di far credere alla macchina attaccata che il pacchetto per l'intrusione provenga in realtà da una macchina fidata. 

Molto spesso le reti vengono violate sfruttando le vulnerabilità dei software esistenti oppure tramite l'utilizzo di credenziali rubate. E' un tipo di attacco molto comune, perchè tutte le aziende utilizzano sia software che sistemi operativi.

La CGI è una tecnologia standard usata dai web server per interfacciarsi con applicazioni esterne e generare così contenuti web. Gli script CGI sono usati nelle reti per supportare le connessioni tra server e client nel web, quindi sono necessari: possono però essere manipolati da attaccanti esterni affinchè non vi sia verifica degli input e per ottenere l'accesso anche ai file non destinati al web. 

I dispositivi usano comunemente protocolli di rete come TCP, ARP, IP, UDP, ICMP che però corrono il rischio di potere essere usati per lasciare aperte backdoor per favorire intrusioni o per condurre attacchi man-in-the-middle (ovvero, nella comunicazione tra due dispositivi, si interpone l'attaccante. Mentre i due dispositivi pensano di comunicare tra loro, l'attaccante intercetta il traffico del primo dispositivo e lo rimanda al secondo: ottiene così accesso a tutti i pacchetti in inviati nel corso della comunicazione). Questo tipo di attacchi viene solitamente ben nascosto dagli attaccanti, così che le aziende non riescano a rilevarli: criptazione, eliminazione log di accesso, installazione di rootkit sono tutti sistemi comunemente usati dagli attaccanti perchè i team di sicurezza IT non riescano a rilevare queste attività dannose. 

Come spiegato qualche articolo fa, la maniera più efficace per una azienda per prevenire e impedire intrusioni nella rete è l'uso di sistemi di individuazione e prevenzione delle intrusioni, i famosi IPS/IDS. 

L'Intrusion Detection System (IDS) opera attraverso un processo nel quale tutti gli eventi che accadono nella rete sono monitorati e analizzati per individuare possibili incidenti di violazione dei marcatori di sicurezza. Questo è un processo di tipo reattivo, col quale tutte le attività di rete in entrata e in uscita sono monitorate e viene riportato qualsiasi segno di intrusione che potrebbe compromettere il sistema.

L'Intrusion Prevention System (IPS) è un passo avanti all'IDS in termini di capacità. Dove l'IDS è un meccanismo "di reazione", l'IPS è quel che si definisce un meccanismo proattivo: fa un passo avanti alla mera individuazione, cercando di impedire che la minaccia rilevata possa colpire effettivamente danneggiando la rete aziendale. E' un meccanismo di controllo attivo che monitora il traffico in rete. 

Seqrite Unified Threat Management (UTM) offre una soluzione continuativa di sicurezza per tutte le imprese: quesa soluzione integra la prevenzione e l'individuazione delle intrusioni come funzioni standard. 

Le componenti IDS e IPS built-in di Seqrite UTM