È inevitabile che quando si parla di sicurezza informatica si pensi sempre alla migliore protezione possibile del sistema informativo aziendale. Le tipologie degli attacchi informatici si moltiplicano rapidamente e parecchi amministratori di sistema ne fanno conoscenza sulla propria pelle. È dunque importante appostare delle sentinelle vicino ai dati da proteggere o addirittura monitorare la vostra rete per vedere se siete vittima di un attacco: un IDS aiuta a svolgere tale funzione, come se fosse una videocamera installata nel caveau di una banca. Iniziamo ad analizzare l’argomento partendo dall’oggetto in questione: l’intrusione.

Una intrusione è una violazione delle politiche di sicurezza e di gestione predisposte in un sistema protetto. Non ha senso parlare di violazioni o intrusioni se un sistema non è esplicitamente protetto, ossia se non sono state predisposte barriere protettive evidenti (risorse umane, software ed hardware) ed una precisa politica di gestione della sicurezza. Le barriere devono essere evidenti nel senso di essere note a tutto il personale del sistema complesso che si protegge ed ovviamente a qualsiasi curioso che "per sbaglio" tentasse dall’esterno di accedervi senza i dovuti privilegi.

Un intruso in un sistema informatico è innanzitutto considerabile come una persona curiosa. Proprio tale atteggiamento, infatti, guida le prime fasi dell’intrusione anche dal punto di vista tecnico. Si cerca cioè di individuare, mediante attività apparentemente poco rischiose per il sistema, le sue maggiori vulnerabilità: le connessioni dati presenti, i servizi attivi, le applicazioni raggiungibili, le porte disponibili, il tipo di sistema operativo e così via. Successivamente, definite le vulnerabilità, l’intruso può iniziare la sua azione di intrusione mostrando la vera natura attraverso una delle seguenti attività:

1. Impiegare un servizio disponibile per entrare nel sistema apparentemente in maniera corretta.
2. Impiegare un servizio ai limiti delle sue possibilità facendogli svolgere funzioni non preventivate.
3. Impiegare un servizio al fine di determinarne la caduta per poi eventualmente assumerne i privilegi all’atto della riattivazione.

A questo punto l’intrusione può effettivamente essere portata a termine in diversi modi:

1. Copia, alterazione e/o rimozione di dati (file, log, database ecc.).
2. Appropriazione di altri servizi.
3.  Appropriazione di privilegi e password.
4. Alterazione dei software e creazione di backdoor.
5. Istallazione di worm per controllo remoto o rilevazioni delle comunicazioni.

Il tutto può perdurare anche per diverso tempo almeno fino a quando l’intruso o le sue tracce non vengono rilevati oppure, come accade di frequente, l’intruso stesso perde di interesse e smette di impiegare le risorse o le danneggia definitivamente.