Qu'est-ce qu'un système de détection d'intrusion ?
Un système de détection d'intrusion ou Intrusion Detection System (IDS) est une solution de surveillance du trafic réseau à la recherche d'activités suspectes et émet des alertes lorsqu'une telle activité est découverte. Il s'agit d'une application logicielle qui scanne un réseau ou un système à la recherche d'une activité nuisible ou d'une violation de politique. Toute activité malveillante ou violation est normalement signalée soit à un administrateur, soit collectée de manière centralisée à l'aide d'un système de gestion des informations et des événements de sécurité (SIEM). Un système SIEM intègre les sorties de plusieurs sources et utilise des techniques de filtrage des alarmes pour différencier les activités malveillantes des fausses alarmes.
Bien que les systèmes de détection d'intrusion surveillent les réseaux pour détecter les activités potentiellement malveillantes, ils sont également disposés à recevoir de fausses alarmes. C'est pourquoi les organisations doivent régler avec précision leurs produits IDS dès leur première installation. Il s'agit de paramétrer correctement les systèmes de détection d'intrusion pour qu'ils reconnaissent le trafic normal sur le réseau par rapport à l'activité malveillante.
Les systèmes de prévention des intrusions surveillent également les paquets réseau entrant dans le système pour vérifier les activités malveillantes qui y sont impliquées et envoyer immédiatement les notifications d'avertissement.
Quels sont les différents types de détection IDS ?
Il existe un large éventail d'IDS, allant des logiciels antivirus aux systèmes de surveillance à plusieurs niveaux qui suivent le trafic d'un réseau entier. Les classifications les plus courantes sont les suivantes :
- Système de détection d'intrusion dans le réseau (NIDS) :
Les systèmes de détection d'intrusion dans le réseau (NIDS) sont installés à un point planifié du réseau pour examiner le trafic de tous les appareils du réseau. Il effectue une observation du trafic passant sur l'ensemble du sous-réseau et fait correspondre le trafic qui passe sur les sous-réseaux à la collection d'attaques connues. Dès qu'une attaque est identifiée ou qu'un comportement anormal est observé, l'alerte peut être envoyée à l'administrateur. Un exemple de NIDS consiste à l'installer sur le sous-réseau où se trouvent les pare-feu afin de voir si quelqu'un essaie de percer le pare-feu.
- Système de détection d'intrusion de l'hôte (HIDS) :
Les systèmes de détection d'intrusion de l'hôte (HIDS) fonctionnent sur des hôtes ou des dispositifs indépendants sur le réseau. Un HIDS surveille les paquets entrants et sortants du dispositif uniquement et alerte l'administrateur si une activité suspecte ou malveillante est détectée. Il prend un instantané des fichiers système existants et le compare avec l'instantané précédent. Si les fichiers système analysés ont été modifiés ou supprimés, une alerte est envoyée à l'administrateur pour qu'il enquête. Un exemple d'utilisation du HIDS peut être observé sur des machines critiques, dont on ne s'attend pas à ce qu'elles modifient leur disposition.
- Système de détection d'intrusion basé sur le protocole (PIDS) :
Le système de détection d'intrusion basé sur le protocole (PIDS) comprend un système ou un agent qui résiderait systématiquement à l'extrémité frontale d'un serveur, contrôlant et interprétant le protocole entre un utilisateur/dispositif et le serveur. Il tente de sécuriser le serveur web en surveillant régulièrement le flux du protocole HTTPS et en acceptant le protocole HTTP correspondant.
- Système de détection d'intrusion basé sur le protocole d'application (APIDS) :
Le système de détection d'intrusion basé sur le protocole d'application (APIDS) est un système ou un agent qui réside généralement dans un groupe de serveurs. Il identifie les intrusions en surveillant et en interprétant la communication sur des protocoles spécifiques aux applications.
- Système de détection d'intrusion hybride :
Le système de détection d'intrusion hybride est fait par la combinaison de deux ou plusieurs approches du système de détection d'intrusion. Dans le système de détection d'intrusion hybride, les données de l'agent hôte ou du système sont combinées avec les informations du réseau pour développer une vue complète du système de réseau. Le système de détection d'intrusion hybride est plus efficace en comparaison avec les autres systèmes de détection d'intrusion.
Il existe également un sous-ensemble de types d'IDS. Les variantes les plus courantes sont basées sur la détection de signatures et la détection d'anomalies.
- Basé sur les signatures : Les IDS basés sur les signatures détectent les menaces éventuelles en recherchant des modèles spécifiques, tels que des séquences d'octets dans le trafic réseau, ou des séquences d'instructions malveillantes connues utilisées par les logiciels malveillants. Cette terminologie est issue des logiciels antivirus, qui appellent ces modèles détectés des signatures. Bien que les IDS basés sur les signatures puissent facilement détecter les attaques connues, il est impossible de détecter les nouvelles attaques, pour lesquelles aucun modèle n'est disponible.
- Basé sur les anomalies : une technologie plus récente conçue pour détecter et s'adapter aux attaques inconnues, principalement en raison de l'explosion des logiciels malveillants. Cette méthode de détection utilise l'apprentissage automatique pour créer un modèle défini d'activité digne de confiance, puis compare le nouveau comportement à ce modèle de confiance. Si cette approche permet de détecter des attaques inconnues jusqu'alors, elle peut souffrir de faux positifs : une activité légitime inconnue jusqu'alors peut être accidentellement classée comme malveillante.
Pourquoi les systèmes de détection d'intrusion sont-ils importants ?
Les environnements réseau modernes exigent un niveau de sécurité élevé pour garantir une communication sûre et fiable des informations entre les différentes organisations. Un système de détection des intrusions agit comme une technologie de sauvegarde adaptable pour la sécurité du système après l'échec des technologies traditionnelles. Les cyberattaques ne feront que se sophistiquer, il est donc important que les technologies de protection s'adaptent en même temps que les menaces.
Les cyberattaques gagnent sans cesse en complexité et en sophistication, et les attaques de type "Zero Day" sont courantes. Par conséquent, les technologies de protection des réseaux doivent suivre le rythme des nouvelles menaces, et les entreprises doivent maintenir des niveaux de sécurité élevés.
L'objectif est d'assurer une communication sécurisée et fiable des informations. Par conséquent, un IDS est important dans l'écosystème de la sécurité. Il fonctionne comme une défense pour la sécurité des systèmes lorsque les autres technologies échouent.
Si les IDS sont utiles, leur impact est plus important lorsqu'ils sont couplés à des IPS. Les systèmes de prévention des intrusions (IPS) ajoutent la capacité de bloquer les menaces. C'est devenu l'option de déploiement dominante pour les technologies IDS/IPS.
L'association de plusieurs technologies de prévention des menaces pour former une solution complète est encore meilleure. Une approche efficace est une combinaison de protection contre les vulnérabilités, anti-malware et anti-spyware.
Ces technologies combinées constituent une protection avancée contre les menaces. Le service analyse tout le trafic à la recherche de menaces (y compris les ports, les protocoles et le trafic crypté). Les solutions de prévention des menaces avancées recherchent les menaces dans le cycle de vie de la cyberattaque, et pas seulement lorsqu'elle pénètre dans le réseau. Cela forme une défense en couches - une approche “zero trust” avec une prévention à tous les niveaux.