Quest-ce quun IDS ?

Il y a beaucoup de logiciels malveillants qui circulent sur Internet. Heureusement, de nombreuses mesures de protection sont disponibles. Certains d'entre eux, tels que les produits antivirus, sont conçus pour être exécutés sur une base par appareil et sont idéaux pour les personnes disposant d'un petit nombre d'appareils. Les logiciels antivirus sont également utiles dans les grands réseaux d'entreprise. L'un des problèmes ici, cependant, est simplement le nombre d'appareils qui ont alors un logiciel antivirus en cours d'exécution qui ne signale que sur la machine. Un réseau d'entreprise souhaite vraiment que les rapports d'incidents antivirus soient centralisés. Ce qui est un avantage pour les utilisateurs à domicile est une faiblesse pour les réseaux d'entreprise.

Au-delà de l'antivirus

Pour aller plus loin, une approche différente est nécessaire. Cette approche est appelée IDS ou système de détection d'intrusion. Il existe de nombreuses variantes de l'IDS, dont beaucoup peuvent se compléter. Par exemple, un IDS peut être chargé de surveiller un périphérique ou le trafic réseau. Un IDS de surveillance de périphérique est appelé HIDS ou système de détection d'intrusion (basé sur l'hôte). Un IDS de surveillance de réseau est connu sous le nom de NIDS ou Network Intrusion Detection System. Un HIDS est similaire à une suite antivirus, surveillant un appareil et faisant rapport à un système centralisé.

Un NIDS est généralement placé dans une zone à fort trafic du réseau. Souvent, ce sera soit sur un réseau central/routeur dorsal, soit à la limite du réseau et de sa connexion à Internet. Un NIDS peut être configuré pour être en ligne ou dans une configuration de prise. Un NIDS en ligne peut filtrer activement le trafic en fonction des détections en tant qu'IPS (une facette sur laquelle nous reviendrons plus tard), cependant, il agit comme un point de défaillance unique. Une configuration de robinet reflète essentiellement tout le trafic réseau vers le NIDS. Il peut alors remplir ses fonctions de surveillance sans agir comme un point de défaillance unique.

Méthodes de surveillance

Un IDS utilise généralement une gamme de méthodes de détection. L'approche classique est exactement ce qui est utilisé dans les produits antivirus ; détection basée sur la signature. En cela, l'IDS compare le logiciel ou le trafic réseau observé à un vaste éventail de signatures de logiciels malveillants connus et de trafic réseau malveillant. Il s'agit d'un moyen bien connu et généralement assez efficace de contrer les menaces connues. La surveillance basée sur les signatures n'est cependant pas une solution miracle. Le problème avec les signatures est que vous devez d'abord détecter le logiciel malveillant pour ensuite ajouter sa signature à la liste de comparaison. Cela le rend inutile pour détecter de nouvelles attaques et vulnérable aux variations des techniques existantes.

La principale méthode alternative utilisée par un IDS pour l'identification est le comportement anormal. La détection basée sur les anomalies prend une référence d'utilisation standard, puis signale toute activité inhabituelle. Cela peut être un outil puissant. Il peut même mettre en évidence un risque lié à une potentielle menace interne malveillante. Le principal problème avec cela est qu'il doit être adapté au comportement de base de chaque système, ce qui signifie qu'il doit être formé. Cela signifie que si le système est déjà compromis pendant la formation de l'IDS, il ne verra pas l'activité malveillante comme inhabituelle.

Un domaine en développement est l'utilisation de réseaux de neurones artificiels pour effectuer le processus de détection basé sur les anomalies. Ce domaine est prometteur mais est encore assez nouveau et fait probablement face à des défis similaires aux versions plus classiques de la détection basée sur les anomalies.

Centralisation : une malédiction ou une bénédiction ?

L'une des principales caractéristiques d'un IDS est la centralisation. Il permet à une équipe de sécurité réseau de collecter des mises à jour en direct sur l'état du réseau et des appareils. Cela inclut beaucoup d'informations, dont la plupart sont "tout va bien". Pour minimiser les risques de faux négatifs, c'est-à-dire d'activités malveillantes manquées, la plupart des systèmes IDS sont configurés pour être très « nerveux ». Même le moindre indice que quelque chose ne va pas est signalé. Souvent, ce rapport doit ensuite être trié par un humain. S'il y a beaucoup de faux positifs, l'équipe responsable peut être rapidement débordée et faire face à l'épuisement professionnel. Pour éviter cela, des filtres peuvent être introduits pour réduire la sensibilité de l'IDS, mais cela augmente le risque de faux négatifs. En outre,

La centralisation du système implique également souvent l'ajout d'un système SIEM complexe. SIEM signifie Security Information and Event Management system. Cela implique généralement un ensemble d'agents de collecte autour du réseau qui collectent des rapports à partir d'appareils à proximité. Ces agents de collecte transmettent ensuite les rapports au système de gestion central. L'introduction d'un SIEM augmente la surface de menace du réseau. Les systèmes de sécurité sont souvent assez bien sécurisés, mais ce n'est pas une garantie, et ils peuvent eux-mêmes être vulnérables à l'infection par des logiciels malveillants qui s'empêchent alors d'être signalés. Ceci, cependant, est toujours un risque pour tout système de sécurité.

Automatiser les réponses avec un IPS

Un IDS est essentiellement un système d'alerte. Il recherche les activités malveillantes, puis envoie des alertes à l'équipe de surveillance. Cela signifie que tout est supervisé par un humain mais cela s'accompagne de risques de retards, notamment en cas de pic d'activité. Par exemple. Imaginez si un ver rançongiciel parvient à pénétrer dans le réseau. Cela peut prendre un certain temps aux examinateurs humains pour identifier une alerte IDS comme légitime, auquel cas le ver pourrait bien s'être propagé davantage.

Un IDS qui automatise le processus d'action sur les alertes à haute certitude est appelé IPS ou IDPS avec le « P » pour « Protection ». Un IPS prend des mesures automatisées pour essayer de minimiser le risque. Bien sûr, avec le taux élevé de faux positifs d'un IDS, vous ne voulez pas qu'un IPS agisse sur chaque alerte, uniquement sur celles qui sont réputées avoir une certitude élevée.

Sur un HIDS, un IPS agit comme une fonction de quarantaine de logiciel antivirus. Il verrouille automatiquement les logiciels malveillants suspects et alerte l'équipe de sécurité pour analyser l'incident. Sur un NIDS, un IPS doit être en ligne. Cela signifie que tout le trafic doit passer par l'IPS, ce qui en fait un point de défaillance unique. À l'inverse, cependant, il peut activement supprimer ou supprimer le trafic réseau suspect et alerter l'équipe de sécurité pour qu'elle examine l'incident.

Le principal avantage d'un IPS par rapport à un IDS pur est qu'il peut répondre automatiquement à de nombreuses menaces beaucoup plus rapidement qu'il ne pourrait être réalisé avec un seul examen humain. Cela lui permet d'empêcher des choses comme les événements d'exfiltration de données au fur et à mesure qu'ils se produisent plutôt que de simplement identifier que cela s'est produit après coup.

Limites

Un IDS a plusieurs limites. La fonctionnalité de détection basée sur les signatures repose sur des signatures à jour, ce qui la rend moins efficace pour détecter les nouveaux logiciels malveillants potentiellement plus dangereux. Le taux de faux positifs est généralement très élevé et il peut y avoir de longues périodes de temps entre les problèmes légitimes. Cela peut conduire l'équipe de sécurité à devenir désensibilisée et blasée par les alarmes. Cette attitude augmente le risque qu'ils classent à tort un vrai positif rare comme un faux positif.

Les outils d'analyse du trafic réseau utilisent généralement des bibliothèques standard pour analyser le trafic réseau. Si le trafic est malveillant et exploite une faille dans la bibliothèque, il peut être possible d'infecter le système IDS lui-même. Les NIDS en ligne agissent comme des points de défaillance uniques. Ils doivent analyser un grand volume de trafic très rapidement et s'ils ne peuvent pas suivre, ils doivent soit le supprimer, ce qui cause des problèmes de performances/stabilité, soit le laisser passer, manquant potentiellement une activité malveillante.

La formation d'un système basé sur les anomalies nécessite que le réseau soit sûr en premier lieu. Si des logiciels malveillants communiquent déjà sur le réseau, ils seront inclus normalement dans la ligne de base et ignorés. De plus, la ligne de base peut être lentement étendue par un acteur malveillant prenant simplement son temps pour repousser les limites, les étirant plutôt que de les briser. Enfin, un IDS ne peut pas, à lui seul, analyser le trafic chiffré. Pour être en mesure de le faire, l'entreprise aurait besoin de Man in the Middle (MitM) le trafic avec un certificat racine d'entreprise. Cela a dans le passé introduit ses propres risques. Avec le pourcentage de trafic réseau moderne qui reste non chiffré, cela peut quelque peu limiter l'utilité d'un NIDS. Il est à noter que même sans décrypter le trafic,

Conclusion

Un IDS est un système de détection d'intrusion. Il s'agit essentiellement d'une version étendue d'un produit antivirus conçu pour être utilisé dans les réseaux d'entreprise et proposant des rapports centralisés via un SIEM. Il peut fonctionner à la fois sur des appareils individuels et surveiller le trafic réseau général dans des variantes appelées respectivement HIDS et NIDS. Un IDS souffre de taux de faux positifs très élevés dans le but d'éviter les faux négatifs. En règle générale, les signalements sont triés par une équipe de sécurité humaine. Certaines actions, lorsque la fiabilité de la détection est élevée, peuvent être automatisées puis signalées pour examen. Un tel système est appelé IPS ou IDPS.