Trois critères pour choisir le bon IPS

L’experte Karen Scarfone se penche sur les principaux critères d’évaluation de systèmes de prévention d’intrusion.

Un système de prévention d’intrusion (IPS) est un contrôle de sécurité d’entreprise chargé de la surveillance du trafic réseau et de l’analyse des entêtes et contenus de paquets en quête de signes d’activité malicieuse et autres violations des politiques d’une entreprise. Lorsqu’une activité malicieuse est détectée, l’IPS peut la stopper grâce à diverses méthodes, jusqu’à affecter directement les connexions réseau appropriées et reconfigurer d’autres contrôles de sécurité d’entreprise pour bloquer le trafic.

Les produits d’IPS sont disponibles sous trois formes : appliances matérielles et virtuelles, modules intégrés à des pare-feu de nouvelle génération, services Cloud.

Chacune de ces formes présente ses avantages et ses inconvénients. Certaines sont donc plus adaptées que d’autres à certains environnements et certaines situations. Malheureusement, les différences fondamentales entre ces formes compliquent le processus de comparaison lors de l’évaluation des produits et services d’IPS.

Prendre en compte les différentes caractéristiques de ces trois formes au travers d’un petit ensemble de critères n’est pas faisable. Ainsi, cet article se concentre sur les IPS présentés sous la forme d’appliance matérielle ou virtuelle. Certains critères sont toutefois susceptibles de s’appliquer à d’autres formes d’IPS.

Capacités de détection

Les capacités de détection des IPS constituent généralement la caractéristique la plus importante à évaluer. Malheureusement, cette évaluation est difficile. Chaque IPS utilise une combinaison unique de techniques de détection, parce que chaque technique n’est efficace que pour identifier certains types d’activités malicieuses. Les premiers IPS s’appuyaient sur des techniques de recherche de signatures. Celles-ci ont encore une certaine valeur, mais elles sont désormais utilisées en conjonction avec la détection d’anomalies, l’inspection de paquets en profondeur, l’analyse de flux réseau, et d’autres encore tant pour identifier les attaques connues que celles qui n’ont jamais été observées.

Il est important que l’IPS utilise plusieurs types de techniques de détection pour atteindre une couverture étendue, jusqu’aux attaques inédites (zero-day). Qui plus est, il est essentiel que l’IPS supporte nativement les protocoles applicatifs utilisés par l’organisation sur ses réseaux. Dans de nombreux cas, l’IPS est le seul contrôle de sécurité d’une entreprise capable d’assurer une analyse continue, en profondeur, de ces flux applicatifs et d’identifier les attaques qu’ils cachent. Sans un IPS pour analyser le trafic applicatif, l’entreprises est plus susceptible d’être victime d’attaques applicatives.

De plus en plus, les IPS étendent leurs capacités pour inclure des fonctions de simulation et d’émulation. Par exemple, l’IPS peut proposer une émulation de navigateur Web pour voir ce que fera un contenu Web s’il est consulté par un utilisateur. Cela peut permettre de découvrir des logiciels malveillants, des accès non autorisés à des données sensibles, ou plus encore, au-delà de ce que peuvent les autres techniques de détection de menaces. Les fonctions d’émulation et de simulation sont devenues un important complément des autres techniques de détection.

Compréhension du contexte

Au fil des ans, les IPS ont évolué pour intègre une plus grande compréhension du contexte. Le contexte, de manière sommaire, c’est l’information relative aux actifs de l’organisation, comme ses serveurs. Fut un temps, les IPS n’avaient pas connaissance des éléments de contexte, tels que système d’exploitation et applications présentes sur chaque hôte de l’infrastructure.

Lorsqu’un IPS voyait passer une attaque sérieuse, susceptible par exemple de déboucher sur une élévation de privilèges, il générait alors une alerte, et peut-être même agissait pour stopper l’activité malicieuse. Mais il ne savait si l’hôte était réellement vulnérable à cette attaque…

Les IPS modernes peuvent avoir bien plus de connaissance et de compréhension du contexte. Certains éléments de contexte peuvent être déduits par l’IPS à partir de l’analyse des activités réseau. Mais l’essentiel de l’information doit provenir de l’organisation, via des systèmes de gestion d’actifs. L’IPS peut alors évaluer la criticité d’une attaque non seulement en fonction de l’hôte visé, mais également de son rôle au sein de l’organisation.

Utilisation du renseignement sur les menaces

Disposer du contexte aide l’IPS à mieux comprendre l’importance relative ces événements qu’il observe. Il en va de même du renseignement sur les menaces. Il s’agit d’informations sur les caractéristiques des menaces et des attaques qu’elles produisent. Certains fournisseurs se spécialisent dans la collecte et l’affinement de renseignements sur les menaces, allant jusqu’à placer des capteurs sur les réseaux tout autour du monde afin de surveiller les activités malveillantes. De quoi généralement observer les toutes dernières menaces avant tout le monde.

Les organisations utilisent de plus en plus le renseignement sur les menaces avec certains contrôles de sécurité clé, dont notamment les systèmes de gestion des informations et des événements de sécurité (SIEM), afin d‘amélioration la précision de détection et la hiérarchisation des alertes. Le même concept est désormais adopté pour les IPS, pour les mêmes raisons. Ainsi, si du renseignement sur les menaces indique à l’PS que l’adresse IP externe à l’origine d’une activité qu’il observe est associée à des attaques sévères sur d’autres organisations, il peut générer une alerte avec une priorité plus élevée.

Avant d’acheter, s’informer

Les trois critères présentés ici ne constituent qu’une petite partie de ce qu’il convient de prendre en compte lors de l’évaluation d’un IPS. D’autres méritent d’être pris en considération : les techniques de prévention automatique, avec par exemple la reconfiguration de pare-feu ; les capacités de personnalisation des politiques de sécurité ; les capacités de production de logs et de rapports.

Les IPS sont notoirement connus pour être difficiles à évaluer parce qu’ils adressent un très vaste éventail d’attaques et d’activités illégitimes susceptibles de survenir sur des milliers d’applications et de protocoles réseau différents. En fait, un IPS offrant les meilleurs capacités de détection pour une organisation donnée peut ne pas satisfaire les besoins de détection d’une autre…

Adapté de l’anglais.

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close