Qu’est-ce Qu’un Système De Détection D’intrusion ? 4 Types D’IDS Expliqués

Des attaques qui font la une des journaux, comme le piratage de Colonial Pipeline qui a fermé un important pipeline américain pendant plus d’une semaine, démontrent leur potentiel de destruction majeure. , rien qu’aux États-Unis, les organisations ont payé environ un million pour des attaques de ransomwares. Pour chaque violation majeure, des centaines d’attaques dévastent les petites entreprises et leurs clients.

Les pare-feu et les programmes anti-malware ne suffisent pas à eux seuls à protéger un réseau entier contre une attaque. Une stratégie de sécurité bien équilibrée doit également inclure un système de détection d’intrusion (IDS) qui identifie le trafic suspect une fois qu’il passe le pare-feu et pénètre dans le réseau.

Cet article est  une introduction aux systèmes de détection d’intrusion  et au rôle que jouent les IDS dans la sécurité du réseau. Lisez la suite pour savoir comment ces systèmes fonctionnent et pourquoi ils sont essentiels pour prévenir les temps d’arrêt coûteux et les violations de données.

Découvrez comment vous pouvez déployer une protection multicouche pour vos données sensibles. Découvrez Data Security Cloud.

Qu’est-ce Qu’un Système De Détection D’intrusion (IDS) ?

Un système de détection d’intrusion (IDS) est une application ou un appareil qui surveille le trafic réseau entrant et sortant, analyse en permanence l’activité pour détecter les changements de modèles et alerte un administrateur lorsqu’il détecte un comportement inhabituel. Un administrateur examine ensuite les alarmes et prend des mesures pour supprimer la menace.

Par exemple, un IDS peut inspecter les données transportées par le trafic réseau pour voir s’il contient des logiciels malveillants connus ou d’autres contenus malveillants. S’il détecte ce type de menace, il envoie une alerte à votre équipe de sécurité afin qu’elle puisse enquêter et y remédier. Une fois que votre équipe reçoit l’alerte, elle doit agir rapidement pour empêcher une attaque de prendre le contrôle du système. 

Pour s’assurer qu’un IDS ne ralentit pas les performances du réseau, ces solutions utilisent souvent un analyseur de port commuté (SPAN) ou un port d’accès test (TAP) pour analyser une copie du trafic de données en ligne. Cependant, ils ne bloquent pas les menaces une fois qu’elles pénètrent dans le réseau, comme le font les systèmes de prévention des intrusions.

Que vous configuriez un appareil physique ou un programme IDS, le système peut :

• Reconnaître les schémas d’attaque dans les paquets réseau.
• Surveillez le comportement des utilisateurs.
• Identifiez l’activité anormale du trafic.
• Assurez-vous que l’activité des utilisateurs et du système ne va pas à l’encontre des politiques de sécurité.

Les informations d’un système de détection d’intrusion peuvent également aider l’équipe de sécurité à :

• Auditez le réseau pour les vulnérabilités et les mauvaises configurations.
• Évaluer l’intégrité des systèmes et fichiers critiques.
• Créez des contrôles et des réponses aux incidents plus efficaces.
• Analysez la quantité et les types de cybermenaces qui attaquent le réseau.

Mis à part les avantages de la cybersécurité, un IDS aide également à assurer la conformité à la régularité. Une plus grande visibilité du réseau et une meilleure journalisation garantissent que les opérations du réseau restent conformes à toutes les réglementations applicables.

Notre article sur les types de sécurité réseau explique quelles autres mesures que les entreprises IDSes peuvent déployer pour éloigner les intrus des données et ressources précieuses.

Objectifs Des Systèmes De Détection D’intrusion

Un pare-feu ne fournit pas à lui seul une protection adéquate contre les cybermenaces modernes. Les logiciels malveillants et autres contenus malveillants sont souvent diffusés à l’aide de types de trafic légitimes, tels que les e-mails ou le trafic Web. Un IDS permet d’inspecter le contenu de ces communications et d’identifier tout logiciel malveillant qu’elles pourraient contenir.

L’objectif principal d’un IDS est de détecter les anomalies avant que les pirates n’atteignent leur objectif. Une fois que le système détecte une menace, l’IDS informe le personnel informatique et fournit les informations suivantes sur le danger :

• L’adresse source de l’intrusion.
• Adresses des cibles et des victimes.
• Le type de menace.

L’objectif secondaire d’un système de détection d’intrusion est d’observer les intrus et d’identifier :

• À quelles ressources les attaquants tentent d’accéder.
• Comment les pirates essaient de contourner les contrôles de sécurité.
• Quels types de cyberattaques les intrus lancent.

Le centre des opérations de sécurité (SOC) et les analystes de l’entreprise peuvent utiliser ces informations pour améliorer la stratégie de sécurité du réseau.

La détection et le signalement des anomalies sont les deux principales fonctions d’un système de détection d’intrusion. Cependant, certains systèmes de détection peuvent répondre à une activité malveillante, comme le blocage automatique d’une adresse IP ou la fermeture de l’accès à des fichiers sensibles. Les systèmes dotés de ces capacités de réponse sont  des systèmes de prévention des intrusions (IPS) .

Découvrez les bases de la sécurité réseau et découvrez comment les entreprises prudentes protègent les réseaux contre les accès non autorisés et les utilisations abusives.

Comment Fonctionnent Les Systèmes De Détection D’intrusion ?

Un IDS surveille le trafic vers et depuis tous les appareils d’un réseau. Le système fonctionne derrière un pare-feu en tant que filtre secondaire pour les paquets malveillants et recherche principalement deux indices suspects :

• Signatures d’attaques connues.
• Déviations de l’activité régulière.

Un système de détection d’intrusion s’appuie généralement sur  la corrélation de modèles  pour identifier les menaces. Cette méthode permet à un IDS de comparer les paquets réseau à une base de données avec des signatures de cyberattaques connues. Les attaques les plus courantes qu’un IDS peut signaler avec une corrélation de modèles sont :

• Logiciels malveillants (vers, rançongiciels, chevaux de Troie, virus, bots, etc.).
• Analyse les attaques qui envoient des paquets au réseau pour recueillir des informations sur les ports ouverts ou fermés, les types de trafic autorisés, les hôtes actifs et les versions logicielles.
• Routage asymétrique qui envoie un paquet malveillant et contourne les contrôles de sécurité avec différentes routes d’entrée et de sortie.
• Attaques par débordement de mémoire tampon qui remplacent le contenu de la base de données par des fichiers exécutables malveillants.
• Attaques spécifiques au protocole qui ciblent un protocole spécifique (ICMP, TCP, ARP, etc.).
• Inondations de trafic qui surchargent le réseau, telles qu’une attaque DDoS.

Une fois qu’un IDS découvre une anomalie, le système signale le problème et déclenche l’alarme. L’alerte peut aller d’une simple note dans un journal d’audit à un message urgent adressé à un administrateur informatique. L’équipe résout ensuite le problème et identifie la cause première du problème.

Quels Sont Les Types De Systèmes De Détection D’intrusion ?

Il existe deux principaux types d’IDS en fonction de l’endroit où l’équipe de sécurité les a configurés :

• Système de détection d’intrusion réseau (NIDS).
• Système de détection d’intrusion sur l’hôte (HIDS).

La façon dont un système de détection d’intrusion détecte une activité suspecte nous permet également de définir deux catégories :

• Un système de détection d’intrusion basé sur la signature (SIDS).
• Un système de détection d’intrusion basé sur des anomalies (AIDS).

En fonction de votre cas d’utilisation et de votre budget, vous pouvez déployer un NIDS ou un HIDS ou vous appuyer sur les deux principaux types d’IDS. Il en va de même pour les modèles de détection car de nombreuses équipes ont mis en place un système hybride avec des capacités SMSN et SIDA.

Avant de déterminer une stratégie, vous devez comprendre les différences entre les types d’IDS et comment ils se complètent. Examinons chacun des quatre principaux types d’IDS, leurs avantages et leurs inconvénients, et quand les utiliser.

Système De Détection D’intrusion Réseau (NIDS)

Un système de détection d’intrusion basé sur le réseau surveille et analyse le trafic entrant et sortant de tous les périphériques réseau. Un NIDS fonctionne à partir d’un point stratégique (ou de points, si vous déployez plusieurs systèmes de détection) au sein du réseau, généralement à des points d’étranglement de données.

Avantages d’un NIDS :

• Fournit la sécurité IDS sur l’ensemble du réseau.
• Quelques NIDS stratégiquement placés peuvent surveiller un réseau de la taille d’une entreprise.
• Un appareil passif qui ne compromet pas la disponibilité ou le débit du réseau.
• Relativement facile à sécuriser et à cacher des intrus.
• Couvre les parties du réseau où le trafic est le plus vulnérable.

Inconvénients d’un NIDS :

• Cher à mettre en place.
• Si un NIDS doit surveiller un réseau étendu ou occupé, le système peut souffrir d’une faible spécificité et d’une violation occasionnelle inaperçue.
• La détection des menaces dans le trafic chiffré peut être problématique.
• Généralement pas un ajustement idéal avec les réseaux basés sur des commutateurs.

Système De Détection D’intrusion Sur L’hôte (HIDS)

Un HIDS fonctionne à partir d’un point de terminaison spécifique où il surveille le trafic réseau et les journaux système vers et depuis un seul appareil.

Ce type de sécurité IDS s’appuie sur des  instantanés réguliers , des ensembles de fichiers qui capturent l’état de l’ensemble du système. Lorsque le système prend un instantané, l’IDS le compare avec l’état précédent et recherche les fichiers ou paramètres manquants ou modifiés.

Avantages d’un HIDS

• Offre une visibilité approfondie sur le périphérique hôte et son activité (modifications de la configuration, des autorisations, des fichiers, du registre, etc.).
• Une excellente deuxième ligne de défense contre un paquet malveillant qu’un NIDS n’a pas réussi à détecter.
• Bon pour détecter les paquets provenant de l’intérieur de l’organisation, tels que les modifications non autorisées des fichiers à partir d’une console système.
• Efficace pour détecter et prévenir les atteintes à l’intégrité des logiciels.
• Mieux analyser le trafic crypté qu’un NIDS en raison de moins de paquets.
• Beaucoup moins cher que la mise en place d’un NIDS.

Inconvénients d’un HIDS

• Visibilité limitée car le système ne surveille qu’un seul appareil.
• Contexte moins disponible pour la prise de décision.
• Difficile à gérer pour les grandes entreprises car l’équipe doit configurer et gérer les informations pour chaque hôte.
• Plus visible pour les attaquants qu’un NIDS.
• Pas bon pour détecter les analyses de réseau ou d’autres attaques de surveillance à l’échelle du réseau.

Système De Détection D’intrusion Basé Sur La Signature (SIDS)

Un SIDS surveille les paquets circulant sur un réseau et les compare à une base de données de signatures ou d’attributs d’attaque connus. Ce type courant de sécurité IDS recherche des modèles spécifiques, tels que des séquences d’octets ou d’instructions.

Avantages d’un PEID

• Fonctionne bien contre les attaquants utilisant des signatures d’attaque connues.
• Utile pour découvrir les tentatives d’attaque peu qualifiées.
• Efficace pour surveiller le trafic réseau entrant.
• Peut traiter efficacement un volume élevé de trafic réseau.

Inconvénients d’un SMSN

• Impossible d’identifier une violation sans une signature spécifique dans la base de données des menaces.
• Un pirate avisé peut modifier une attaque pour éviter de faire correspondre des signatures connues, comme changer les minuscules en majuscules ou convertir un symbole en son code de caractère.
• Nécessite des mises à jour régulières de la base de données des menaces pour maintenir le système à jour avec les derniers risques.

Système De Détection D’intrusion Basé Sur Les Anomalies (AIDS)

Un AIDS surveille le trafic réseau en cours et analyse les modèles par rapport à une ligne de base. Il va au-delà du modèle de signature d’attaque et détecte des modèles de comportement malveillants au lieu de modèles de données spécifiques.

Ce type d’IDS utilise l’apprentissage automatique pour établir une base de référence du comportement attendu du système ( modèle de confiance ) en termes de bande passante, de protocoles, de ports et d’utilisation des appareils. Le système peut alors comparer tout nouveau comportement à des modèles de confiance vérifiés et découvrir des attaques inconnues qu’un IDS basé sur des signatures ne peut pas identifier.

Par exemple, une personne du service des ventes essayant d’accéder au backend du site Web pour la première fois peut ne pas être un signal d’alarme pour un SMSN. Pour une configuration basée sur des anomalies, cependant, une personne essayant d’accéder à un système sensible pour la première fois est une cause d’investigation.

Avantages d’un SIDA

• Peut détecter les signes de types d’attaques inconnus et de nouvelles menaces.
• S’appuie sur l’apprentissage automatique et l’IA pour établir un modèle de comportement digne de confiance.

Inconvénients d’un SIDA

• Complexe à gérer.
• Nécessite plus de ressources de traitement qu’un IDS basé sur les signatures.
• Un grand nombre d’alarmes peut submerger les administrateurs.

Notre article sur les meilleurs outils de sécurité réseau présente les meilleures options du marché et aide à créer la pile d’outils de sécurité parfaite.

Forces Et Limites De L’IDS

La force évidente du déploiement d’un IDS est la connaissance critique de l’activité du réseau. La détection précoce des comportements inhabituels permet de minimiser le risque de cyberattaques et d’assurer une meilleure santé globale du réseau.

L’utilisation d’un IDS pour protéger un réseau est une stratégie valable pour renforcer la sécurité. Lorsqu’il est associé à un programme anti-malware et à un pare-feu robustes, un IDS garantit à l’équipe :

• Garde une longueur d’avance sur un grand pourcentage de cyber-problèmes, qu’ils soient causés par un acteur malveillant, un accident ou une erreur.
• N’a pas besoin de passer au peigne fin des milliers de journaux système pour obtenir des informations critiques.
• Peut appliquer de manière fiable les politiques de sécurité de l’entreprise au niveau du réseau.

Les IDS (et même les IPS) deviennent également moins chers et plus faciles à administrer, de sorte que même les PME avec des budgets plus petits et moins de personnel informatique peuvent compter sur cette stratégie. Malgré tous les avantages, les IDS présentent également des défis uniques :

• Éviter un IDS est la priorité d’une attaque réussie, faisant de ces systèmes la cible de choix des pirates.
• La détection d’activités malveillantes dans le trafic chiffré est un problème courant.
• Un IDS peut être moins efficace dans un réseau avec des volumes de trafic élevés.
• Même le meilleur système peut avoir des difficultés à reconnaître les signes d’une nouvelle attaque.
• IDS surveille le trafic nord-sud, il ne fournit pas d’informations sur le trafic est-ouest.

Le plus grand défi d’un IDS est d’éviter les erreurs, car même le meilleur système peut :

• Sonnez l’alarme pour quelque chose qui n’est pas une attaque (un  faux positif ).
• Ne pas donner l’alerte lorsqu’il y a une menace réelle (un  faux négatif ).

Trop de faux positifs signifient que l’équipe informatique aura moins confiance dans les avertissements de l’IDS. Les faux négatifs, cependant, signifient que des paquets malveillants pénètrent dans le réseau sans déclencher d’alarme, donc un IDS trop sensible est toujours une meilleure option.

La réponse de détection gérée (MDR) est une alternative pratique à un IDS interne, car vous pouvez compter sur un fournisseur pour protéger vos périphériques et données réseau.

Meilleures Pratiques IDS

Une fois que vous savez quel type d’IDS et quel modèle de détection vous devez configurer, assurez-vous que votre stratégie suit ces bonnes pratiques :

Former le personnel informatique. Assurez-vous que l’équipe qui configure l’IDS a une compréhension approfondie de votre inventaire d’appareils et du rôle de chaque machine.

Déterminer une ligne de base . Pour vous assurer que votre IDS détecte les comportements normaux et anormaux, établissez une ligne de base afin de savoir ce qui se trouve sur votre réseau. Gardez à l’esprit que chaque réseau diffère par le type de trafic qu’il transporte. La définition d’une ligne de base initiale claire permet d’éviter les faux positifs et les faux négatifs.

Déploiement IDS. Déployez l’IDS au point de visibilité le plus élevé pour ne pas submerger le système de données. Idéalement, placez l’IDS à la périphérie de votre réseau, derrière le pare-feu. Installez plusieurs IDS sur le réseau si vous devez gérer le trafic intra-hôte. Le bon choix du système et de l’emplacement de déploiement dépend du réseau et des objectifs de sécurité.

Réglez l’IDS sur le réseau. Modifiez les paramètres par défaut de l’IDS uniquement lorsque cela est pertinent pour le réseau. Configurez l’IDS pour prendre en charge tous les périphériques, applications, ports, protocoles et points de sécurité du réseau.

Configurez le mode furtif. Configurez l’IDS pour qu’il s’exécute en mode furtif afin de rendre le système difficile à détecter pour les acteurs malveillants. La façon la plus simple de le faire est de s’assurer que l’IDS dispose de deux interfaces réseau, l’une pour le réseau et l’autre pour générer des alertes. L’IDS doit utiliser l’interface surveillée uniquement comme entrée.

Testez l’IDS. Testez l’IDS pour vous assurer qu’il détecte les menaces potentielles et y répond correctement. Utilisez des ensembles de données de test ou, mieux encore, demandez à des professionnels de la sécurité de faire un test de pénétration (pen test). Exécutez ces tests régulièrement pour vous assurer que tout continue de fonctionner comme prévu. Au fil du temps, faites évoluer votre approche de test pour suivre les changements dans les types d’attaques qui peuvent se produire. 

Équilibrez les faux positifs et les faux négatifs. Veillez à ne pas trop régler votre IDS ou à ne pas le mal configurer, afin de ne pas créer de faux positifs ou de faux négatifs. Un trop grand nombre d’entre eux peut submerger vos équipes informatiques et de sécurité et même exposer votre organisation à un risque accru d’attaque. Combinez les configurations NIDS et la segmentation du réseau pour rendre les détections plus efficaces et plus faciles à gérer.

Enquêter et répondre aux incidents. Définissez un plan de réponse aux incidents prêt à agir. Ce plan doit inclure un personnel de sécurité qualifié qui sait comment réagir rapidement et efficacement avec un minimum de perturbations des opérations quotidiennes et d’impact sur votre organisation. Si votre organisation doit se conformer à certaines exigences de l’industrie, telles que HIPAA, GDPR ou SOC 2, définissez des contrôles appropriés en place et suivez les protocoles établis. Envisagez d’ajouter une plate-forme d’analyse secondaire pour analyser les menaces une fois que l’IDS a déclenché l’alarme.

Mettez régulièrement à jour la base de données des menaces. Une fois l’IDS opérationnel, votre équipe doit continuellement mettre à jour la base de données des menaces pour que le système reste efficace. Assurez-vous que tous vos IDS et bases de données de menaces respectent le principe de sécurité zéro confiance.

Découvrez SecOps, une stratégie qui garantit que l’équipe de sécurité et les opérations informatiques ne fonctionnent pas en silos et applique les meilleures pratiques de sécurité tout au long du processus de développement.

Ne Négligez Pas La Valeur De La Sécurité IDS

Un IDS (ou IPS) de haute qualité est essentiel pour maintenir des niveaux acceptables de sécurité du réseau. Un IDS ne détecte que les menaces et peut ne pas détecter toutes les menaces potentielles. Par conséquent, il ne suffit pas à lui seul de prévenir les attaques et d’en protéger votre organisation.

Au contraire, un IDS fait partie de votre stratégie de sécurité globale. En plus d’avoir les bons outils de sécurité en place, vous devez vous assurer que vos employés – votre première ligne de défense – savent comment assurer la sécurité de votre organisation, de vos informations et de vos actifs. Cette défense commence par un programme efficace de sensibilisation à la cybersécurité. En retour, ils auront une plus grande confiance pour savoir comment réagir et y répondre, tout en minimisant les risques pour votre entreprise et vos clients.

Protégez vos actifs critiques avec Data Security Cloud propulsé par VMware. Tirez parti de ses intégrations avec des technologies de sécurité de pointe pour assurer une protection maximale de vos actifs critiques. Voir les forfaits.

Cet article a été écrit avec l’aide d’Eyal Katz, responsable de mvpGrow et expert en marketing de la cybersécurité.