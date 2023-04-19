Un système de détection d’intrusion (IDS) est un outil de sécurité des réseaux qui surveille le trafic réseau et les appareils pour détecter les activités malveillantes connues, les activités suspectes ou les violations des politiques de sécurité.
Un IDS peut aider à accélérer et à automatiser la détection des menaces sur le réseau en alertant les administrateurs de la sécurité des menaces connues ou potentielles, ou en envoyant des alertes à un outil de sécurité centralisée. Un outil de sécurité centralisée, tel qu’un système de gestion des informations et des événements de sécurité (SIEM), peut combiner des données provenant d’autres sources pour aider les équipes de sécurité à identifier et à répondre aux cybermenaces susceptibles d’échapper aux autres mesures de sécurité.
Les IDS peuvent également soutenir les efforts de conformité. Certaines réglementations, telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS), obligent les organisations à mettre en place des mesures de détection d’intrusion.
Un IDS ne peut pas arrêter les menaces de sécurité à lui seul. Aujourd’hui, les fonctionnalités d’IDS sont généralement intégrées aux systèmes de prévention contre les intrusions (IPS), qui peuvent détecter les menaces de sécurité et prendre automatiquement des mesures pour les éviter.
Les IDS peuvent être des applications logicielles installées sur des terminaux ou des unités matérielles dédiées, connectées au réseau. Certaines solutions d’IDS sont disponibles sous forme de services cloud. Quelle que soit la forme utilisée, un IDS utilise une ou deux des deux principales méthodes de détection des menaces : la détection basée sur les signatures ou la détection basée sur les anomalies.
La détection basée sur les signatures analyse les paquets réseau pour détecter les caractéristiques ou comportements d’attaque propres à une menace spécifique. Une séquence de code apparaissant dans une variante particulière de logiciel malveillant est un exemple de signature d’attaque.
Un IDS basé sur les signatures maintient une base de données de signatures d’attaque avec laquelle il compare les paquets réseau. Si un paquet déclenche une correspondance avec l’une des signatures, l’IDS le signale. Pour être efficaces, les bases de données de signatures doivent être régulièrement mises à jour avec de nouveaux renseignements sur les menaces à mesure que de nouvelles cyberattaques émergent et que les attaques existantes évoluent. Les toutes nouvelles attaques qui n’ont pas encore été analysées pour les signatures peuvent échapper à un IDS basé sur les signatures.
Les méthodes de détection basées sur les anomalies font appel au machine learning pour créer et affiner en permanence un modèle de référence de l’activité réseau normale. Elles comparent ensuite l’activité réseau au modèle et signalent les écarts, comme un processus qui utilise plus de bande passante que d’habitude ou un appareil qui ouvre un port.
Étant donné qu’ils signalent tout comportement anormal, les IDS basés sur les anomalies peuvent souvent détecter de nouvelles cyberattaques susceptibles d’échapper à la détection basée sur les signatures. Par exemple, les IDS basés sur les anomalies peuvent détecter des attaques « zero-day », c’est-à-dire des attaques qui exploitent les vulnérabilités des logiciels avant que le développeur ne s’en aperçoive ou n’ait eu le temps d’appliquer un correctif.
Toutefois, les IDS basés sur les anomalies peuvent également être plus sujets aux faux positifs. Même une activité bénigne, comme un utilisateur autorisé accédant à une ressource réseau sensible pour la première fois, peut déclencher un IPS basé sur des anomalies.
La détection basée sur la réputation bloque le trafic provenant des adresses IP et de domaines associés à des activités malveillantes ou suspectes. L’analyse de protocole avec état se concentre sur le comportement du protocole. Par exemple, elle peut identifier une attaque par déni de service (DoS) en détectant une adresse IP unique effectuant de nombreuses demandes de connexion TCP simultanées dans un court laps de temps.
Quelle que soit la ou les méthodes utilisées, lorsqu’un IDS détecte une menace potentielle ou une violation de politique, il alerte l’équipe de réponse aux incidents pour qu’elle enquête. Les IDS enregistrent également les incidents de sécurité, soit dans leurs propres journaux, soit en les consignant à l’aide d’un outil de gestion des informations et des événements de sécurité (SIEM) (voir la section « IDS et autres solutions de sécurité » ci-dessous). Ces journaux d’incidents peuvent être utilisés pour affiner les critères de l’IDS, par exemple en ajoutant de nouvelles signatures d’attaque ou en mettant à jour le modèle de comportement du réseau.
Les IDS sont classés en fonction de leur emplacement dans un système et du type d’activité qu’ils surveillent.
Les systèmes de détection d’intrusion réseau (NIDS) surveillent le trafic entrant et sortant vers les appareils du réseau. Les NIDS sont placés à des points stratégiques du réseau, souvent immédiatement derrière des pare-feux au périmètre du réseau, afin de pouvoir signaler tout trafic malveillant qui passe à travers.
Le NIDS peut également être placé à l’intérieur du réseau pour détecter les menaces internes ou les pirates informatiques ayant détourné des comptes utilisateur. Par exemple, le NIDS peut être placé derrière chaque pare-feu interne dans un réseau segmenté afin de surveiller le trafic circulant entre les sous-réseaux.
Afin d’éviter d’entraver le flux du trafic légitime, un NIDS est souvent placé « hors bande », ce qui signifie que le trafic ne passe pas directement par celui-ci. Un NIDS analyse les copies des paquets réseau plutôt que les paquets eux-mêmes. Ainsi, le trafic légitime n’a pas besoin d’attendre l’analyse, mais le NIDS peut tout de même détecter et signaler le trafic malveillant.
Les systèmes de détection d’intrusion hôte (HIDS) sont installés sur un terminal spécifique, comme un ordinateur portable, un routeur ou un serveur. Le HIDS surveille uniquement l’activité sur cet appareil, notamment le trafic en provenance et à destination de celui-ci. Un HIDS fonctionne généralement en effectuant des échantillonnages périodiques des fichiers critiques du système d’exploitation et en comparant ces échantillonnages au fil du temps. Si le HIDS remarque un changement, tel que la modification de fichiers journaux ou de configurations, il alerte l’équipe de sécurité.
Les équipes de sécurité combinent souvent les systèmes de détection d’intrusion basés sur le réseau et les systèmes de détection d’intrusion basés sur l’hôte. Le NIDS examine le trafic dans son ensemble, tandis que le HIDS peut ajouter une protection supplémentaire autour des actifs de valeur. Un HIDS peut également aider à détecter les activités malveillantes provenant d’un nœud réseau compromis, comme les ransomwares qui se propagent à partir d’un appareil infecté.
Même si le NIDS et le HIDS sont les plus courants, les équipes de sécurité peuvent utiliser d’autres IDS pour des fonctions précises. Un IDS basé sur les protocoles (PIDS) surveille les protocoles de connexion entre les serveurs et les appareils. Le PIDS est souvent placé sur des serveurs Web pour surveiller les connexions HTTP ou HTTPS.
Un IDS basé sur les protocoles d’application (APIDS) fonctionne au niveau de la couche application, en surveillant les protocoles spécifiques à une application. Un APIDS est souvent déployé entre un serveur Web et une base de données SQL pour détecter les injections SQL.
Bien que les solutions d’IDS puissent détecter de nombreuses menaces, les pirates informatiques peuvent les contourner. Les fournisseurs d’IDS réagissent en mettant à jour leurs solutions pour tenir compte de ces tactiques. Toutefois, cette mise à jour des solutions a créé une sorte de course aux armements, les pirates informatiques et les IDS essayant de garder une longueur d’avance les uns par rapport aux autres.
Voici quelques tactiques courantes de contournement de l’IDS :
Les attaques par déni de service distribué (DDoS), qui consistent à mettre les IDS hors ligne en les inondant d’un trafic manifestement malveillant provenant de sources multiples. Lorsque les ressources de l’IDS sont submergées par les menaces leurres, les pirates informatiques en profitent pour s’introduire.
L’usurpation, qui consiste à falsifier des adresses IP et des enregistrements DNS pour faire croire que leur trafic provient d’une source digne de confiance.
La fragmentation, qui consiste à fractionner des logiciels malveillants ou d’autres contenus malveillants en petits paquets, en dissimulant la signature et en évitant la détection. En retardant stratégiquement les paquets ou en les envoyant dans le désordre, les pirates informatiques peuvent empêcher l’IDS de les réassembler et de remarquer l’attaque.
Le chiffrement, qui consiste à utiliser des protocoles chiffrés pour contourner un IDS si celui-ci ne possède pas la clé de déchiffrement correspondante.
La fatigue des opérateurs, qui consiste à générer volontairement un grand nombre d’alertes de l’IDS pour distraire l’équipe de réponse aux incidents de son activité réelle.
Les IDS ne sont pas des outils autonomes. Ils sont conçus pour faire partie d’un système de cybersécurité global et sont souvent étroitement intégrés à une ou plusieurs des solutions de sécurité suivantes.
Les alertes des IDS sont souvent acheminées vers le SIEM d’une organisation, où elles peuvent être combinées avec des alertes et des informations provenant d’autres outils de sécurité dans un tableau de bord unique et centralisé. L’intégration des IDS aux SIEM permet aux équipes de sécurité d’enrichir les alertes des IDS de renseignements sur les menaces et de données provenant d’autres outils, de filtrer les fausses alertes et de hiérarchiser les incidents pour les résoudre.
Comme indiqué ci-dessus, un IPS surveille le trafic réseau pour détecter toute activité suspecte, comme un IDS, et intercepte les menaces en temps réel en mettant fin automatiquement aux connexions ou en déclenchant d’autres outils de sécurité. Les IPS étant conçus pour arrêter les cyberattaques, ils sont généralement placés en ligne, ce qui signifie que tout le trafic doit passer par l’IPS avant d’atteindre le reste du réseau.
Certaines organisations implémentent un IDS et un IPS comme des solutions distinctes. Plus souvent, les IDS et les IPS sont combinés dans un seul système de détection et de prévention des intrusions (IDPS) qui détecte les intrusions, les consigne, en alerte les équipes de sécurité et y répond automatiquement.
Les IDS et les pare-feux sont complémentaires. Les pare-feux font face à l’extérieur du réseau et agissent comme des barrières, en utilisant des ensembles de règles prédéfinis pour autoriser ou bloquer le trafic. Les IDS se trouvent souvent à proximité des pare-feux et permettent de détecter tout ce qui leur échappe. Certains pare-feux, en particulier les pare-feux de nouvelle génération, intègrent des fonctions d’IDS et d’IPS.
