Un système de prévention contre les intrusions (IPS) surveille le trafic réseau pour détecter les menaces potentielles et les bloque automatiquement en alertant l’équipe de sécurité, en mettant fin aux connexions dangereuses, en supprimant du contenu malveillant ou en déclenchant d’autres périphériques de sécurité.
Les solutions IPS ont évolué à partir des systèmes de détection d’intrusion (IDS), qui détectent et signalent les menaces à l’équipe de sécurité. Un IPS possède les mêmes fonctions de détection et de signalement des menaces qu’un IDS, auxquelles s’ajoutent des fonctionnalités de prévention automatisée des menaces, raison pour laquelle les IPS sont parfois appelés « systèmes de détection et de prévention des intrusions » (IDPS).
Comme un IPS peut bloquer directement le trafic malveillant, il peut alléger les charges de travail des équipes de sécurité et des centres d’opérations de sécurité (SOC), leur permettant de se concentrer sur des menaces plus complexes. Les IPS peuvent contribuer à l’application des politiques de sécurité du réseau en bloquant les actions non autorisées des utilisateurs légitimes, et ils peuvent soutenir les efforts de mise en conformité. Par exemple, un IPS répondrait aux exigences de la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) en matière de mesures de détection des intrusions.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Les IPS utilisent trois méthodes principales de détection des menaces, exclusivement ou en combinaison, pour analyser le trafic.
Les méthodes de détection basées sur les signatures analysent les paquets réseau pour détecter les caractéristiques ou comportements d’attaque propres à une menace spécifique. Une séquence de code apparaissant dans une variante particulière de logiciel malveillant est un exemple de signature d’attaque.
Un IPS basé sur les signatures maintient une base de données de signatures d’attaque avec laquelle il compare les paquets réseau. Si un paquet déclenche une correspondance avec l’une des signatures, l’IPS répond. Les bases de données de signatures doivent être régulièrement mises à jour avec de nouveaux renseignements sur les menaces à mesure que de nouvelles cyberattaques émergent et que les attaques existantes évoluent. Cependant, les toutes nouvelles attaques qui n’ont pas encore été analysées pour les signatures peuvent échapper à un IPS basé sur les signatures.
Les méthodes de détection basées sur les anomalies font appel à l’intelligence artificielle et au machine learning pour créer et affiner en permanence un modèle de référence de l’activité réseau normale. L’IPS compare l’activité réseau en cours au modèle et répond lorsqu’il détecte des écarts, comme un processus utilisant plus de bande passante que d’habitude ou un périphérique ouvrant un port habituellement fermé.
Étant donné que les IPS basés sur les anomalies réagissent à tout comportement anormal, ils peuvent souvent bloquer de toutes nouvelles cyberattaques qui pourraient échapper à la détection basée sur les signatures. Ils peuvent même détecter des attaques « zero-day », c’est-à-dire des attaques qui exploitent les vulnérabilités des logiciels avant que le développeur ne s’en aperçoive ou n’ait eu le temps d’appliquer un correctif.
Cependant, les IPS basés sur des anomalies peuvent être plus sujets aux faux positifs. Même une activité bénigne, comme un utilisateur autorisé accédant à une ressource réseau sensible pour la première fois, peut déclencher un IPS basé sur des anomalies. En conséquence, les utilisateurs autorisés pourraient être exclus du réseau ou voir leur adresse IP bloquée.
Les méthodes de détection basées sur des stratégies sont basées sur des stratégies de sécurité définies par l’équipe de sécurité. Chaque fois qu’un IPS basé sur des stratégies détecte une action qui enfreint une stratégie de sécurité, il bloque la tentative.
Par exemple, un SOC peut définir des stratégies de contrôle d’accès indiquant quels utilisateurs et quels appareils peuvent accéder à un hôte. Si un utilisateur non autorisé tente de se connecter à l’hôte, un IPS basé sur des stratégies les arrêtera.
Bien que les IPS basés sur des stratégies offrent une personnalisation, ils peuvent nécessiter un investissement initial important. L’équipe de sécurité doit créer un ensemble complet de stratégies décrivant ce qui est autorisé et non autorisé dans tout le réseau.
Alors que la plupart des IPS utilisent les méthodes de détection des menaces décrites ci-dessus, certains utilisent des techniques moins courantes.
La détection basée sur la réputation signale et bloque le trafic provenant d’adresses IP et de domaines associés à des activités malveillantes ou suspectes. L’analyse de protocole avec état se concentre sur le comportement du protocole—par exemple, elle peut identifier une attaque par déni de service distribué (DDoS) en détectant une adresse IP unique effectuant de nombreuses demandes de connexion TCP simultanées dans un court laps de temps.
Lorsqu’un IPS détecte une menace, il consigne l’événement et le signale au SOC, souvent via un outil de gestion des informations de sécurité et des événements (SIEM) (voir « IPS et autres solutions de sécurité » ci-dessous).
Mais l’IPS ne s’arrête pas là. Il prend automatiquement des mesures contre la menace, en utilisant des techniques telles que :
Un IPS peut mettre fin à la session d’un utilisateur, bloquer une adresse IP spécifique ou même bloquer tout le trafic vers une cible. Certains IPS peuvent rediriger le trafic vers un pot de miel, un leurre qui fait croire aux pirates qu’ils ont réussi alors qu’en réalité, le SOC les surveille..
Un IPS peut permettre au trafic de continuer mais épurer les parties dangereuses, par exemple en supprimant des paquets malveillants d’un flux ou en supprimant une pièce jointe malveillante d’un e-mail.
Un IPS peut inciter d’autres dispositifs de sécurité à agir, par exemple en mettant à jour les règles du pare-feu pour bloquer une menace ou en modifiant les paramètres du routeur afin d’empêcher les pirates d’atteindre leurs cibles.
Certains IPS peuvent empêcher les pirates et les utilisateurs non autorisés de faire quoi que ce soit qui enfreint les stratégies de sécurité de l’entreprise. Par exemple, si un utilisateur essaie de transférer des informations sensibles à partir d’une base de données dont elles ne sont pas censées sortir, l’IPS les bloquera.
Les solutions IPS peuvent être des applications logicielles installées sur les nœuds finaux, des unités matérielles dédiées connectées au réseau ou fournies en tant que services cloud. Étant donné que les adresses IP doivent pouvoir bloquer les activités malveillantes en temps réel, elles sont toujours placées « en ligne » sur le réseau, ce qui signifie que le trafic passe directement par l’IPS avant d’atteindre sa destination.
Les IPS sont classés en fonction de l’endroit où ils se trouvent dans un réseau et du type d’activité qu’ils surveillent. De nombreuses organisations utilisent plusieurs types d’adresses IP dans leurs réseaux.
Un système de prévention contre les intrusions (NIPS) basé sur le réseau surveille le trafic entrant et sortant vers les unités du réseau, inspectant les paquets individuels pour détecter toute activité suspecte. Les moniteurs NIPS sont placés à des points stratégiques du réseau. Ils se trouvent souvent juste derrière les pare-feu au périmètre du réseau afin de pouvoir arrêter le trafic malveillant qui passe à travers. Un NIPS peut également être placé à l’intérieur du réseau pour surveiller le trafic à destination et en provenance d’actifs clés, tels que des centres de données ou des unités critiques.
Un système de prévention contre les intrusions basé sur l’hôte (HIPS) est installé sur un point de terminaison spécifique, comme un ordinateur portable ou un serveur, et surveille uniquement le trafic vers et depuis cet appareil. Les HIPS sont généralement utilisés conjointement avec les NIPS pour ajouter une sécurité supplémentaire aux actifs vitaux. Un HIPS peut également bloquer les activités malveillantes provenant d’un nœud réseau compromis, comme les ransomware qui se propagent à partir d’un appareil infecté.
Les solutions d’analyse du comportement du réseau (NBA) surveillent les flux de trafic réseau. Les NBA peuvent inspecter les paquets comme les autres IPS, mais de nombreux NBA se concentrent sur les détails de niveau supérieur des sessions de communication, tels que les adresses IP source et de destination, les ports utilisés et le nombre de paquets transmis.
Les NBA utilisent des méthodes de détection basées sur les anomalies, qui signalent et bloquant tous les flux qui s'écartent de la norme, comme une attaque DDoS sur le trafic ou un appareil infecté communiquant avec un serveur de commande et de contrôle inconnu.
Un système de prévention contre les intrusions sans fil (WIPS) surveille les protocoles réseau sans fil pour détecter les activités suspectes, comme les utilisateurs non autorisés et les appareils accédant au Wi-Fi de l’entreprise. Si un WIPS détecte une entité inconnue sur un réseau sans fil, il peut terminer la connexion. Un WIPS peut également aider à détecter les appareils mal configurés ou non sécurisés sur un réseau Wi-Fi et à intercepter les attaques potentielles, où un pirate informatique espionne secrètement les communications des utilisateurs.
Bien que les IPS soient disponibles en tant qu’outils autonomes, ils sont conçus pour être étroitement intégrés à d’autres solutions de sécurité dans le cadre d’un système de cybersécurité holistique.
Les alertes IPS sont souvent acheminées vers le SIEM d’une organisation, où elles peuvent être combinées avec des alertes et des informations provenant d’autres outils de sécurité dans un tableau de bord unique et centralisé. L’intégration des IPS aux SIEM permet aux équipes de sécurité d’enrichir les alertes IPS avec des informations supplémentaires sur les menaces, de filtrer les fausses alertes et de suivre l’activité des IPS pour s’assurer que les menaces ont été bloquées avec succès. Les SIEM peuvent également aider les SOC à coordonner les données de différents types d’adresses IP, car de nombreuses organisations utilisent plusieurs types.
Comme mentionné précédemment, les IPS ont évolué à partir des IDS et possèdent bon nombre des mêmes fonctionnalités. Bien que certaines organisations puissent utiliser des solutions IPS et IDS distinctes, la plupart des équipes de sécurité déploient une solution intégrée unique qui offre une détection robuste, des logs, des rapports et une prévention automatique des menaces. De nombreuses adresses IP permettent aux équipes de sécurité d’arrêter les fonctions de prévention, ce qui leur permet d’agir comme des IDS purs si l’organisation le souhaite.
Les IPS constituent une deuxième ligne de défense derrière les pare-feux. Les pare-feux bloquent le trafic malveillant sur le périmètre, et les IPS interceptent tout ce qui parvient à franchir le pare-feu et à pénétrer dans le réseau. Certains pare-feux, en particulier les pare-feux de nouvelle génération, ont des fonctions IPS intégrées.
Obtenez la protection de sécurité dont votre organisation a besoin pour améliorer sa préparation aux violations grâce à un abonnement à la réponse aux incidents d’IBM Security. L'équipe d'élite de consultants en RI est votre partenaire de confiance, prête à vous aider à réduire le temps de réponse aux incidents, à minimiser l'impact et à vous aider à vous rétablir plus rapidement avant qu'un incident de cybersécurité ne soit suspecté.
Empêchez les ransomwares d’interrompre la continuité des activités et reprenez rapidement du service en cas d’attaque. L'approche zero Trust peut vous aider à détecter et à réagir plus rapidement aux ransomwares et à minimiser leur impact.
À mesure que les réseaux d’entreprise se développent, le risque de cyberattaque augmente également. Découvrez comment les solutions de sécurité réseau protègent les systèmes informatiques contre les menaces internes et externes.
Le SIEM surveille et analyse les événements liés à la sécurité en temps réel, enregistre et suit les données de sécurité à des fins de conformité ou d’audit.
Le NDR utilise l’intelligence artificielle, l’apprentissage automatique et l’analyse comportementale pour détecter et répondre aux activités suspectes du réseau.