La principale différence entre les systèmes de détection des intrusions (IDS) et les systèmes de prévention des intrusions (IPS) est que les IDS sont des systèmes de surveillance et les IPS des systèmes de contrôle. Les IDS ne modifieront pas le trafic réseau tandis que les IPS empêchent la livraison des paquets en fonction de leur contenu, de la même manière qu’un pare-feu empêche le trafic par adresse IP.
Les IDS sont utilisés pour surveiller les réseaux et envoyer des alertes lorsqu’une activité suspecte sur un système ou un réseau est détectée tandis qu’un IPS réagit aux cyberattaques en temps réel dans le but de les empêcher d’atteindre les systèmes et les réseaux ciblés.
En bref, les IDS et les IPS ont la capacité de détecter les signatures d’attaques, la principale différence étant leur réponse à l’attaque. Cependant, il est important de noter que les IDS et les IPS peuvent mettre en œuvre les mêmes méthodes de surveillance et de détection.
Dans cet article, nous présentons les caractéristiques d’une intrusion, les différents vecteurs d’attaque que les cybercriminels peuvent utiliser pour compromettre la sécurité du réseau, la définition des IDS/IPS, et comment ils peuvent protéger votre réseau et améliorer la cybersécurité.
- Qu’est-ce qu’une intrusion réseau ?
- Qu’est-ce qu’un système de détection d’intrusion (IDS) ?
- Comment fonctionne un système de détection d’intrusion (IDS) ?
- Quels sont les différents types de systèmes de détection des intrusions (IDS) ?
- Qu’est-ce qu’un système de prévention des intrusions (IPS)?
- Comment fonctionne un système de prévention des intrusions (IPS) ?
- Quels sont les différents types de systèmes de prévention des intrusions (IPS) ?
- Quelles sont les limites des systèmes de détection d’intrusion (IDS) et des systèmes de prévention des intrusions (IPS) ?
- Quelles sont les différences entre les systèmes de détection d’intrusion (IDS) et les systèmes de prévention d’intrusion (IPS) ?
- Les IDS et les IPS peuvent-ils fonctionner ensemble ?
- En quoi les systèmes de détection d’intrusion (IDS) et les systèmes de prévention d’intrusion (IPS) sont-ils différents des pare-feu ?
- Pourquoi les IDS et les IPS sont-ils importants ?
- Comment UpGuard peut compléter les technologies IDS et IPS
Qu’est-ce qu’une intrusion réseau ?
Une intrusion réseau est toute activité non autorisée sur un réseau informatique. La détection d’une intrusion dépend d’une bonne compréhension de l’activité du réseau et des menaces de sécurité courantes. Un système de détection des intrusions dans le réseau et un système de prévention des intrusions dans le réseau correctement conçus et déployés peuvent aider à bloquer les intrus qui visent à voler des données sensibles, à provoquer des violations de données et à installer des logiciels malveillants.
Les réseaux et les points d’extrémité peuvent être vulnérables aux intrusions d’acteurs de la menace qui peuvent être situés n’importe où dans le monde et chercher à exploiter votre surface d’attaque.
Les vulnérabilités courantes des réseaux comprennent :
- Les logiciels malveillants : Un malware, ou logiciel malveillant, est un programme ou un fichier qui est nuisible à un utilisateur d’ordinateur. Les types de logiciels malveillants comprennent les virus informatiques, les vers, les chevaux de Troie, les logiciels espions, les logiciels publicitaires et les rançongiciels. Lisez notre billet complet sur les logiciels malveillants ici.
- Attaques par ingénierie sociale : L’ingénierie sociale est un vecteur d’attaque qui exploite la psychologie et la susceptibilité humaines pour manipuler les victimes afin qu’elles divulguent des informations confidentielles et des données sensibles ou qu’elles effectuent une action qui enfreint les normes de sécurité habituelles. Parmi les exemples courants d’ingénierie sociale figurent les attaques par hameçonnage, spear phishing et whaling. Lisez notre billet complet sur l’ingénierie sociale ici.
- Logiciels et matériels obsolètes ou non corrigés : Les logiciels et le matériel obsolètes ou non corrigés peuvent présenter des vulnérabilités connues comme celles répertoriées sur CVE. Une vulnérabilité est une faiblesse qui peut être exploitée par une cyberattaque pour obtenir un accès non autorisé ou effectuer des actions non autorisées sur un système informatique. Les vulnérabilités vermiformes, comme celle qui a conduit au logiciel WannaCryrans, présentent un risque particulièrement élevé. Lisez notre billet complet sur les vulnérabilités pour plus d’informations.
- Dispositifs de stockage de données : Les périphériques de stockage portables comme les disques durs USB et externes peuvent introduire des logiciels malveillants dans votre réseau.
Qu’est-ce qu’un système de détection d’intrusion (IDS) ?
Un système de détection d’intrusion (IDS) est un dispositif ou une application logicielle qui surveille un réseau ou un système pour détecter les activités malveillantes et les violations de politiques. Tout trafic malveillant ou toute violation est généralement signalé à un administrateur ou collecté de manière centralisée à l’aide d’un système de gestion des informations et des événements de sécurité (SIEM).
Comment fonctionne un système de détection d’intrusion (IDS) ?
Il existe trois variantes de détection communes que les IDS emploient pour surveiller les intrusions :
- Détection basée sur les signatures : Détecte les attaques en recherchant des modèles spécifiques, tels que des séquences d’octets dans le trafic réseau ou des signatures d’utilisation (séquences d’instructions malveillantes connues) utilisées par les logiciels malveillants. Cette terminologie trouve son origine dans les logiciels antivirus qui désignent ces motifs sous le nom de signatures. Si les IDS basés sur les signatures peuvent facilement détecter les cyberattaques connues, ils peinent à détecter les nouvelles attaques pour lesquelles aucun modèle n’est disponible.
- Détection basée sur les anomalies : Système de détection des intrusions permettant de détecter à la fois les intrusions et les utilisations abusives de réseaux et d’ordinateurs en surveillant l’activité du système et en la classant comme normale ou anormale. Ce type de système de sécurité a été développé pour détecter les attaques inconnues, en partie en raison du développement rapide des logiciels malveillants. L’approche de base consiste à utiliser l’apprentissage automatique pour créer un modèle d’activité digne de confiance et à comparer le nouveau comportement au modèle. Comme ces modèles peuvent être entraînés en fonction d’applications et de configurations matérielles spécifiques, ils présentent des propriétés plus générales que les IDS traditionnels basés sur des signatures. Cependant, ils souffrent également d’un plus grand nombre de faux positifs.
- Détection basée sur la réputation : Reconnaît les cybermenaces potentielles en fonction des scores de réputation.
Quels sont les différents types de systèmes de détection des intrusions (IDS) ?
Les systèmes IDS peuvent aller d’un seul ordinateur à de grands réseaux et sont communément classés en deux types :
- Système de détection des intrusions dans le réseau (NIDS) : Un système qui analyse le trafic réseau entrant. Les NIDS sont placés à des points stratégiques des réseaux pour surveiller le trafic vers et depuis les périphériques. Il effectue une analyse du trafic passant sur l’ensemble du sous-réseau et fait correspondre le trafic qui passe sur les sous-réseaux à une bibliothèque d’attaques connues. Lorsqu’une attaque est identifiée, une alerte peut être envoyée à un administrateur.
- Système de détection des intrusions basé sur l’hôte (HIDS) : Un système qui exécute et surveille les fichiers importants du système d’exploitation sur des hôtes ou des appareils individuels. Un HIDS surveille les paquets entrants et sortants du périphérique et alerte l’utilisateur ou l’administrateur si une activité suspecte est détectée. Il prend un instantané des fichiers système existants et les compare aux instantanés précédents si des fichiers critiques ont été modifiés ou supprimés, une alerte est émise.
Qu’est-ce qu’un système de prévention des intrusions (IPS)?
Un système de prévention des intrusions (IPS) ou des systèmes de détection et de prévention des intrusions (IDPS) sont des applications de sécurité réseau qui se concentrent sur l’identification d’éventuelles activités malveillantes, la consignation des informations, le signalement des tentatives et la tentative de les empêcher. Les systèmes IPS se situent souvent directement derrière le pare-feu.
En outre, les solutions IPS peuvent être utilisées pour identifier les problèmes liés aux stratégies de sécurité, documenter les menaces existantes et dissuader les individus de violer les politiques de sécurité.
Pour faire cesser les attaques, un IPS peut modifier l’environnement de sécurité, en reconfigurant un pare-feu, ou en modifiant le contenu de l’attaque.
Plusieurs considèrent les systèmes de prévention des intrusions comme des extensions des systèmes de détection des intrusions, car ils surveillent tous deux le trafic réseau et/ou les activités du système pour détecter les activités malveillantes.
Comment fonctionne un système de prévention des intrusions (IPS) ?
Les systèmes de prévention des intrusions (IPS) fonctionnent en analysant tout le trafic réseau via une ou plusieurs des méthodes de détection suivantes :
- Détection basée sur les signatures : Un IPS basé sur les signatures surveille les paquets dans un réseau et les compare avec des modèles d’attaque préconfigurés et prédéterminés connus sous le nom de signatures.
- Détection statistique basée sur les anomalies : Un IPS qui est basé sur les anomalies surveille le trafic réseau et le compare à une ligne de base établie. Cette ligne de base est utilisée pour identifier ce qui est « normal » dans un réseau, par exemple, la quantité de bande passante utilisée et les protocoles utilisés. Bien que ce type de détection des anomalies soit bon pour identifier les nouvelles menaces, il peut également générer des faux positifs lorsque les utilisations légitimes de la bande passante dépassent une ligne de base ou lorsque les lignes de base sont mal configurées.
- Détection par analyse de protocole dynamique : Cette méthode identifie les déviations dans les états de protocole en comparant les événements observés avec des profils prédéterminés de définitions généralement acceptées d’activités bénignes.
Une fois détecté, un IPS effectue une inspection des paquets en temps réel sur chaque paquet qui traverse le réseau et s’il est jugé suspect, l’IPS effectue l’une des actions suivantes :
- Terminer la session TCP qui a été exploitée
- Bloquer l’adresse IP ou le compte utilisateur incriminé pour qu’il n’accède à aucune application, hôte ou ressource réseau
- Reprogrammer ou reconfigurer le pare-feu pour empêcher une attaque similaire de se produire à une date ultérieure
- Supprimer ou remplacer le contenu malveillant qui reste après une attaque en reconditionnant la charge utile, supprimant les informations d’en-tête, ou en détruisant les fichiers infectés
Lorsqu’il est déployé correctement, cela permet à un IPS d’empêcher que de graves dommages soient causés par des paquets malveillants ou indésirables et une série d’autres cybermenaces, notamment :
- Déni de service distribué (DDOS)
- Exploits
- Vers informatiques
- Virus
- Attaque par force brute
Quels sont les différents types de systèmes de prévention des intrusions (IPS) ?
Les systèmes de prévention des intrusions sont généralement classés en quatre types :
- Système de prévention des intrusions basé sur le réseau (NIPS) : Les NIPS détectent et empêchent les activités malveillantes ou suspectes en analysant les paquets sur l’ensemble du réseau. Une fois installés, les NIPS recueillent des informations sur l’hôte et le réseau pour identifier les hôtes, les applications et les systèmes d’exploitation autorisés sur le réseau. Ils enregistrent également des informations sur le trafic normal afin d’identifier les changements par rapport à la ligne de base. Ils peuvent prévenir les attaques en envoyant une connexion TCP, en limitant l’utilisation de la bande passante ou en rejetant des paquets. Bien qu’utiles, ils ne peuvent généralement pas analyser le trafic réseau crypté, gérer des charges de trafic élevées, ou gérer les attaques directes à leur encontre.
- Système de prévention des intrusions sans fil (WIPS) : Les WIPS surveillent le spectre radio pour détecter la présence de points d’accès non autorisés et prennent automatiquement des contre-mesures pour les supprimer. Ces systèmes sont généralement mis en œuvre en tant que superposition à une infrastructure de réseau local sans fil existante, bien qu’ils puissent être déployés de manière autonome pour appliquer des politiques d’interdiction du sans fil au sein d’une organisation. Certaines infrastructures sans fil avancées disposent de capacités WIPS intégrées. Les types de menaces suivants peuvent être évités par un bon WIPS : points d’accès voyous, points d’accès mal configurés, attaques man-in-the-middle, MAC spoofing, honeypot et attaques par déni de service.
- Analyse du comportement du réseau (NBA) : Ce type de système de prévention des intrusions s’appuie sur la détection des anomalies et recherche les écarts par rapport à ce qui est considéré comme un comportement normal dans un système ou un réseau. Cela signifie qu’il nécessite une période de formation pour établir le profil de ce qui est considéré comme normal. Une fois la période d’apprentissage terminée, les incohérences sont signalées comme étant malveillantes. Bien que cette méthode permette de détecter de nouvelles menaces, des problèmes peuvent survenir si le réseau a été compromis pendant la période de formation, car un comportement malveillant peut être considéré comme normal. En outre, ces outils de sécurité peuvent produire des faux positifs.
- Système de prévention des intrusions basé sur l’hôte (HIPS) : Un système ou un programme employé pour protéger les systèmes informatiques critiques. Les HIPS analysent l’activité sur un seul hôte pour détecter et prévenir les activités malveillantes, principalement en analysant le comportement du code. Ils sont souvent loués pour leur capacité à prévenir les attaques qui utilisent le cryptage. Les HIPS peuvent également être utilisés pour empêcher l’extraction d’informations sensibles telles que les informations d’identification personnelle (PII) ou les informations de santé protégées (PHI) de l’hôte. Comme les HIPS vivent sur une seule machine, ils sont mieux utilisés aux côtés des IDS et des IPS basés sur le réseau, ainsi que des IPS.
Quelles sont les limites des systèmes de détection d’intrusion (IDS) et des systèmes de prévention des intrusions (IPS) ?
Les limites des IDS et des IPS comprennent :
- Bruit : Les mauvais paquets générés par les bogues, les données DNS corrompues et les paquets locaux qui s’échappent peuvent limiter l’efficacité des systèmes de détection des intrusions et provoquer un taux élevé de fausses alarmes.
- Faux positifs : Il n’est pas rare que le nombre d’attaques réelles soit éclipsé par le nombre de fausses alarmes. Cela peut faire en sorte que de véritables attaques soient manquées ou ignorées.
- Bases de données de signatures obsolètes : De nombreuses attaques exploitent des vulnérabilités connues, ce qui signifie que la bibliothèque de signatures doit rester à jour pour être efficace. Des bases de données de signatures obsolètes peuvent vous rendre vulnérables à de nouvelles stratégies.
- Le décalage entre la découverte et l’application : Pour la détection basée sur les signatures, il peut y avoir un décalage entre la découverte d’un nouveau type d’attaque et l’ajout de la signature à la base de données de signatures. Pendant ce laps de temps, l’IDS ne sera pas en mesure d’identifier l’attaque.
- Protection limitée en cas d’identification ou d’authentification faible : Si un attaquant obtient un accès en raison d’une mauvaise sécurité des mots de passe, alors un IDS peut ne pas être en mesure d’empêcher l’adversaire de toute malversation.
- Absence de traitement des paquets chiffrés : La plupart des IDS ne traiteront pas les paquets cryptés, ce qui signifie qu’ils peuvent être utilisés pour une intrusion dans un réseau et ne pas être découverts.
- Dépendance de l’attribut IP : De nombreux IDS fournissent des informations basées sur l’adresse réseau qui est associée au paquet IP envoyé sur le réseau. Cela est bénéfique si le paquet IP est précis, mais il peut être truqué ou brouillé. Consultez notre billet sur les limites de l’attribution IP pour plus d’informations.
- Susceptibles des mêmes attaques basées sur le protocole contre lesquelles ils sont conçus pour se protéger : En raison de la nature des NIDS et de la nécessité d’analyser les protocoles qu’ils capturent, ils peuvent être vulnérables à certains types d’attaques. Par exemple, les données invalides et les attaques de la pile TCP/IP peuvent provoquer le plantage des NIDS.
Quelles sont les différences entre les systèmes de détection d’intrusion (IDS) et les systèmes de prévention d’intrusion (IPS) ?
La principale différence est qu’un IDS est un système de surveillance et un IPS est un système de contrôle. Les deux IDS/IPS lisent les paquets réseau et comparent leur contenu à une base de données de menaces connues ou d’activité de base. Cependant, les IDS ne modifient pas les paquets réseau tandis que les IPS peuvent empêcher les paquets de livrer en fonction de leur contenu, un peu comme le fait un pare-feu avec une adresse IP :
- Systèmes de détection d’intrusion (IDS) : Analysent et surveillent le trafic pour détecter les indicateurs de compromission qui peuvent indiquer une intrusion ou un vol de données. Les IDS comparent l’activité actuelle du réseau aux menaces connues, aux violations de la politique de sécurité et au balayage des ports ouverts. Les IDS nécessitent l’intervention d’un humain ou d’un autre système pour examiner les résultats et déterminer comment réagir, ce qui en fait de meilleurs outils d’analyse numérique post-mortem. De plus, les IDS ne sont pas en ligne, donc le trafic n’a pas besoin de passer par eux.
- Systèmes de prévention des intrusions (IPS) : Les IPS ont également des capacités de détection, mais ils refuseront de manière proactive le trafic réseau s’ils pensent qu’il représente une menace de sécurité connue.
Les IDS et les IPS peuvent-ils fonctionner ensemble ?
Oui, les IDS et les IPS fonctionnent ensemble. De nombreux fournisseurs modernes combinent IDS et IPS avec des pare-feu. Ce type de technologie est appelé pare-feu de nouvelle génération (NGFW) ou gestion unifiée des menaces (UTM).
En quoi les systèmes de détection d’intrusion (IDS) et les systèmes de prévention d’intrusion (IPS) sont-ils différents des pare-feu ?
Les pare-feu de réseau traditionnels utilisent un ensemble statique de règles pour autoriser ou refuser les connexions réseau. Cela peut empêcher les intrusions, en supposant que des règles appropriées ont été définies. Essentiellement, les pare-feu sont conçus pour limiter l’accès entre les réseaux afin d’empêcher les intrusions, mais ils n’empêchent pas les attaques de l’intérieur d’un réseau.
LesIDS et IPS envoient des alertes lorsqu’ils suspectent une intrusion et surveillent également les attaques provenant de l’intérieur d’un réseau. Notez que les pare-feu de nouvelle génération combinent généralement la technologie de pare-feu traditionnelle avec l’inspection approfondie des paquets, l’IDS et l’IPS.
Pourquoi les IDS et les IPS sont-ils importants ?
Les équipes de sécurité sont confrontées à une liste toujours plus longue de préoccupations en matière de sécurité, des branches de données et des fuites de données aux amendes de conformité, tout en étant contraintes par les budgets et les politiques d’entreprise. La technologie IDS et IPS peut aider à couvrir des parties spécifiques et importantes de votre programme de gestion de la sécurité :
- Automatisation : Une fois configurés, les IDS et IPS sont généralement sans intervention, ce qui signifie qu’ils constituent un excellent moyen d’améliorer la sécurité du réseau sans avoir besoin de personnes supplémentaires.
- Conformité : De nombreuses réglementations vous obligent à prouver que vous avez investi dans la technologie pour protéger les données sensibles. La mise en œuvre d’un IDS ou d’un IPS peut vous aider à répondre à un certain nombre de contrôles CIS. Plus important encore, ils peuvent aider à protéger vos données les plus sensibles et celles de vos clients et améliorer la sécurité des données.
- Application des politiques : Les IDS et IPS sont configurables pour vous aider à appliquer vos politiques de sécurité des informations au niveau du réseau. Par exemple, si vous ne prenez en charge qu’un seul système d’exploitation, vous pouvez utiliser un IPS pour bloquer le trafic provenant d’autres systèmes.
Comment UpGuard peut compléter les technologies IDS et IPS
Des entreprises comme Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar et la NASA utilisent les notes de sécurité d’UpGuard pour protéger leurs données, prévenir les violations de données et évaluer leurs opérations de sécurité.
Pour l’évaluation de vos contrôles de sécurité de l’information, UpGuard BreachSight peut surveiller votre organisation pour plus de 70 contrôles de sécurité fournissant une note de cybersécurité simple et facile à comprendre et détecter automatiquement les fuites d’informations d’identification et les expositions de données dans les buckets S3, les serveurs Rsync, les dépôts GitHub, et plus encore.
UpGuard Vendor Risk peut minimiser le temps que votre organisation consacre à l’évaluation des contrôles de sécurité de l’information connexes et tiers en automatisant les questionnaires des fournisseurs et en fournissant des modèles de questionnaire pour les fournisseurs.
Nous pouvons également vous aider à comparer instantanément vos fournisseurs actuels et potentiels à leur secteur d’activité, afin que vous puissiez voir comment ils se classent.
La principale différence entre UpGuard et les autres fournisseurs de notation de sécurité est qu’il existe des preuves très publiques de notre expertise dans la prévention des violations et des fuites de données.
Notre expertise a été présentée dans des journaux comme le New York Times, le Wall Street Journal, Bloomberg, le Washington Post, Forbes, Reuters et TechCrunch.
Vous pouvez en savoir plus sur ce que disent nos clients sur les avis de Gartner.
Si vous souhaitez voir la note de sécurité de votre organisation, cliquez ici pour demander votre évaluation gratuite de la cybersécurité.
Découvrez dès aujourd’hui un essai gratuit de 7 jours de la plateforme UpGuard.