Les atouts d’une solution IPS face à l’évolution des réseaux et des menaces

Les systèmes de prévention d’intrusion (IPS) sont des éléments critiques au sein d’un réseau d’entreprise. Ils permettent d’avoir une grande visibilité en termes de sécurité. Ils garantissent également une protection au niveau réseau et au niveau système pour faire face à l’ensemble des attaques. Pourquoi sont-ils devenus indispensables ?

Par Mathieu Dubois, ingénieur réseau & sécurité Nomios.

Les IPS se présentent sous la forme d’un équipement à part entière, d’un agent installé sur un serveur ou d’un logiciel présent dans un environnement virtuel. Ils sont utilisés pour détecter de façon proactive les signes d’une intrusion sur un réseau et réagir en conséquence : générer une alarme ou bloquer l’intrusion en fonction du mode de déploiement.

Les réseaux évoluent …

Les réseaux d’entreprise se dématérialisent, notamment avec l’essor du Cloud Computing. Les terminaux des utilisateurs sont de plus en plus hétérogènes et le concept du « Bring Your Own Device » a déjà séduit un grand nombre d’entreprises. En conséquence, les frontières du système d’information deviennent floues et difficiles à identifier. Dans ce type d’environnement, un IPS est devenu indispensable. En effet, là où un firewall permet de fixer les limites du réseau, un IPS agit au niveau du flux et fonctionne de façon totalement transparente.

On constate également l’arrivée en masse de nouvelles applications et de nouveaux fournisseurs de contenus. Les applications professionnelles, celles de Microsoft Exchange par exemple, répondent à des besoins métiers prioritaires sur le reste du trafic et leur mise en maintenance entraîne une coupure de service qui n’est acceptable que de façon très occasionnelle. En conséquence, elles sont rarement mises à jour et présentent des failles connues qui sont autant de portes d’entrée pour d’éventuelles attaques.

Le nomadisme est totalement présent. Il concerne aujourd’hui deux types de population. D’un côté, les utilisateurs itinérants, de l’autre, les clients et les partenaires de l’entreprise. Il revêt une importance capitale et fait peser de nouvelles menaces sur le système d’information. En effet, dans une même entreprise, il n’est plus rare d’avoir des Blackberry, des iPhone, des mobiles divers et des tablettes. Ces équipements généralement non maîtrisés impliquent des risques supplémentaires en termes de sécurité. Ce nomadisme croissant suppose également l’introduction dans le réseau de postes sur lesquels les utilisateurs ont des droits non bornés. Il en va de même pour les supports de stockage amovibles, susceptibles de propager des infections et difficiles à maîtriser de par leur nature.

Les menaces qui pèsent sur le réseau sont donc extrêmement variées. Elles visent à la fois les serveurs (botnets, zero-day attack, Dos et DDoS, etc ) et les utilisateurs (phishing, vol d’informations, troyens, vers, etc). Pour cela, la plupart des attaques visent aujourd’hui la couche applicative (spyware, brute force, injection de code, buffer overflow, backdoor, attaques sur le DNS, …).

En conséquence, avoir une maîtrise totale sur le système d’information est de plus en plus complexe et demande des solutions de sécurité flexibles. De plus, avec les contraintes actuelles de productivité et de production, il est indispensable d’être transparent et non intrusif pour l’infrastructure.

… les solutions de sécurité aussi

Dans des réseaux parfaitement délimités, les firewalls, les proxies et les antivirus sont des éléments indispensables pour la protection périmétrique, la sécurité des flux web sortant et la protection des postes de travail. Les firewalls applicatifs (ou WAF) sont quant à eux nécessaires pour sécuriser les applications web et les sites hébergés en interne.

Les outils d’analyse comportementale (ou NBA, Network Behaviour Analysis) permettent de détecter des comportements inhabituels et potentiellement dangereux pour le système d’information. Si, par exemple, un serveur relativement peu utilisé se met à effectuer de nombreuses requêtes, l’outil sera capable de remonter une alerte.

En parallèle, un système de détection ou de prévention d’intrusion est indispensable (et complémentaire) afin de garantir la sécurité des ressources internes et assurer une protection multi protocolaire face aux attaques applicatives. Il existe de nombreuses techniques de détection d’attaques. Elles peuvent être regroupées en deux catégories principales : détection d’anomalie et reconnaissance d’attaques par signatures.

La détection d’anomalie est basée sur la connaissance de l’activité du réseau. La sonde gagne en efficacité au fil du temps. Une fois cette période d’apprentissage effectuée, elle permet d’appliquer des profils types. Les événements qui dérivent de l’activité « normale » du réseau sont alors détectés et constituent des activités suspectes.

Comme nous l’avons évoqué plus haut, les attaques sur les systèmes d’information peuvent être extrêmement variées. Pour y faire face, de nombreuses méthodes de surveillance sont basées sur la reconnaissance de signatures d’attaques connues. Celles-ci permettent d’identifier un certain nombre de techniques d’intrusions et sont utilisées par les IPS pour évaluer et contrôler le trafic en temps réel.

Définir le bon mode de fonctionnement

IPS plutôt qu’IDS (Système de Détection d’Intrusion), pourquoi opter pour ce mode de fonctionnement au sein de son architecture ? Il est important d’étudier en détail les besoins et les spécificités de chaque infrastructure.

Le mode IDS est mis en place en phase de test. C’est l’occasion pour la solution de prouver son efficacité et sa capacité à s’adapter au sein de tout type d’environnement. Ce mode offre la possibilité d’activer la détection d’intrusion sans bloquer automatiquement les éventuelles attaques. Il permet donc d’atteindre un degré de précision élevé  au niveau de la configuration sans prendre le risque de bloquer des flux critiques pour le système d’information. On garantit ainsi une grande visibilité en termes de sécurité.

Par la suite, c’est le mode IPS qui sera privilégié. Lors du passage en production, la sonde est opérationnelle et sa « connaissance » de l’environnement permet d’activer réellement le blocage des attaques. Les solutions gagnent ainsi en efficacité et permettent de remonter uniquement des informations judicieuses. L’administrateur n’est donc pas « noyé » dans un flux continu d’alertes, ce qui garantit une protection efficace et en temps réel face aux véritables attaques. On évite ainsi la propagation de malwares avant qu’ils ne causent des dommages sur le réseau.

TAGS ASSOCIÉS