(English)

Qu'est-ce que l'IDS - Intrusion Detection System (système de détection d'intrusion) ?

June 26, 2024
Télécom
Qu'est-ce que l'IDS - Intrusion Detection System (système de détection d'intrusion) ?
Un système de détection d'intrusion est un outil de sécurité réseau qui surveille le trafic réseau et les appareils pour détecter toute activité malveillante ou suspecte, ou toute violation de la politique de sécurité.

L’IDS accélère et automatise la détection des menaces sur le réseau en alertant ou en envoyant des alertes au SIEM, un système centralisé de gestion des événements de sécurité. Le SIEM accumule des données provenant de sources multiples pour aider les professionnels de la cybersécurité à identifier les cybermenaces et à y répondre.

Les IDS peuvent également garantir la conformité à certaines exigences. Par exemple, la conformité à la norme PCI-DSS exige la mise en œuvre d’une protection antivirus et la sécurisation du réseau et des informations stockées et transmises sur les titulaires de cartes.

Cependant, un IDS ne peut pas gérer seul les menaces de sécurité et est généralement intégré à un IPS, un système de prévention des intrusions qui peut détecter et prévenir automatiquement les menaces de sécurité.

Comment fonctionnent les systèmes de détection d’intrusion

Les IDS sont mis en œuvre sous la forme d’applications logicielles installées sur des points finaux, ou de dispositifs matériels dédiés connectés à un réseau. Certaines solutions IDS sont disponibles sous forme de services basés sur le cloud. Quel que soit le type d’implémentation, les IDS utilisent une ou deux méthodes principales de détection des menaces : basées sur les signatures ou basées sur les anomalies.

Détection basée sur la signature

Cette méthode consiste à analyser les paquets du réseau à la recherche de signatures d’attaques, c’est-à-dire de caractéristiques uniques associées à une menace particulière. L’IDS gère une base de données de signatures de virus déjà connus à laquelle il compare les paquets du réseau. Si une partie du code du paquet correspond au code du virus dans la base de données, l’IDS le détecte.

Pour rester efficaces, les bases de données de signatures doivent être régulièrement mises à jour avec des informations sur les nouveaux virus. Un nouveau virus non analysé peut contourner un système de détection de virus basé sur cette méthode.

Détection basée sur les anomalies

Cette méthode utilise l’apprentissage automatique pour créer et améliorer en permanence un modèle sous-jacent de l’activité normale du réseau. L’activité actuelle du réseau est comparée au modèle afin d’identifier les événements suspects ou les tendances.

Étant donné qu’un système IDS basé sur les anomalies signale tout comportement anormal, il est capable de détecter de nouveaux types de cyberattaques qui ne sont pas détectés par la méthode basée sur les signatures. Par exemple, les systèmes IDS basés sur les anomalies peuvent détecter les exploits du jour zéro, c’est-à-dire les attaques qui exploitent les vulnérabilités des logiciels avant que le développeur ne les découvre et n’ait le temps d’y apporter un correctif.

D’un autre côté, les IDS basés sur les anomalies sont sujets à des faux positifs. Même des actions inoffensives, telles qu’un utilisateur autorisé accédant pour la première fois à un partage du réseau de l’entreprise, peuvent rendre un IDS suspect.

Méthodes de détection moins courantes

Détection basée sur la réputation bloque le trafic provenant d’adresses IP et de domaines associés à des activités malveillantes ou suspectes.

L’analyse de protocole dynamique se concentre sur le comportement du protocole – par exemple, il peut détecter une attaque DDoS en détectant une adresse IP effectuant plusieurs demandes de connexion TCP simultanées dans un court laps de temps.

Quelle que soit la ou les méthodes utilisées par l’IDS, lorsqu’il détecte une menace potentielle ou une violation de politique, il alerte l’équipe de réponse aux incidents. L’IDS garde également la trace des incidents de sécurité dans ses propres journaux, ou en les enregistrant avec le SIEM. Les journaux d’incidents sont utilisés pour affiner les critères de l’IDS, par exemple en ajoutant de nouvelles signatures d’attaques ou en mettant à jour le modèle de comportement du réseau.

Types de systèmes de prévention des intrusions

Les systèmes de prévention des intrusions sont classés en fonction de leur emplacement dans le système et du type d’activité qu’ils surveillent.

Détection d’intrusion dans le réseau

Système de détection des intrusions dans le réseau – Le NIDS surveille le trafic entrant et sortant vers les dispositifs du réseau. Le NIDS est placé à des points importants du réseau, souvent juste derrière les pare-feu. Le NIDS peut également être placé à l’intérieur du réseau pour détecter les menaces internes ou les pirates qui accèdent aux comptes des utilisateurs. Par exemple, un NIDS peut être placé derrière chaque pare-feu interne d’un réseau segmenté pour surveiller le trafic circulant entre les sous-réseaux.

Pour éviter d’entraver le flux de trafic légitime, le NIDS est souvent placé « hors bande », ce qui signifie que le trafic ne passe pas par lui. Ainsi, le NIDS analyse des copies de paquets réseau plutôt que les paquets eux-mêmes, ce qui ne l’empêche pas de détecter le trafic malveillant.

SDI

Système de détection d’intrusion sur l’hôte – Le HIDS est installé sur un point d’extrémité spécifique, tel qu’un ordinateur portable, un routeur ou un serveur. HIDS surveille uniquement le trafic entrant et sortant sur l’appareil où il est installé. En règle générale, le HIDS crée régulièrement des instantanés des fichiers critiques du système d’exploitation et les compare les uns aux autres. S’il détecte un changement, tel que la modification d’un fichier journal ou d’une configuration, il alerte l’équipe chargée de la sécurité.

Les équipes de sécurité combinent souvent les systèmes NIDS et HIDS. Le NIDS examine le trafic en général, tandis que le HIDS fournit une protection supplémentaire pour les biens de valeur. Le HIDS peut également aider à détecter les activités malveillantes d’un hôte réseau compromis, comme un programme de ransomware se propageant à partir d’un appareil infecté.

Bien que les systèmes NIDS et HIDS soient les plus courants, les équipes de sécurité peuvent également utiliser d’autres IDS.

IDS basé sur le protocole – Le PIDS surveille les protocoles des connexions entre les serveurs et les appareils. PIDS est souvent placé sur les serveurs web pour surveiller les connexions HTTP ou HTTPS.

IDS basé sur le protocole d’application – APIDS opère au niveau de la couche application. APIDS est généralement déployé entre un serveur web et une base de données SQL pour détecter les injections SQL.

Moyens de contourner les IDS

Les tactiques courantes de contournement des IDS comprennent les attaques DDoS, l’usurpation d’identité, la fragmentation et le cryptage.

Les attaques DDoS désactivent un IDS en l’inondant de trafic malveillant provenant de sources multiples. Lorsque les ressources de l’IDS sont submergées par de fausses menaces, les pirates se faufilent à l’intérieur.

Spoofing – Usurpation d’adresses IP et d’enregistrements DNS pour créer l’illusion que le trafic provient d’une source fiable.

Fragmentation – division de logiciels malveillants ou d’autres données malveillantes en petits paquets qui masquent la signature et évitent la détection. En retardant les paquets ou en les envoyant dans le désordre, les pirates peuvent empêcher l’IDS de les réassembler et de détecter l’attaque.

Chiffrement – utilisation de protocoles chiffrés pour contourner l’IDS, en espérant que ce dernier ne dispose pas de la clé de déchiffrement correspondante.

L’IDS et les autres solutions de sécurité

L’IDS n’est pas une solution autonome, mais fait partie d’un système holistique de sécurité de l’information. Il est généralement intégré au SIEM, à l’IPS et aux pare-feux.

L’IDS et le SIEM

Les alertes IDS sont généralement transmises au système SIEM. L’intégration de l’IDS au SIEM permet aux équipes de sécurité de relier les alertes à l’analyse des menaces de l’IDS et aux données provenant d’autres outils, de filtrer les fausses alertes et de prioriser la remédiation des incidents.

L’IPS, comme l’IDS, surveille le trafic réseau à la recherche d’activités suspectes et intercepte les menaces en temps réel, en interrompant automatiquement les connexions ou en déclenchant d’autres outils de sécurité.

L’IDS et l’IPS peuvent être mis en œuvre en tant que solutions distinctes ou combinés en un seul système de détection et de prévention des intrusions (IDPS). Il détecte et enregistre les intrusions, alerte les services de sécurité et répond automatiquement aux incidents.

Détection d’intrusion et pare-feu

Les pare-feu agissent comme des barrières en utilisant des ensembles de règles prédéfinies pour autoriser ou refuser le trafic. Les IDS sont souvent associés aux pare-feux et permettent d’intercepter le trafic malveillant. Certains pare-feu intègrent déjà des fonctions IDS et IPS.

Nous utilisons des cookies pour optimiser les fonctionnalités du site et vous offrir la meilleure expérience possible. Pour en savoir plus sur les cookies que nous utilisons, veuillez consulter notre Politique de cookies. En cliquant sur « Okay », vous acceptez notre utilisation des cookies. Learn more.