Un système de prévention et de détection des intrusions, qu'est-ce que c'est ?

Un système de prévention et de détection des intrusions, ou IDPS (Intrusion Detection and Prevention System), est une solution qui permet de surveiller un réseau à la recherche de menaces et d'agir de manière à contrer celles qui ont été détectées.

Son fonctionnement est très comparable à celui d'un système de détection des intrusions, ou IDS (Intrusion Detection System). Si ces deux types de systèmes détectent les menaces et envoient des alertes les concernant, l'IDPS tente également de les éliminer.

L'IDPS est parfois appelé système de prévention des intrusions ou IPS (Intrusion Prevention System). Ces deux termes et sigles sont souvent employés de manière interchangeable. L'IPS fait cependant souvent référence à la fonction de détection des menaces d'un IDPS.

Un IDPS fonctionne différemment en fonction du fournisseur, de la méthode de déploiement choisie et des besoins de l'entreprise qui le déploie.

Types d'IDPS

IDPS basé sur le réseau

Un IDPS basé sur le réseau, ou NIPS (Network-based IDPS), est un type d'IDPS installé à des emplacements spécifiques d'un réseau pour surveiller l'intégralité de son trafic et y rechercher des menaces. Pour ce faire, le NIPS analyse l'activité et la compare à une base de données configurée manuellement par un spécialiste de la sécurité et contenant les attaques connues. Si l'activité correspond à une menace présente dans la base de données, son accès au réseau est bloqué. Un NIPS est souvent déployé aux extrémités du réseau, par exemple au niveau des routeurs ou modems, derrière les pare-feu ou aux points d'accès distant.

Il existe deux sous-catégories de NIPS :

• Les systèmes de prévention des intrusions sans fil, ou WIPS (Wireless Intrusion Prevention System), analysent les fréquences radio des réseaux sans fil à la recherche de points d'accès non autorisés et d'appareils non reconnus. Ils sont déployés au sein des réseaux sans fil et dans les emplacements vulnérables aux accès sans fil non autorisés.
• Les systèmes d'analyse comportementale des réseaux analysent le trafic réseau pour y détecter des schémas d'activité suspects. Par exemple, lors d'une attaque collective par saturation de service, des milliers de requêtes sont envoyées au réseau afin de le saturer. Ces requêtes peuvent sembler valides de manière individuelle, mais représentent un problème lorsqu'elles sont groupées. Les entreprises utilisent souvent un système d'analyse comportementale des réseaux pour renforcer leur NIPS standard dans leur réseau interne.

IDPS basé sur l'hôte

Un IDPS basé sur l'hôte, ou HIPS (Host-based IDPS), est déployé sur un seul hôte, le plus souvent un serveur clé avec des données sensibles, ou sur des serveurs publics qui servent de passerelles vers le réseau interne d'une entreprise. Plus spécifiquement, les HIPS surveillent le flux de trafic de leur système hôte. Ils sont généralement configurés pour détecter l'activité du système d'exploitation hôte et de la suite des protocoles Internet (TCP/IP).

Méthodes de détection

Une fois en place, l'IDPS utilise diverses techniques pour identifier les menaces. Ces techniques sont regroupées dans trois catégories :

• Détection des menaces basée sur les signatures : cette technique compare l'activité surveillée à une base de données contenant des signatures, c'est-à-dire des schémas ou identifiants uniques liés à des menaces déjà identifiées. Cette méthode est efficace pour détecter les menaces connues, mais pas pour les nouvelles menaces.
• Détection des menaces basée sur les anomalies : cette technique compare une portion aléatoire de l'activité à une activité réseau de référence. Si la sélection aléatoire diffère suffisamment de la partie de référence, une action est déclenchée. Cette méthode de détection permet d'identifier les nouvelles menaces, mais elle crée aussi davantage de faux positifs que la méthode de détection basée sur les signatures. Cette technique est celle qui bénéficie le plus des avancées réalisées au niveau des algorithmes d'intelligence artificielle et d'apprentissage automatique.
• Détection des menaces basée sur un protocole (ou sur une politique) : comparable à la détection basée sur les signatures, cette technique utilise une base de données de protocoles spécifiques définis par l'entreprise et bloque toute activité qui les enfreint. Les protocoles doivent être configurés manuellement par un spécialiste de la sécurité.

Actions préventives

Lorsque l'IDPS détecte une menace perçue, il peut opter pour différentes actions en fonction de sa configuration et du type de menace détecté. Voici quelques exemples d'actions préventives courantes :

• Alerter les administrateurs : il s'agit du type de réponse le plus simple. L'IDPS alerte les administrateurs de la sécurité, comme le ferait un système de détection des intrusions. Ces alertes sont créées lorsqu'une action automatique risque d'être inadaptée ou lorsque le système ne sait pas s'il s'agit d'un faux positif.
• Bloquer les actions suspectes : lorsque l'IDPS prend cette mesure, les incidents sont arrêtés avant même qu'ils ne surviennent grâce au blocage du trafic ou d'utilisateurs associés à une adresse IP suspecte. Il peut notamment s'agir de bloquer une adresse IP dont la connexion par mot de passe a échoué à de trop nombreuses reprises.
• Modifier l'environnement de sécurité : comme le blocage des actions à titre préventif, cette technique permet à l'IDPS de modifier la configuration de sécurité du réseau pour empêcher les menaces d'y accéder, en procédant par exemple à une reconfiguration du pare-feu.
• Modifier le contenu de l'attaque : cette technique implique d'altérer automatiquement le contenu de l'attaque. Par exemple, en cas de signalement d'un e-mail suspect, l'IDPS supprime tous les éléments de l'e-mail susceptibles de porter atteinte au réseau, comme les pièces jointes.

Les IDPS peuvent être utiles aux équipes de sécurité, et à l'entreprise dans son ensemble. Ils permettent de réaliser les actions suivantes :

• Analyser l'activité et répondre aux menaces sans intervention humaine : même si les menaces complexes requièrent souvent une action humaine, les IDPS sont capables de les signaler et ainsi d'accélérer l'intervention des équipes de sécurité. Ils permettent aussi la mise en place d'une réponse rapide et méthodique pour les menaces plus simples. Par conséquent, les équipes de sécurité sont en mesure d'agir avant que l'attaque ne provoque des dégâts et de gérer un nombre croissant de menaces.
• Détecter les menaces susceptibles de passer inaperçues : les IDPS sont capables de signaler des menaces que des spécialistes de la sécurité pourraient ne pas repérer, notamment s'ils utilisent la technique de détection basée sur les anomalies.
• Mettre en œuvre des politiques utilisateur et de sécurité en continu : basés sur des règles par nature, les IDPS permettent de détecter les menaces de manière cohérente.
• Respecter les exigences de conformité : l'utilisation d'un IDPS permet de diminuer le nombre de personnes qui doivent manipuler les données privées, ce qui est une exigence réglementaire dans de nombreux secteurs.

À l'aide de playbooks, de services d'annuaire locaux, de journaux consolidés et d'applications externes, Red Hat® Ansible® Automation Platform automatise les solutions de sécurité et permet aux équipes de sécurité informatique de répondre aux menaces de manière coordonnée.

Les équipes de sécurité peuvent utiliser Ansible Automation Platform pour orchestrer différentes solutions de sécurité professionnelles (pare-feu, systèmes de gestion des informations et des événements de sécurité, solutions de gestion des accès privilégiés), les lier et les regrouper dans un système de sécurité unifié.

Pourquoi utiliser Ansible Automation Platform avec un IDS ou un IDPS ?

Avec Ansible Automation Platform, les entreprises peuvent automatiser leurs solutions de sécurité et bénéficier ainsi d'un hub centralisé pour intégrer diverses technologies de sécurité. Les playbooks Ansible permettent à tout outil de sécurité de lire automatiquement les données provenant d'un autre outil. La communication entre plusieurs outils de sécurité est un élément clé de la lutte contre les menaces et une fonction centrale des IDPS. Grâce à Ansible Automation Platform, les entreprises peuvent :

• déployer de nouvelles règles au sein de l'IDPS de manière dynamique et flexible, puis appliquer une configuration automatisée entre la nouvelle règle et son système de gestion des informations et des événements de sécurité associé ;
• simplifier la gestion des signatures pour permettre l'intégration des mises à jour automatiques à un IDPS à l'aide de signatures provenant de bulletins de sécurité ;
• mettre en corrélation les recherches et l'automatisation des événements au sein des systèmes de gestion des informations et des événements de sécurité, ce qui permet aux analystes de générer de nouvelles alertes basées sur des actions ou des modifications réalisées sur d'autres appareils de sécurité.

Ansible Automation Platform peut connecter vos solutions de sécurité au reste de l'infrastructure et du réseau de votre entreprise. Vous pouvez ainsi automatiser et intégrer différentes solutions de sécurité pour répondre aux menaces dans l'entreprise de manière coordonnée et unifiée, en utilisant une sélection de modules, de rôles et de playbooks.

Votre entreprise a également la possibilité de tirer parti de collections de contenus certifiés, proposées par nos équipes et nos partenaires. Grâce à des centaines de modules qui permettent aux utilisateurs d'automatiser tous les aspects des environnements et des processus de gestion informatiques, Ansible Automation Platform est capable d'aider vos équipes de sécurité à collaborer afin de mieux protéger les périmètres de sécurité complexes.