Système de détection des intrusions (IDS)

Un système de détection des intrusions (IDS) est un système de surveillance qui détecte les activités suspectes et génère des alertes lorsqu’elles sont détectées. En fonction de ces alertes, un analyste du centre des opérations de sécurité (SOC) ou une personne chargée de la réponse aux incidents peut enquêter sur le problème et prendre les mesures appropriées pour remédier à la menace.

Système de détection des intrusions du cloud démo Lire le rapport Frost & Sullivan

What is an Intrusion Detection System (IDS)?

Classification des systèmes de détection des intrusions

Les systèmes de détection des intrusions sont conçus pour être déployés dans différents environnements. Et comme de nombreuses solutions de cybersécurité, un IDS peut être basé sur l’hôte ou sur le réseau.

 

  • IDS basé sur l'hôte (HIDS) : un IDS basé sur l'hôte est déployé sur un poste particulier et conçu pour le protéger contre les menaces internes et externes. Un tel IDS peut avoir la capacité de surveiller le trafic réseau en provenance et à destination de la machine, d'observer les processus en cours et d'inspecter les journaux du système. La visibilité d'un IDS basé sur l'hôte est limitée à la machine hôte, ce qui réduit le contexte disponible pour la prise de décision, mais il dispose d'une visibilité approfondie sur les parties internes de l'ordinateur hôte.
  • IDS basé sur le réseau (NIDS) : une solution IDS basée sur le réseau est conçue pour surveiller l'ensemble d'un réseau protégé. Il a une visibilité sur l'ensemble du trafic circulant sur le réseau et prend des décisions basées sur les métadonnées et le contenu des paquets. Ce point de vue élargi permet de mieux comprendre le contexte et de détecter des menaces généralisées ; toutefois, ces systèmes manquent de visibilité sur les éléments internes du poste qu'ils protègent.

 

En raison des différents niveaux de visibilité, le déploiement d'un HIDS ou d'un NIDS de manière isolée n'offre qu'une protection incomplète au système d'une organisation. Une solution de gestion unifiée des menaces, qui intègre plusieurs technologies en un seul système, peut offrir une sécurité plus complète.

Méthode de détection du déploiement IDS

Au-delà de leur emplacement de déploiement, les solutions IDS diffèrent également dans la manière dont elles identifient les intrusions potentielles :

  • Détection par signature : Les solutions IDS basées sur des signatures utilisent les empreintes digitales des menaces connues pour les identifier. Une fois que le logiciel malveillant ou un autre contenu malveillant a été identifié, une signature est générée et ajoutée à la liste utilisée par la solution IDS pour tester le contenu entrant. Cela permet à un IDS d'atteindre un taux élevé de détection des menaces sans faux positifs, car toutes les alertes sont générées sur la base de la détection d'un contenu malveillant connu. Cependant, un IDS basé sur des signatures est limité à la détection des menaces connues et ne tient pas compte de la vulnérabilité des "zero-day".
  • Détection d'anomalies : Les solutions IDS basées sur les anomalies construisent un modèle du comportement "normal" du système protégé. Tous les comportements futurs sont comparés à ce modèle et toute anomalie est qualifiée de menace potentielle et génère des alertes. Si cette approche permet de détecter les nouvelles menaces ou les menaces de type "zero-day", la difficulté de construire un modèle précis de comportement "normal" signifie que ces systèmes doivent équilibrer les faux positifs (alertes erronées) et les faux négatifs (détections manquées).
  • Détection hybride : Un IDS hybride utilise à la fois la détection basée sur les signatures et la détection basée sur les anomalies. Cela lui permet de détecter davantage d'attaques potentielles avec un taux d'erreur plus faible qu'en utilisant l'un ou l'autre système de manière isolée.

IDS vs pare-feux

Les systèmes de détection d'intrusion et les pare-feu sont deux solutions de cybersécurité qui peuvent être déployées pour protéger un poste ou un réseau. Cependant, leurs objectifs diffèrent considérablement.

Un IDS est un appareil de surveillance passif qui détecte les menaces potentielles et génère des alertes, permettant aux analystes du centre d'opérations de sécurité(SOC) ou aux personnes chargées de répondre aux incidents d'enquêter et de réagir à l'incident potentiel. Un IDS n'offre aucune protection réelle au poste ou au réseau. Un pare-feu, en revanche, est conçu pour agir comme un système de protection. Il analyse les métadonnées des paquets du réseau et autorise ou bloque le trafic en fonction de règles prédéfinies. Cela crée une frontière que certains types de trafic ou de protocoles ne peuvent franchir.

Le pare-feu étant un appareil de protection active, il s'apparente davantage à un système de prévention des intrusions (IPS) qu'à un IDS. Un IPS est semblable à un IDS, mais il bloque activement les menaces identifiées au lieu de se contenter d'émettre une alerte. Cela complète la fonctionnalité d'un pare-feu, et de nombreux Pare-feu de nouvelle génération (NGFW) intègrent une fonctionnalité IDS/IPS. Cela leur permet à la fois d'appliquer les règles de filtrage prédéfinies (pare-feu) et de détecter les cybermenaces plus sophistiquées (IDS/IPS) et d'y répondre. Pour en savoir plus sur le débat entre IPS et IDS, cliquez ici.

Sélection d’une solution IDS

Un IDS est un élément précieux du déploiement de cybersécurité d’une organisation. Un simple pare-feu fournit la base de la sécurité du réseau, mais de nombreuses menaces avancées peuvent passer au-delà. Un IDS ajoute une ligne de défense supplémentaire, ce qui rend plus difficile pour un attaquant d’accéder au réseau d’une organisation sans être détecté.

 

Lors du choix d’une solution IDS, il est important d’examiner attentivement le scénario de déploiement. Dans certains cas, un IDS peut être le meilleur choix pour la tâche, tandis que dans d’autres cas, la protection intégrée d’un IPS peut être une meilleure option. L’utilisation d’un pare-feu NGFW doté d’une fonctionnalité IDS/IPS intégrée fournit une solution intégrée, ce qui simplifie la détection des menaces et la gestion de la sécurité.

 

Point de contrôle a de nombreuses années d'expérience dans le développement de systèmes IDS et IPS qui fournissent un niveau élevé de détection des menaces avec des taux d'erreur très faibles, permettant aux analystes SOC et aux personnes chargées de répondre aux incidents d'identifier facilement les vraies menaces. Pour voir nos NGFW, avec des fonctionnalités IDS/IPS intégrées, en action, demandez une démonstration ou contactez-nous pour toute question. En outre, vous êtes invités à apprendre à prévenir les attaques sur le Réseau IdO et l'appareil dans ce webinaire.

×
  Commentaires
Ce site web utilise des cookies à des fins de fonctionnalité, d’analyse et de marketing. En continuant d’utiliser ce site web, vous acceptez l’utilisation des cookies. Pour plus d’informations, consultez notre Avis concernant les cookies.
OK