ONE TOOL TO RULE THEM ALL

 
← Retour à IT Topics

Qu’est-ce qu’un système de détection d’intrusion (IDS) ? Un guide complet de tout ce que vous devez savoir

Sections

Si vous avez lu 1984 d’Orwell et que vous avez pensé que c’était une excellente idée… à appliquer à votre infrastructure informatique, vous avez de la chance. En effet, un IDS (Intrusion Detection System) vous permettra de réaliser votre rêve de contrôler tout ce qui se passe dans vos réseaux et systèmes, en détectant les pirates et les tentatives d’intrusion comme si vous aviez des yeux et des oreilles dans tous les coins.
Étant donné le paysage de la cybersécurité, un système de détection d’intrusion est indispensable pour toute organisation. Nous allons donc vous expliquer ce qu’est un IDS, comment il fonctionne, quelles sont les alternatives existantes et comment réaliser le rêve de tout administrateur informatique : devenir un tyran en découvrant instantanément toute activité suspecte dans votre domaine technologique.

Qu’est-ce qu’un IDS et à quoi sert-il ?

Un IDS est une technologie de surveillance qui peut détecter toute action suspecte et non autorisée sur notre réseau ou notre hôte, alertant le SOC ou le SIEM pour qu’il prenne des mesures.
Nous pouvons dire que l’IDS est le système de surveillance permanente, l’observateur infatigable derrière chaque coin de rue, notre propre KGB, qui allume les balises du Gondor parce que quelqu’un tente de franchir ses murs.
Son utilité est évidente : elle permet de détecter les tentatives de violation avant qu’elles n’aboutissent, grâce à des alertes.
Bien que sa fonction principale soit de surveiller et de signaler tout soupçon, ce n’est pas la seule, car il sert également à se conformer aux réglementations en matière de cybersécurité qui s’appliquent à nous.
Les cadres européens NIS2, NIST, ISO 27001 et d’autres cadres réglementaires et de bonnes pratiques exigent une surveillance continue des réseaux (avec des protocoles tels que SNMP) et des systèmes contre les accès non autorisés et les activités malveillantes. L’IDS est l’élément qui nous aide à nous mettre en conformité et à éviter les amendes.
Il est important de préciser que l’IDS exerce une surveillance constante et passive, mais ne fait que notifier, il ne prend pas de décisions et ne lance pas d’actions. L’IDS est un espion, mais pas un exécutant.
La réponse aux alertes de l’IDS dépendra de la structure de sécurité de l’organisation, qui peut avoir un SIEM connecté qui initie des actions automatisées, l’IDS lui-même peut avoir ajouté des fonctions de réponse, ou le SOC peut être celui qui agit.

Qu’est-ce qu’une intrusion dans la cybersécurité ?

Toute activité non autorisée visant à compromettre la confidentialité, l’intégrité ou la disponibilité d’un système.
Cela peut prendre la forme d’un accès non autorisé à des données sensibles, de l’exécution de logiciels malveillants (volontairement par dépit ou involontairement parce que vous pensiez que ce lien mal orthographié vous permettrait d’obtenir un iPhone), d’un mouvement latéral derrière un périmètre compromis, etc.

Les méthodes d’intrusion les plus courantes

Parfois, je pense que la véritable source de puissance illimitée est l’ingéniosité des pirates informatiques pour pénétrer les défenses. J’ai vu des choses étonnantes, mais beaucoup de tentatives d’intrusion commencent par.. :

  • L’hameçonnage. Le grand classique des messages malveillants qui tentent de vous faire cliquer sur un lien (ou même pas, grâce aux attaques « zero-click »), afin que vous exécutiez un logiciel malveillant.
  • Spoofing. Ou mettez un de ces nez avec des lunettes et une moustache pour vous faire passer pour un IP légitime, une adresse MAC ou autre, afin que l’IDS n’ait pas de soupçons lorsque vous essayez d’entrer dans le club avec une fausse carte d’identité.
  • Injection de code. Généralement SQL ou XSS, exploitant une vulnérabilité non corrigée pour exécuter des commandes malveillantes.
  • Remplissage des données d’identification. Une manière élégante de définir l’utilisation d’informations d’identification volées.
  • L’ingénierie sociale, le shoulder surfing (espionnage en penchant le cou par-dessus l’épaule pour voir les mots de passe tapés, mais il est préférable de l’appeler ainsi) ou toute autre méthode.

L’IDS a pour fonction de détecter tout cela et de nous en informer, mais les méchants le savent aussi. C’est pourquoi ils essaient d’éviter notre système d’espionnage par des manœuvres d’évitement telles que :

  • Obfusquer les modèles. Modifier le code de l’attaque, chiffrer les chaînes de caractères ou utiliser le chiffrement pour éviter les IDS basés sur des signatures (nous verrons ce que c’est).
  • Des attaques coordonnées qui n’en ont pas l’air. Comme réveiller un botnet de dispositifs zombies compromis, mais pas encore utilisés. Ceux-ci ne savent pas qu’ils sont infectés en s’activant, par exemple, pour un DDoS à partir d’adresses IP apparemment légitimes, qui ne figurent dans aucune base de données d’adresses malveillantes, ce qui permet d’esquiver les IDS basés sur la réputation.
  • Fragmentation des paquets. La fragmentation de la charge utile malveillante en plus petits morceaux afin de contourner les signatures connues de l’IDS. Si vous avez vu les films dans lesquels le méchant fait entrer une arme en cachette en faisant entrer ses différentes pièces dans le bâtiment puis en l’assemblant une fois à l’intérieur, vous êtes en train de regarder cette attaque. En fait, vous regardez un film, mais vous voyez ce que je veux dire.

    • Types d’IDS : basés sur l’hôte (HIDS), basés sur le réseau (NIDS) et autres variantes

    Les IDS peuvent être classés dans de nombreuses catégories, y compris dans leur nature la plus élémentaire de matériel et de logiciel. Cisco, par exemple, propose son Firepower (pare-feu matériel doté de capacités IDS) aux entreprises, tout comme il a déployé ses anciens K9 dans les installations industrielles.
    Mais avec les progrès de la virtualisation et le fait que de nombreuses entreprises se déplacent désormais dans le nuage comme Goku, de nombreuses options seront basées sur des logiciels.
    Ainsi, classés par mode de fonctionnement, nous aurions :

    • IDS basés sur l’hôte. Ils surveillent les événements sur des appareils individuels, tels qu’un serveur. L’IDS surveille les journaux, les changements dans les fichiers critiques (/etc/passwd, par exemple, si la machine est sous Linux), les processus, les permissions…
    • IDS basés sur le réseau. Ils surveillent le trafic et les paquets du réseau, à la recherche de menaces et de schémas malveillants, tels que les balayages de ports ou les attaques SQLi.
    • IDS basé sur la signature (Signature-Based IDS). Il s’agit d’une détection par des modèles connus de logiciels malveillants, d’intrusions ou de problèmes, comme la détection de la chaîne /etc/passwd dans le trafic http. Cette chaîne est un mauvais signe, mais que faire si nous n’avons pas affaire à un script-kiddie qui copie et colle ce qu’il voit parce qu’il s’ennuie ? Ensuite, nous passons à…
    • IDS basé sur les anomalies. Avec l’avènement de l’IA et la création imminente de Skynet, l’utilisation de l’apprentissage automatique pour détecter les comportements anormaux est notre allié. C’est une tentative de contrer l’ingéniosité infinie des pirates, car les acteurs malveillants sophistiqués n’utiliseront pas les mêmes vieilles astuces (en fait, ils réussiront probablement encore avec le mot de passe 12345 que quelqu’un n’a jamais changé, mais bon). Avec ces IDS, toute anomalie détectée est signalée.
    • IDS basé sur une politique (Policy-Based IDS). Bien que cette typologie ne soit pas standard, l’organisation peut déterminer que certaines actions, même si elles ne sont pas des intrusions ou des violations en soi, seront signalées par l’IDS. Par exemple, nous savons tous que les torrents ne sont utilisés que par les geeks pour partager des distros Linux (ahem), mais une organisation peut décider de ne pas autoriser le trafic p2p. Même s’il ne s’agit pas d’une violation, l’IDS nous dénoncera lorsque nous téléchargerons « Debian Season 7 » à partir de l’ordinateur portable de l’entreprise.
    • IDS basé sur la réputation (Reputation-Based IDS). Bloque le trafic provenant d’adresses IP ou de domaines figurant sur une liste noire et qui sont à l’origine d’actions malveillantes.

    Les classifications peuvent être infinies, comme la différenciation entre les IDS basés sur le protocole ou même les IDS basés sur le protocole d’application, qui surveillent les protocoles du réseau ou de la couche d’application (HTTP, DNS…). Toutefois, ces typologies, par exemple, sont considérées comme des IDS basés sur le réseau et la détection d’anomalies.
    Comme beaucoup l’auront deviné, certains des meilleurs IDS fonctionnent de manière hybride. C’est-à-dire qu’ils adoptent la philosophie des Borgs et assimilent le meilleur de chaque monde, en utilisant plusieurs des méthodes susmentionnées pour une protection complète.
    Oui, je vais tout remplir de références à Star Trek jusqu’à ce qu’on me mette à la porte, mais continuons à creuser.

    Comment fonctionne un IDS ? Méthodes de détection et réaction après l’alerte

    Imaginez un administrateur informatique qui a autorité sur les systèmes de l’organisation et qui fait ce qu’il a toujours voulu faire, c’est-à-dire les manier d’une main de fer pour compenser ses lacunes dans tous les autres aspects de la vie. Il crée donc son « réseau d’espionnage ».
    Au lieu de déployer des camionnettes à pizza avec des antennes paraboliques sur le toit, ou des types en trench-coat lisant un journal avec des trous à hauteur des yeux, il déploie une solution IDS qui espionne tout ce qui ne semble pas correct.
    En fonction de l’organisation, il optera probablement pour un IDS basé sur le réseau qui ouvre chaque paquet pour voir s’il contient un cadeau et, pour les actifs sensibles, il déploiera des IDS basés sur l’hôte. Beaucoup d’entre eux chargent des fichiers de règles (qui sont mis à jour) avec des modèles, des adresses IP suspectes, etc., de sorte qu’une grande partie de la charge de travail est supportée par l’IDS.
    Mais ce n’est pas suffisant. Le pouvoir lui est monté à la tête et il décide de mettre en place des politiques supplémentaires, telles que la notification des IP VPN connues sous le nom de RiseUp ou du trafic torrent, sauf pour une machine (la sienne).
    Avec cela, l’administrateur se sent comme Odin et ses corbeaux Hugin et Munin (son IDS en fait, mais laissons-le rêver) lui apportent toutes les nouvelles du monde, comme le père de Thor.
    Donc, il y a une alerte IDS parce que le stagiaire a essayé de conduire le trafic sur les ports p2p, tandis qu’une autre arrive avec des paquets étranges qui ressemblent à un balayage de port. Peu après, quelqu’un visite notre site web à partir d’un VPN et, bien sûr, il y a une quantité infinie d’humains qui cliquent là où ils ne devraient pas, comme si la fin du monde approchait.
    Il s’agirait de schémas courants détectés par des IDS basés sur des signatures. Mais notre administrateur veut garder son emploi, car c’est sa seule chance de se sentir quelqu’un tous les matins, alors il déploie une solution hybride, avec une détection supplémentaire basée sur les anomalies et l’apprentissage automatique.
    Ensuite, plusieurs choses se produisent qui, en elles-mêmes, ne semblent pas très importantes.
    Sur une machine Windows, quelqu’un a exécuté Powershell. Il ne s’agit pas d’un logiciel malveillant, de sorte qu’un système IDS basé sur des signatures resterait silencieux. Mais il y a une tentative d’accès à un serveur de sauvegarde à partir de cette machine. Là encore, il ne s’agit peut-être pas d’une violation, mais les éléments commencent à sembler bizarres. Peu de temps après, il y a un trafic vers un domaine bénin, tel que Google Drive.
    Les IDS basés sur les anomalies comprendraient qu’il s’agit d’une situation inhabituelle. Le comptable moyen ne sait pas ce qu’est Powershell et hurle de terreur lorsqu’un terminal apparaît, ou le trafic vers Google Drive est courant, mais ces trois choses sentent l’exfiltration, donc la sonnette d’alarme retentit.
    Les corbeaux d’Odin (bien meilleur nom qu’IDS) ont fait leur travail, mais la réponse demeure.
    Si l’IDS est connecté à un SIEM (Security Information and Event Management) comme Pandora, par exemple, il réagira en prenant d’éventuelles mesures automatiques et en alertant le SOC pour qu’il traite l’incident.
    Vous pouvez par exemple bloquer le trafic sortant du serveur de copie à titre préventif. Vous pouvez également repérer les auteurs de ces actes et leur expliquer qu’une infrastructure informatique bien protégée fonctionne comme un État policier…. Et qu’elle vous surveille en permanence.

    IDS vs IPS : quelles sont les différences ?

    Un IPS (Intrusion Prevention System) va plus loin qu’un système de détection. Alors que les IDS sont des espions qui observent et font des rapports, l’IPS a un « permis d’agir ». Certains les considèrent comme la prochaine évolution, car ils fonctionnent de la même manière (par signatures, anomalies, etc.), mais l’IPS ajoute la capacité d’agir.
    Par exemple, un administrateur installe un IPS comme Fortigate, qui, comme l’IDS, détecte quelque chose de suspect, imaginons une attaque zero-day qui n’est évidemment pas dans les signatures, mais qui a été détectée comme une anomalie.
    Au lieu de se contenter de faire un rapport, il agit en appliquant un « patch virtuel » qui, pour l’instant, limite les dégâts, par exemple en coupant le trafic.
    Et pourquoi ne pas utiliser l’IPS au lieu de l’IDS ? En fait, de nombreux IDS mettent en œuvre des capacités de réaction plus ou moins importantes, de sorte que la frontière entre IDS et IPS devient de plus en plus floue. Cependant, il n’est pas toujours « préférable » d’avoir un IPS ou d’activer des capacités de réponse, en particulier automatisées.
    Par exemple, dans certaines situations, les actions de l’IPS sur les faux positifs peuvent interrompre des services, ce qui, dans des environnements critiques (imaginez un hôpital), peut être un désastre, même si le temps d’arrêt est très court. Vous devez donc toujours inclure des fonctions IDS dans votre stratégie de sécurité, mais vous devez aussi prévoir comment réagir.
    Tout dépend. Un IPS peut être idéal pour une machine dont la tolérance à l’intrusion est nulle et dont le temps d’arrêt éventuel ne met pas la vie en danger, comme un serveur redondant de sauvegarde de données personnelles.
    Il est évident qu’une combinaison d’IPS et d’IDS peut être idéale, par exemple en installant l’IPS sur le périmètre extérieur pour bloquer les menaces connues et les éventuels « zero days », tout en utilisant un IDS sur le réseau interne.

    Les meilleures solutions IDS Open Source et commerciales

    Si nous sommes convaincus de la nécessité d’un IDS, plusieurs options s’offrent à nous, qu’elles soient open source ou commerciales. Voici une petite comparaison, pour commencer à explorer ce qui convient le mieux à notre situation.

    Outil

    Type

    Caractéristiques principales

    Cas d’utilisation

    Licence

    Snort

    NIDS/IPS

    – Basé sur des signatures compatibles IPS.
    – Règles personnalisables.
    – Faible consommation de ressources.

    PME, réseaux à trafic modéré.

    Source ouverte (GPLv2)

    Suricate

    NIDS/IPS

    – Multithreading (haute performance).
    – Il prend en charge les protocoles JSON et cryptés (TLS).
    – Il est doté du mode IPS.

    Réseaux d’entreprise à haut débit (>10 Gbps). Suricata est très bon, mais alourdira les infrastructures modestes.

    Source ouverte (GPLv2)

    Zeek NSM

    NIDS

    – Approche médico-légale(journaux détaillés).
    – Flexible et adaptable, mais nécessite des connaissances.
    – Script personnalisé.

    Analyse médico-légale post-incident, grandes entreprises, universités, organismes de recherche ou organisations nécessitant une analyse approfondie du réseau.

    Open Source (BSD).

    OSSEC

    HIDS/IPS

    – Contrôle de l’intégrité des journaux et des fichiers.
    – Architecture client-serveur.
    -Utilisation de l’apprentissage automatique.
    – Possibilité de créer des réponses actives personnalisées à l’aide de scripts.

    Basé sur l’hôte, il est idéal pour surveiller les points d’extrémité critiques (serveurs, équipements de réseau…).

    Source ouverte (GPLv2)

    Cisco Firepower

    NIDS/IPS

    – Pare-feu physiques.
    – Prévention des menaces en temps réel grâce à la puissance de Cisco.

    Généralement utilisé par les grandes entreprises (bien que certains modèles comme la série 1000 soient conçus pour les PME) et les environnements multi-cloud.

    Commercial

    Trellix IPS

    NIDS/IPS

    – Capacités au-delà de l’analyse basée sur les signatures.
    – Détection des menaces basée sur l’IA.
    – Capacités locales et multi-cloud.
    – Analyse du trafic crypté (SSL/TLS).

    Il se positionne comme une solution complète, et non comme un simple IDS, comparable à Crowstrike ou Sentinel One.

    Commercial

    Mise en œuvre d’un IDS dans une stratégie de sécurité

    L’intégration d’un IDS dans notre stratégie de sécurité n’est pas un projet prêt à l’emploi :

    • Analyse des besoins.
    • Sélectionnez l’IDS approprié en fonction de ces éléments.
    • Décidez de l’emplacement de l’IDS (généralement au périmètre extérieur, aux points critiques à l’intérieur du réseau et aux HIDS sur les machines critiques).
    • Intégrez-le au reste de l’infrastructure, comme un SIEM, qui peut effectuer des actions, corréler et unifier le tout.
    • Configurez l’IDS.
    • Tester et ajuster, essentiellement pour ne rien manquer et ne pas être inondé de faux positifs.

    La topologie du réseau déterminera l’emplacement optimal de l’IDS et la manière dont il assurera la surveillance :

    • Avec TAP (Network TAP), nous capturons tout le trafic et c’est idéal pour les réseaux critiques, mais le coût est élevé, car il utilise du matériel dédié qui copie le trafic pour le contrôle sans perdre la performance du réseau.
    • Avec Port Mirror, nous réduisons ce coût et facilitons la mise en œuvre, car de nombreux commutateurs le permettent, mais nous risquons de perdre des paquets en cas de trafic important et d’introduire une latence.

    Afin de réduire le nombre de faux positifs, nous devrions :

    • Examinez attentivement les règles et les seuils d’ alerte, car ce qui est normal pour certains est un signe de menace pour d’autres.
    • Contrôlez et révisez, surtout au début, pour voir si ces règles sont adaptées.
    • Formez le personnel à interpréter ces règles et à décider des mesures à prendre.
    • Mise à jour régulière. Avec les dernières signatures et règles de l’IDS choisi.

    Avantages et inconvénients d’un IDS en matière de cybersécurité

    Le grand avantage d’un IDS est qu’il nous fournit une énorme quantité d’informations, tandis que son grand inconvénient est que, s’il n’est pas bien géré, il peut nous submerger de bruit, affecter le fonctionnement de l’infrastructure informatique avec des faux positifs et le déploiement de mesures inutiles provoquant des perturbations.
    Cependant, les avantages d’un IDS sont évidents :

    • Il nous donne la vision totale d’Odin sur ce qui se passe.
    • Nous respectons les règles de sécurité.
    • Nous réduisons le temps de réponse aux incidents.

    Cependant, ses principaux défis et limites, outre les faux positifs, sont les suivants :

    • Il est difficile de l’intégrer à d’autres systèmes de sécurité.
    • Leur qualité dépend de leurs fichiers de signatures, de leurs règles et de l’apprentissage automatique qu’ils appliquent.

    En fin de compte, il n’est pas facile de transformer notre infrastructure informatique en un État policier, mais aujourd’hui il n’y a pas d’alternative et, avec tout cela, George Orwell nous regardera de haut, parce qu’il a écrit un avertissement et non un manuel d’instructions… Sauf en matière de cybersécurité. Nous ferions donc mieux d’imiter Big Brother avec un IDS.

← Retour à Thèmes IT

Au-delà des limites, au-delà des attentes

Obtenez votre essai GRATUIT !