Découvrez les lacunes de votre sécurité d'identité Microsoft.
Demandez une analyse personnalisée.
Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Sujet

IDS/IDPS

Les systèmes de détection d'intrusion (IDS) et les systèmes de prévention d'intrusion (IDPS) sont des composants essentiels d'un cadre de cybersécurité solide, offrant des capacités critiques pour détecter et prévenir les activités malveillantes dans les environnements de réseau.
  • Le marché mondial des IDS/IDPS devrait atteindre 8 milliards de dollars d'ici 2023, ce qui témoigne de la dépendance croissante à l'égard de ces technologies en matière de cybersécurité. (Source : MarketsandMarkets)
  • Les organisations qui utilisent des solutions IDS/IDPS signalent un temps de réponse aux incidents 30 % plus court, ce qui souligne l'efficacité de ces solutions dans l'amélioration des opérations de sécurité. (Source : Ponemon Institute)

Qu'est-ce qu'un système de détection d'intrusion (IDS) ?

Un système de détection d'intrusion (IDS) est une technologie de sécurité conçue pour surveiller les activités du réseau et du système afin de détecter les activités malveillantes ou les violations de politiques. Un IDS analyse le trafic pour détecter les anomalies, les schémas d'attaque connus et les tentatives d'accès non autorisé, et avertit les administrateurs en cas de violation potentielle de la sécurité.

Les types d'IDS/IDPS

Il existe de nombreuses classifications différentes des systèmes de détection d'intrusion. Les classifications les plus courantes sont les suivantes :

Type d'IDS Description Cas d'utilisation Avantages Défis
IDS en réseau (NIDS) Surveille le trafic réseau pour détecter toute activité suspecte en analysant les paquets. Déployé au niveau des périmètres des réseaux ou des segments critiques pour détecter les attaques telles que les balayages de ports et les attaques par déni de service (DDoS). Offre une large visibilité sur le réseau et peut détecter un large éventail d'attaques basées sur le réseau. Il peut être submergé par des volumes de trafic élevés et peut manquer le trafic crypté.
IDS basé sur l'hôte (HIDS) Surveille les éléments internes d'un système informatique, tels que les journaux du système et des applications. Installé sur des appareils ou des serveurs individuels pour détecter les anomalies et les accès non autorisés. Fournit une surveillance détaillée des hôtes individuels et peut détecter les attaques locales. Il est gourmand en ressources et peut être compromis si l'hôte l'est.
Système de détection d'intrusion basé sur la signature Utilise des modèles d'attaque prédéfinis (signatures) pour identifier les menaces potentielles. Efficace pour détecter les menaces connues avec des signatures établies. Précision pour les menaces connues, avec de faibles taux de faux positifs pour les signatures reconnues. Impossible de détecter des menaces nouvelles ou inconnues en l'absence de signatures préexistantes.
IDS basé sur les anomalies Détecte les écarts par rapport au comportement normal afin d'identifier les menaces potentielles. Efficace pour identifier les menaces inconnues en surveillant les activités inhabituelles. Peut détecter de nouvelles attaques et des exploits de type "zero-day" en identifiant les anomalies. Taux de faux positifs plus élevés en raison de la difficulté à définir un comportement "normal".

Fonctionnement des IDS/IDPS

Les solutions IDS et IDPS utilisent une combinaison de techniques de détection basées sur les signatures et les anomalies pour analyser le trafic réseau et les activités du système. Voici comment elles fonctionnent :

  1. Détection basée sur la signature : Les systèmes IDS/IDPS gèrent une base de données de modèles d'attaque connus, ou signatures, qui sont comparés au trafic réseau entrant ou aux événements du système. Si une correspondance est trouvée, une alerte est générée, indiquant une intrusion potentielle ou une menace pour la sécurité.
  2. Détection basée sur les anomalies : Ces systèmes établissent une base de référence du comportement normal du réseau et du système au fil du temps. Les écarts par rapport à cette base sont signalés comme des anomalies potentielles. La détection basée sur les anomalies est efficace pour identifier les menaces inconnues ou les attaques qui n'ont pas de signatures connues.
  3. Surveillance en temps réel : Les solutions IDS/IDPS surveillent en permanence le trafic du réseau, à la recherche de modèles ou d'activités qui correspondent à des signatures d'attaques connues ou qui s'écartent de manière significative de la norme établie.
  4. Alertes et rapports : Lorsqu'une activité suspecte ou malveillante est détectée, les systèmes IDS/IDPS génèrent des alertes, qui peuvent inclure des détails sur la menace détectée, sa gravité et le système ou le segment de réseau affecté. Ces alertes sont envoyées au personnel de sécurité ou intégrées aux systèmes de gestion des informations et des événements de sécurité (SIEM) en vue d'une analyse et d'une réponse plus approfondies.
  5. Mécanismes de réponse (IDPS) : Outre la détection, les solutions IDPS ont la capacité de prendre des mesures automatisées pour bloquer ou atténuer les menaces détectées en temps réel. Cette approche proactive permet de prévenir les failles de sécurité potentielles.

Les avantages de l'IDS/IDPS

Les systèmes de détection d'intrusion (IDS) et les systèmes de détection et de prévention d'intrusion (IDPS) sont des éléments essentiels de la stratégie de cybersécurité d'une organisation, et ce pour plusieurs raisons :

  1. Détection des menaces : Les solutions IDS/IDPS jouent un rôle essentiel en identifiant et en alertant les organisations sur les menaces de sécurité et les intrusions potentielles. En fournissant une alerte précoce et une détection rapide, elles contribuent à prévenir ou à minimiser l'impact des cyberattaques.
  2. Conformité réglementaire : De nombreuses industries et organisations sont soumises à des exigences réglementaires qui imposent l'utilisation d'IDS/IDPS pour protéger les données sensibles et garantir la conformité aux normes de cybersécurité.
  3. Réponse aux incidents : Les solutions IDS/IDPS font partie intégrante des efforts de réponse aux incidents. Elles fournissent des informations précieuses sur la nature et la portée d'une intrusion, ce qui permet aux équipes de sécurité de prendre les mesures appropriées pour contenir et atténuer la menace.
  4. Réduction des temps d'arrêt et des dommages: En détectant les menaces et en y répondant rapidement, les solutions IDS/IDPS contribuent à réduire les temps d'arrêt et les dommages potentiels causés par les cyberattaques, minimisant ainsi les coûts et les perturbations qui y sont associés.
  5. Visibilité du réseau : Ces systèmes offrent des informations sur le trafic et les activités du réseau, aidant les organisations à comprendre le comportement de leur réseau et à identifier les zones de vulnérabilité qui pourraient nécessiter une protection supplémentaire.
  6. Défense proactive (IDPS) : Les solutions IDPS vont au-delà de la détection en empêchant activement les menaces de compromettre la sécurité du réseau. Elles peuvent automatiquement bloquer ou mettre en quarantaine le trafic malveillant ou les activités suspectes en temps réel, réduisant ainsi la surface d'attaque.

Les limites de l'IDS/IDPS

Aujourd'hui, les attaquants peuvent facilement échapper aux techniques de détection du périmètre et de malware . L'évitement de la détection peut revêtir l'une des cinq caractéristiques suivantes, ou une combinaison de celles-ci :

  1. Évasion de la signature
  2. Trafic crypté
  3. Évitement du périmètre
  4. Mouvement interne
  5. Récolte de données d'identification

Évasion de la signature

L'approche la plus simple pour échapper à l'IDPS basé sur la signature consiste à utiliser un trafic qui ne correspond pas aux signatures connues. Cela peut être trivial ou très complexe. Par exemple, la détection des signatures est souvent basée sur des adresses IP et des URL compromises "connues" utilisées par les botnets et malware. Pour les attaquants, l'évitement est aussi simple que l'enregistrement d'un nouveau domaine.

À l'autre extrémité du spectre, des attaquants très sophistiqués peuvent trouver et exploiter des vulnérabilités jusqu'alors inconnues. Les attaques contre ces vulnérabilités "inconnues" n'ont naturellement pas le type de signature que l'IDPS peut tenter de localiser.

Trafic crypté

Un autre moyen d'éviter les signatures consiste à obscurcir le trafic. Cela peut être aussi simple que de crypter le trafic réseau malveillant. Le décryptage SSL au niveau du périmètre est une option, mais elle est coûteuse car elle introduit des pénalités de performance et elle est devenue compliquée à mettre en œuvre.

Les attaquants sophistiqués d'aujourd'hui utilisent un cryptage personnalisé qui ne peut être décrypté, même dans les meilleures circonstances. Les équipes de sécurité doivent donc décider de bloquer ou d'autoriser le trafic inconnu au niveau du périmètre.

Évitement du périmètre

Les attaquants ont appris à éviter le périmètre et ses protections. En infectant les appareils des utilisateurs à la maison ou en dehors du périmètre, les menaces peuvent être introduites par la porte d'entrée.

En particulier, les appareils mobiles fournissent des chemins logiques et physiques autour du périmètre. Les appareils mobiles dotés d'une connectivité de données LTE ou 5G peuvent facilement accéder à l'internet et constituent un conduit invisible que les attaquants adorent utiliser pour pénétrer dans les réseaux.

Mouvement interne

Étant donné que l'IDPS se concentre presque exclusivement sur le périmètre, une fois les défenses initiales contournées, les attaquants peuvent se déplacer beaucoup plus librement. Cela implique un processus continu de reconnaissance interne, de mouvement latéral, d'accès et de vol d'actifs clés. Chaque domaine fait appel à une grande variété de techniques d'attaque, et toutes se déroulent à l'intérieur du réseau, où la visibilité est généralement faible.

Pour aller plus loin, avec l'apparition des déploiements hybrides et multiclouds, les lacunes en matière de visibilité du réseau s'étendent souvent aux connexions entre les instances de calcul et de stockage. Les cyberattaquants adorent exploiter ce manque de visibilité.

Récolte de données d'identification

Une fois dans le réseau, les attaquants avertis n'ont pas besoin d'exploits et de malware pour étendre leur incursion. Au lieu de cela, ils récoltent simplement les informations d'identification des utilisateurs à partir des hôtes compromis pour se propager à travers le réseau. Généralement, ils capturent un nom d'utilisateur et un login pendant le processus d'authentification ou volent des informations d'identification ou des hachages en mémoire. Dans les deux cas, les attaquants peuvent se répandre dans le réseau en utilisant des informations d'identification valides sans avoir recours à des exploits ou à malware.

Combler les lacunes en matière de sécurité IDS/IDPS avec Vectra AI

Si les solutions IDS/IDPS jouent un rôle crucial dans la sécurité des réseaux, elles ne peuvent à elles seules assurer une protection complète contre les cybermenaces avancées et évolutives. C'est là qu'intervient Vectra AI .

Vectra AI offre une plateforme avancée de détection et de réponse aux menaces qui va au-delà des capacités IDS/IDPS traditionnelles.

En s'appuyant sur des algorithmes d'intelligence artificielle et d'apprentissage automatique, Vectra AI analyse le trafic réseau et les comportements des utilisateurs en temps réel, détectant ainsi des attaques sophistiquées susceptibles de contourner les systèmes IDS/IDPS.

Vectra AISa capacité à identifier les menaces cachées, les attaques " zero-day " et les menaces individu comble les lacunes des solutions IDS/IDPS en matière de sécurité, ce qui permet aux entreprises de défendre leurs réseaux de manière proactive et de réagir rapidement aux menaces émergentes. Avec Vectra AI, les entreprises peuvent améliorer leur posture de sécurité globale et garder une longueur d'avance sur les cybercriminels.

> Lire pourquoi les équipes de sécurité remplacent leurs IDPS vieillissants par des NDR

Contactez-nous pour découvrir comment nous pouvons vous aider à renforcer vos défenses et à adopter une posture de cybersécurité plus résiliente.

Toutes les ressources sur les IDS/IDPS

Best Practices Guide
L'IPS de nouvelle génération masque-t-il un vieux problème ?

Les systèmes de détection d'intrusion (IDS) tels que Cisco Firepower (anciennement Sourcefire), Trend Micro Deep Discovery et McAfee Network Threat Behavior Analysis sont tous des technologies traditionnelles profondément enracinées dans la détection et la protection basées sur les signatures.

Télécharger
En savoir plus
Livre blanc
Pourquoi les équipes de sécurité remplacent-elles les IDS et IPS par le NDR ?

Les organisations qui utilisent des IDPS ne peuvent pas facilement discerner les menaces actives inconnues et arrêter les attaques sophistiquées déjà en cours.

Télécharger
En savoir plus
Rapport de recherche
Décortiquer la faille de SolarWinds : un regard intérieur sur les méthodes utilisées

Les modèles de détection Vectra AI fournissent une alerte précoce en temps réel et une visibilité continue tout au long de la progression de l'attaque, de sur site à cloud , sans dépendre d'IoC, de signatures ou d'autres mises à jour de modèles.

Télécharger
En savoir plus
Témoignage client
Une grande société immobilière remplace IDS/IPS par Vectra

En savoir plus

Foire aux questions

Qu'est-ce qu'un système de détection d'intrusion (IDS) ?

Quels sont les principaux types d'IDS ?

Quels sont les principaux défis liés à la mise en œuvre de l'IDS et de l'IDPS ?

Quel rôle les IDS/IDPS jouent-ils dans les exigences de conformité et de réglementation ?

Quels sont les développements futurs attendus dans les technologies IDS et IDPS ?

Quelle est la différence entre un système de prévention des intrusions (IDPS) et un IDS ?

Comment les équipes de sécurité choisissent-elles entre IDS et IDPS ?

Comment les organisations peuvent-elles gérer efficacement les faux positifs et les faux négatifs ?

Les systèmes IDS et IDPS peuvent-ils être intégrés à d'autres solutions de sécurité ?

Comment les organisations doivent-elles former leur personnel à l'utilisation efficace des systèmes IDS et IDPS ?