Prévention des intrusions basée sur lhôte

La sécurité en couches est un principe largement accepté en matière de sécurité informatique et réseau. Le principe de base de ce principe est que plusieurs couches de défense sont nécessaires pour protéger les ressources et les données contre diverses attaques, ainsi que contre les menaces. Non seulement il est impossible pour un produit ou une technologie de se défendre contre toutes les menaces possibles, mais le fait de disposer de plusieurs lignes de défense permet également à un produit de « capturer » les intrus qui ont contourné les menaces extérieures.

De nombreuses applications et appareils peuvent être utilisés pour différentes couches de sécurité, tels que les logiciels antivirus , les pare-feu, les IDS (Intrusion Detection Systems ) , etc. Chaque type a sa propre fonction, des capacités légèrement différentes et est capable de protéger le système contre une variété de différentes attaques.

L'une des technologies les plus récentes est l'IPS, ou Intrusion Prevention System. IPS, c'est comme combiner un IDS avec un pare-feu . Un IDS typique enregistre ou avertit les utilisateurs en cas de trafic suspect, mais la manière de réagir dépend de l'utilisateur. IPS dispose de politiques et de règles pour comparer le trafic réseau. Si un trafic enfreint ces politiques et règles, l'IPS peut être configuré pour répondre au lieu de simplement alerter l'utilisateur. Les réponses typiques peuvent consister à bloquer tout le trafic provenant de l' adresse IP source ou à bloquer le trafic entrant sur ce port pour protéger de manière proactive l'ordinateur ou le réseau.

Il existe des systèmes de prévention des intrusions basés sur le réseau (NIPS) et des systèmes de prévention des intrusions basés sur l'hôte (HIPS). Bien qu'il puisse s'avérer plus coûteux de déployer HIPS, en particulier dans les environnements de grandes entreprises, la sécurité basée sur le serveur est recommandée dans la mesure du possible.

Solution de prévention des intrusions basée sur l'hôte (HIPS) pour les réseaux

• Ne vous fiez pas aux signatures : Les signatures, ou caractéristiques des menaces connues, sont l'un des principaux moyens utilisés par les logiciels antivirus et de détection d'intrusion (IDS). Les signatures ne peuvent pas être développées tant qu'une menace n'existe pas réellement et que l'utilisateur est susceptible d'être attaqué avant la création de la signature. Une solution de prévention des intrusions basée sur l'hôte doit combiner la détection basée sur les signatures avec la détection des anomalies pour établir une base de référence d'activité réseau « normale », puis répondre à tout trafic qui semble inhabituel. Par exemple, si un ordinateur n'utilise jamais FTP et qu'une menace tente soudainement d'ouvrir une connexion FTP à partir de l'ordinateur, HIPS détectera cela comme une activité inhabituelle.
• Travailler avec la configuration : Certaines solutions HIPS peuvent être limitées dans les programmes ou processus qu'elles peuvent surveiller et protéger. Vous devriez essayer de trouver un HIPS capable de gérer les packages disponibles dans le commerce ainsi que toutes les applications personnalisées internes utilisées. Si vous n'utilisez pas d'applications personnalisées ou si vous ne considérez pas cela comme un problème important pour votre environnement, assurez-vous au moins que votre solution HIPS protège les programmes et processus en cours d'exécution.
• Permet la création de politiques : la plupart des solutions HIPS sont livrées avec un ensemble assez complet de politiques, et les fournisseurs proposent souvent des mises à jour ou publient de nouvelles politiques pour fournir des réponses spécifiques aux nouvelles menaces ou attaques. Cependant, il est important que vous ayez la possibilité de créer votre propre politique, au cas où il existerait une menace unique que le fournisseur n'explique pas, ou lorsqu'une nouvelle menace apparaîtrait et que vous auriez besoin d'une politique pour protéger votre système, avant que le fournisseur ne l'explique. a le temps de publier une mise à jour. Vous devez vous assurer que le produit que vous utilisez est non seulement capable de permettre la création de politiques, mais que la création de politiques est également facile à comprendre et ne nécessite pas des semaines de formation ou des compétences expertes en programmation.
• Fournit un reporting et une administration centralisés : lorsqu'on parle de protection basée sur serveur pour des serveurs ou des postes de travail individuels, les solutions HIPS et NIPS sont relativement coûteuses et hors de portée d'un seul utilisateur ordinaire. Ainsi, même lorsqu'on parle de HIPS, cela vaut probablement la peine d'être examiné du point de vue du déploiement de HIPS sur des centaines de postes de travail et de serveurs sur un réseau. S'il est formidable d'être protégé au niveau de chaque poste de travail, gérer des centaines de systèmes individuels ou essayer de générer des rapports agrégés est presque impossible sans la capacité de gérer et de créer des rapports ciblés. Lorsque vous choisissez un produit, assurez-vous qu'il dispose d'un reporting et d'une administration centralisés afin de pouvoir déployer de nouvelles politiques sur toutes les machines ou générer des rapports pour toutes les machines en un seul endroit.

Autres choses à garder à l'esprit

Il y a quelques autres choses que vous devez garder à l’esprit. Premièrement, HIPS et NIPS ne constituent pas une solution simple à un problème complexe comme la sécurité. Ils peuvent constituer un excellent complément à un système de défense multicouche solide, comprenant des pare-feu et des applications antivirus, mais ne peuvent pas remplacer les technologies existantes.

Deuxièmement, la mise en œuvre d’une solution HIPS peut s’avérer un peu difficile au début. La configuration de la détection basée sur les anomalies nécessite souvent beaucoup « d'aide » pour que l'application comprenne ce qu'est le trafic « normal » et ce qu'est le trafic anormal. Vous pouvez rencontrer des problèmes lors de l'établissement d'une ligne de base définissant le trafic « normal » pour le système.

En fin de compte, les entreprises décident souvent d’acheter un produit en fonction de ce qu’il peut leur apporter. En pratique, celui-ci se mesure en fonction du Return On Investment ou ROI (retour sur investissement). Autrement dit, si vous investissez une somme d’argent dans un nouveau produit ou une nouvelle technologie, combien de temps faut-il pour que ce produit ou cette technologie soit rentabilisé par lui-même ?

Malheureusement, les produits de sécurité informatique et réseau ne sont souvent pas les mêmes. Si le produit ou la technologie de sécurité fonctionne comme prévu, le réseau sera sécurisé, mais il n'y aura aucun « profit » permettant de mesurer le retour sur investissement. Il faut regarder les inconvénients et considérer combien l’entreprise pourrait perdre si ce produit ou cette technologie n’était pas adopté. Combien d'argent est nécessaire pour reconstruire les serveurs, restaurer les données, combien de temps et de ressources le personnel technique doit-il « nettoyer » après une attaque, etc. ? Sans utiliser ce produit de sécurité, il est probable que l’entreprise perdra bien plus d’argent que le coût d’achat du produit ou de la technologie.