Il y a longtemps, les gens pensaient que d’avoir un pare-feu en place permettrait de protéger leurs systèmes et réseaux de toutes les menaces et de toute attaque extérieure. Et pendant un certain temps, très court, ils avaient raison.
Mais, comme l’histoire nous l’a appris, il n’y a pas de solution miracle qui permet d’arrêter toutes les menaces, parce que celles-ci sont toujours en évolution et nos moyens de défense doivent donc aussi évoluer.
La détection et la compréhension des menaces – et le développement de signatures – est un processus très difficile et très coûteux. “Les techniques d’évasions sont fantastiquement efficaces”, a déclaré Anthony Haywood, CTO de Idappcom, à la conférence de presse Infosecurity à Londres.
L’autre problème est qu’une grande quantité des règles est “handicapée”. Certaines en raison des performances, d’autres à cause de leur âge. Mais les vendeurs ne vous disent pas que leur produit est mis en place de manière à ne détecter que les 1000 dernières menaces connues, qu’il cherche des menaces que sur le port par défaut, ou qu’il ne porte que sur les 300 premiers octets du paquet, ce qui rend la plupart des signatures inutiles.
L’achat d’un produit de sécurité, son activation et le choix de la politique par défaut ne vous rend pas plus sûr. Comme le prouve un essai mené par NSS Labs en 2009, une politique de réglage personnalisée des Intrusion Prevention Systems est essentielle pour une efficacité accrue :
Dans cet exemple particulier, la solution Sourcefire a eu 65 % d’efficacité lors de l’utilisation des politiques par défaut contre 89 % lorsque les politiques ont été crées par le vendeur. “Avec des règles de politique supplémentaires provenant d’organismes extérieurs, l’efficacité peut atteindre 100 %”, a déclaré Haywood.
Il a expliqué que la “politique par défaut” est une expression trompeuse, et que cela devrait en réalité être appelé “politique plus simple pour plus de performances”. La vérité est, que si vous voulez un débit maximum, vous obtiendrez une protection minimale – et c’est quelque chose qui devrait pousser les vendeurs à être francs à ce propos. Une mauvaise sécurité est pire que pas de sécurité du tout, car cela vous donne un faux sentiment de sécurité.
Il y a un certain nombre de choses que chaque organisation peut faire pour relever le niveau de sécurité. Il convient d’ajouter des règles de sécurité de haute qualité à leurs politiques afin d’accroître la détection et de réduire le nombre de faux positifs. Il convient aussi de procéder à des évaluations régulières des technologies de sécurité utilisées – et de prolonger la durée de vie des dispositifs existants. La vérification régulière des capacités de défense serait aussi la bienvenue.
Trouver le juste équilibre entre la vitesse et la sécurité peut être difficile, mais devrait être une priorité pour chaque organisation.