Qu’est-ce qu’un système de détection d’intrusion de nouvelle génération ?

0
174

Tout ce qui est qualifié de « nouvelle génération » (NG) implique l’existence d’un aspect important qui avait besoin d’être amélioré. L’IDS (Intrusion Detection Systems), conçu comme une source fiable pour le réseau, répond à ce critère.

Tribune par Riad Nassou, directeur régional des ventes chez ExtraHop – L’IDS a vu le jour dans les années 1990 pour faire face à la principale menace de l’époque : les failles dans les logiciels. Les signatures, sur lesquelles repose la stratégie de détection d’un IDS, sont étroitement liées aux CVE (Common Vulnerabilities & Exposures) qui répertorient les informations publiques relatives aux vulnérabilités de sécurité. Les signatures sont à l’opposé des techniques d’exploitations de vulnérabilités figurant dans des outils de piratage tels que Metasploit. Elles ont pour but d’identifier des séquences de trafic (patterns) caractérisant les techniques connues d’exploitation de vulnérabilités notoires dans les logiciels.

Dans le cas de l’IDS, le qualificatif NG peut être trompeur car certains fournisseurs de solution IDS l’ont déjà utilisé en ajoutant simplement des capacités de veille sur les menaces (Threat intel). S’il s’agit bien d’un ajout majeur, la Threat intel ne remplit néanmoins pas toutes les conditions justifiant le besoin d’un IDS de nouvelle génération.

L’IDS n’a jamais tenu la promesse de détecter sur tout le spectre nécessaire

Dès les débuts de l’IDS, la recherche de signatures, le suivi des comportements et la découverte d’anomalies étaient nécessaires pour une détection sur tout le spectre ( NIST 800-94 ). Alors que les développeurs de ces systèmes sont parvenus à maîtriser la partie signatures, la détection des comportements et des anomalies s’est révélée plus compliquée car il était difficile de déterminer exactement en quoi consistait la normalité au moyen de techniques d’analyse manuelles de l’époque dans des environnements dynamiques.

Aujourd’hui, le Machine Learning constitue le socle du NG-IDS pour apporter ce qui fait cruellement défaut à l’IDS classique : l’analyse comportementale, la détection des anomalies, l’analyse comportementale comparative au sein de groupe de pairs ainsi que la détection basée sur des modèles supervisés s’appuyant sur des règles. Cela revêt une importance cruciale, en permettant au NG-IDS de détecter les tactiques, techniques et procédures (TTP) d’attaque connues ou inconnues.

Le périmètre a changé

Les périmètres réseau sont poreux, élastiques et abstraits, remplis d’équipements non gérés et de workloads cloud qui en franchissent les limites sans contrôle. Ces équipements peuvent être infectés en dehors du champ d’action de l’équipe de sécurité ou via des canaux de communication alternatifs tels que les VPN tiers, les canaux secondaires mobiles ou les réseaux de partenaires dits de confiance. Toutes ces méthodes échappent à l’observation d’un IDS tourné vers ce que l’on nomme le trafic Nord-Sud.

Le NG-IDS permet d’étendre ces capacités de détections au trafic « est-ouest » pour assurer une protection aussi en phase de post-compromission et ce afin de bloquer avec succès les intrus ou les menaces internes avant qu’ils ne se déplacent latéralement et causent des dommages réels.

L’angle mort croissant du chiffrement

Dans les années 1990, la plupart du trafic réseau circulait en clair. Aujourd’hui, nous chiffrons à peu près tout : c’est par exemple le cas de 95 % du trafic Google. En conséquence, la sécurité est aveugle vis-à-vis de ce qui peut être banal, légitime ou dangereux et qui franchit le périmètre, se déplace latéralement dans les datacenters et/ou les infrastructures cloud.

Certains fournisseurs d’IDS ont ajouté des capacités de type « man in the middle » à leur offre packagée. Malheureusement, celles-ci se sont révélées difficiles à mettre en œuvre et augmentent les risques en raison de la faiblesse du transcodage cryptographique, comme le signale un avis de la NSA.

Le NG-IDS applique l’inspection sur la totalité du spectre du trafic chiffré, incluant l’usage de PFS (Perfect Forward Secrecy) dans TLS 1.3. Il complète ses capacités de déchiffrement avec du fingerprinting JA3 et JA3S.

Les stratégies d’attaque ont évolué

Les vulnérabilités dans les logiciels étaient la principale menace prise en compte aux débuts de l’IDS. Les CVEs demeurent une préoccupation majeure en matière de sécurité. Cependant, les auteurs d’attaques jugent désormais plus efficace d’exploiter le facteur humain à travers des techniques d’ingénierie sociale, d’acheter des identifiants volés ou de tirer profit des erreurs humaines (mauvaises configurations) que de se plonger dans du code assembleur pour développer ou acquérir de coûteuses exploitations de failles Zero Day.

C’est ce que mets en évidence le rapport Verizon DBIR 2020 qui relève que la fréquence des attaques exploitants des vulnérabilités a culminé à 5 % en 2017, avant de baisser constamment pour ne plus représenter que 2,5 % des attaques étudiées.

L’obtention d’une prévention à 100 % est irréaliste. C’est ce que l’on appelle souvent le dilemme du défenseur. Les auteurs d’attaques ne suivent pas de règles et n’ont besoin de faire mouche qu’une seule fois, tandis que les défenseurs n’ont aucun droit à l’erreur pour empêcher toute intrusion dans leur périmètre. Le NG-IDS offre une détection approfondie des attaques qui s’infiltrent à travers des défenses perméables pour viser vos précieuses ressources.

L’IDS s’arrête aux alertes

Outre les budgets serrés, les responsables Sécurité sont également confrontés au défi de trouver des professionnels compétents dans leur domaine. L’IDS inspecte le trafic à la volée en y recherchant une signature présente dans sa bibliothèque et susceptible de déclencher une alerte. Malheureusement, il se borne à émettre des alertes, laissant à des analystes pressés par le temps le soin d’en rechercher la cause au moyen d’autres outils d’investigation et, dans certains cas, d’interroger un référentiel PCAP supplémentaire afin d’y trouver des indices.

Le NG-IDS aide ces analystes à court de temps à optimiser leur travail en intégrant la détection, l’investigation et la réponse dans un seul et même outil s’intégrant parfaitement dans un SoC potentiellement existant. En règle générale, un NG-IDS performant fournit un historique sur les 90 derniers jours pour une investigation rétrospective, et ce d’ailleurs qu’une alerte ait été déclenchée ou non.