Principes de sécurité informatique et évolution du marché en matière de détection d'intrusion

Les IDS en question

Le but de ce document n'est absolument pas d'orienter vers un outil ou un autre mais simplement d'analyser les avantages et les inconvénients des techniques de détection d'intrusion afin d'établir des critères de choix pour ce type d'outils. On parle souvent d'IDS (Intrusion Detection System) pour désigner l'ensemble des outils de détection d 'intrusion.

Bibliothèques de signatures contre détection d'anomalies

On peut dans un premier temps classer tous les outils de détection d'intrusion selon deux modes de fonctionnement selon qu'ils se basent sur des signatures d'attaques ou sur des modèles comportementaux.

IDS à Bibliothèques de signatures

Le concept de bibliothèque de signatures d'attaque est l'approche la plus basique et la plus ancienne. Cette approche consiste à rechercher dans l'activité de l'élément surveillé les empreintes (ou signatures) d'attaques connues. Cette démarche appliquée à la détection d'intrusion, est très similaire à celle des outils antivirus et présente les même inconvénients que celle ci. Il est aisé de comprendre que ce type d'IDS est purement réactif ; il ne peut détecter que les attaques dont il possède la signature. De ce fait, il nécessite des mises à jour quotidiennes. De plus, ce système de détection est aussi bon que l'est la base de signature. Si les signatures sont erronées ou incorrectement conçues l'ensemble du système est inefficace. C'est pourquoi ces systèmes sont souvent contournés par les pirates qui utilisent des techniques dites " d'évasion " qui consistent à maquiller les attaques utilisées. Ces techniques de maquillage tendent à faire varier les signatures des attaques qui ainsi ne sont plus reconnues par l'IDS. Ce modèle est par contre très aisé à implémenter et à optimiser. Il permet la séparation du moteur logiciel de la base de signature qui peut ainsi être mise à jour indépendamment. Il permet également une classification relativement facile de la criticité des attaques signalées.

IDS à Modèles comportementaux

Les modèles comportementaux sont apparus bien plus tard que les IDS à signatures. Ils ont pour principe la détection d'anomalies. Leur mise en oeuvre comprend toujours une phase d'apprentissage au cours de laquelle ils vont " découvrir " le fonctionnement " normal " des éléments surveillés. Une fois cet apprentissage effectué ces IDS signaleront les divergences par rapport au fonctionnement de référence. Les modèles comportementaux peuvent être élaborés à partir d'analyses statistiques ou de techniques proches de l'intelligence artificielle. La principale promesse des IDS comportementaux est la détection des nouveaux type d'attaque. En effet ces IDS ne sont pas programmés pour reconnaître des attaques spécifiques mais signalent toute activité " anormale ". De ce fait une attaque ne doit pas nécessairement être connue d'avance ; dès lors qu'elle représente une activité anormale elle peut être détectée par l'IDS comportemental. Du fait même de leur conception ces IDS sont incapables de qualifier la criticité des attaques. De plus, ces IDS signaleront par exemple tout changement dans le comportement d'un utilisateur qu'il soit hostile ou non. De fréquents ajustements sont nécessaires afin de faire évoluer le modèle de référence de sorte qu'il reflète l'activité normale des utilisateurs et réduire le nombre de fausses alertes générées.

Réseau contre Système

Les IDS peuvent également se classer selon deux catégories majeures selon qu'ils s'attachent à surveiller le trafic réseau ou l'activité des machines. On parle d'IDS réseau (NIDS : Network IDS) ou d'IDS Système (Host based IDS).

IDS Réseau

Ces outils analysent le trafic réseau ; ils comportent généralement une sonde qui " écoute " sur le segment de réseau à surveiller et un moteur qui réalise l'analyse du trafic afin de détecter les signatures d'attaques ou les divergences face au modèle de référence. Les IDS Réseau à base de signatures sont confrontés actuellement à deux problèmes majeurs qui sont : le développement de l'utilisation du cryptage et le développement des réseaux commutés. En effet, il est d'une part plus difficile " d'écouter " sur les réseaux commutés et le cryptage rend l'analyse du contenu des paquets presque impossible. La plupart des NIDS sont aussi dits IDS inline car ils analysent le flux en temps réel. Pour cette raison, la question des performances est très importante car de tels IDS doivent être de plus en plus performants afin d'analyser les volumes de plus en plus importants pouvant transiter sur les réseaux.

IDS Système

Les IDS Systèmes analysent quant à eux le fonctionnement ou l'état des machines sur lesquelles ils sont installés afin de détecter les attaques. Ils sont très dépendants du système sur lequel ils sont installés. Il faut donc des outils spécifiques en fonction des systèmes déployés. Ces IDS peuvent s'appuyer sur des fonctionnalités d'audit propres au système d'exploitation ou non pour vérifier l'intégrité du système et générer des alertes. Il faut cependant noter qu'ils sont incapables de détecter les attaques affectant les couches réseaux de la machine ; typiquement les Déni de service comme SYN FLOOD ou autre.

La réalité du marché

Actuellement de nombreux produits sont disponibles, certains appartiennent même au domaine public. Leur complexité de mise en oeuvre et leur degré d'intégration sont très divers. Même si les outils strictement basés sur des modèles comportementaux sont actuellement en perte de vitesse ; des modèles de ce type sont de plus en plus intégrés à des IDS initialement basés sur une bibliothèque de signatures. En effet, certains éditeurs ont déjà fait le choix de compléter leur base de signature par un modèle comportemental basique permettant de signaler des événements non identifiables. Les IDS systèmes sont un peu en retrait face aux IDS réseaux même si ces derniers sont confrontés comme nous l'avons vu à des problématiques qui devraient beaucoup peser sur leur avenir.

Le futur

On peut penser que dans un futur proche devrait apparaître et se développer les IDS distribués. Ceux si consisteraient en agents déployés sur tous (ou presque) les noeuds du réseau et agissant comme autant de sondes réseau et d'IDS systèmes. Ces agents analyseraient le trafic réseau à destination de la machine sur laquelle ils seraient installés et contrôleraient également l'intégrité de ce système. Le point central deviendrait alors un " serveur IDS " auquel tous les agent devraient rendre compte et qui serait en mesure d'agréger et de consolider les informations en provenance des agents afin de générer les alertes.

Critères de choix

Aujourd'hui les systèmes de détection d'intrusion sont réellement devenus indispensables lors de la mise en place d'une infrastructure de sécurité opérationnelle. Ils s'intègrent donc toujours dans un contexte et une architecture qui imposent des contraintes pouvant être très diverses. C'est pourquoi il n'existe pas de grille d'évaluation unique pour ce type d'outil. Pourtant un certain nombre de critères peuvent être dégagés ; ceux ci devront nécessairement être pondérés en fonction du contexte de l'étude.

Fiabilité : Un détecteur d'intrusion doit être fiable ; les alertes qu'il génère doivent être justifiées et aucune intrusion ne doit pouvoir lui échapper. Un IDS générant trop de fausses alertes sera à coup sûr désactivé par l'administrateur et un IDS ne détectant rien sera rapidement considéré comme inutile.
Réactivité : Un IDS doit être capable de détecter les nouveaux types d'attaque le plus rapidement possible ; pour cela il doit rester constamment à jour. Des capacités de mise à jour automatique sont pour ainsi dire indispensables.
Facilité de mise en oeuvre et adaptabilité : Un IDS doit être facile à mettre en oeuvre et doit pouvoir surtout s'adapter au contexte dans lequel il doit opérer ; il est inutile d'avoir un IDS émettant des alertes en moins de 10 secondes si les ressources nécessaires à une réaction ne sont pas disponible pour agir dans les mêmes contraintes de temps.
Performance : la mise en place d'un IDS ne doit en aucun cas affecter les performance des systèmes surveillés. De plus, il faut toujours avoir la certitude que l'IDS a la capacité de traiter toute l'information à sa disposition (par exemple un IDS réseau doit être capable de traiter l'ensemble du flux pouvant se présenter à un instant donné sans jamais dropper de paquets) car dans le cas contraire il devient trivial de masquer les attaques en augmentant la quantité d'information.
Multicanal : Un bon IDS doit pouvoir utiliser plusieurs canaux d'alerte (email, pager, téléphone, fax...) afin de pouvoir garantir que les alertes seront effectivement émises. Information : L'IDS doit donner un maximum d'information sur l'attaque détectée afin de préparer la réaction. Classification : il doit être aisé de hiérarchiser la gravité des attaques détectées afin d'adapter le mode d'alerte.

Conclusion

Les IDS sont actuellement des produits mûrs et aboutis. Ils continuent d'évoluer pour répondre aux exigences technologiques du moment mais offrent d'ores et déjà un éventail de fonctionnalités capables de satisfaire les besoins de tous les types d'utilisateurs. Néanmoins comme tous les outils techniques ils ont des limites que seule une analyse humaine peut compenser. Un peu comme les Firewalls, voir aussi ici, les détecteurs d'intrusion deviennent chaque jour meilleurs grâce à l'expérience acquise avec le temps mais ils deviennent aussi de plus en plus sensibles aux erreurs de configuration et de paramétrage. Par conséquent, il est plus que fondamental de former correctement les personnes chargées de la mise en oeuvre et de l'exploitation des IDS. Malheureusement, il semble que c'est encore là où aujourd'hui encore subsiste la plus grande partie de la difficulté.

JB700