Bonjour encore. En prévision du début du cours de «rétro-ingénierie», nous avons décidé de partager avec vous un petit article sur la sécurité de l'information qui, bien qu'il ait une relation assez indirecte avec la rétro-ingénierie, peut être un matériau utile pour beaucoup.
Le marché mondial des produits de sécurité de l'information se développe sous l'influence d'une variété croissante de menaces complexes et complexes, ce qui a un impact direct sur l'entreprise et devient de plus en plus demandée non seulement pour les grandes et moyennes entreprises, mais aussi pour les petites organisations. Actuellement, c'est le cas lorsque les outils de sécurité traditionnels, tels qu'un pare-feu et un antivirus, ne sont pas en mesure de fournir un niveau de protection adéquat pour le réseau interne de l'organisation, car les logiciels malveillants peuvent «masquer» et envoyer des paquets qui semblent complètement du point de vue du pare-feu légitime. Il existe de nombreuses solutions commerciales qui peuvent fournir un niveau de protection adéquat pour le réseau interne d’une organisation, mais nous nous concentrerons aujourd’hui sur une classe de solutions telles que les systèmes de détection des intrusions et les systèmes de prévention des intrusions. Dans la littérature anglaise, il s'agit des systèmes de détection des intrusions (IDS) et des systèmes de prévention des intrusions (IPS).
Les différences entre eux sont seulement que l'un peut bloquer automatiquement les attaques et que l'autre l'avertit simplement.
Les solutions de cette classe peuvent être commerciales (propriétaires) ou open source, et entre de bonnes mains peuvent être un excellent ajout au système général de protection de l'organisation. Cette classe de fonctions de sécurité se rapporte à une méthode de suivi des tentatives non autorisées d'accéder aux ressources protégées d'une organisation, appelée surveillance du contrôle d'accès. Il vise à identifier et à enregistrer les failles de sécurité dans l'infrastructure interne - attaques de réseau, tentatives d'accès non autorisées ou escalade de privilèges, logiciels malveillants, etc. Ainsi, par rapport à un pare-feu qui ne contrôle que les paramètres de session, IDS et IPS analysent les flux de données internes transmis, y trouvant une séquence de bits pouvant être des actions ou des événements malveillants. De plus, ils peuvent surveiller les journaux système et d'autres fichiers journaux d'activité des utilisateurs.
Mais tout d'abord. Ainsi,
IDS est un système de détection d'intrusion conçu pour enregistrer les actions suspectes sur le réseau et avertit l'employé responsable de la sécurité des informations en envoyant un message à la console de gestion, en envoyant un e-mail, un message SMS à un téléphone mobile, etc.
L'IDS traditionnel se compose de capteurs qui analysent le trafic réseau ou les journaux et les transmettent aux analyseurs. Les analyseurs recherchent les données malveillantes dans les données reçues et, en cas de succès, envoient les résultats à l'interface administrative. Selon l'emplacement, les IDS sont divisés en
réseau (IDS basé sur le réseau, NIDS) et
hôte (basé sur l'hôte, HIDS). Par son nom, il est clair que l'un surveille tout le trafic réseau du segment où il est installé, et l'autre au sein d'un même ordinateur. Pour une classification plus compréhensible des IDS, il est nécessaire de distinguer deux sous-ensembles supplémentaires qui sont divisés par le type de trafic analysé: IDS basé sur protocole (PIDS), qui analyse les protocoles de communication avec les systèmes ou utilisateurs associés, et IDS, basé sur les protocoles d'application (IDS basé sur le protocole d'application, APIDS), conçu pour analyser les données transmises à l'aide de protocoles spécifiques à l'application.
Naturellement, une activité malveillante dans le trafic analysé peut être détectée de différentes manières. Par conséquent, les caractéristiques suivantes existent dans IDS qui distinguent les différents types de technologies IDS les unes des autres et peuvent être décrites comme suit:
- IDS de signature . Suivez des modèles spécifiques dans le trafic et travaillez comme un logiciel antivirus. Les inconvénients de cette approche: les signatures doivent être à jour et les IDS de ce type ne sont pas en mesure de détecter les attaques inconnues. Cette catégorie peut également être divisée en deux types: IDS de signature, modèles de suivi - comparer les paquets réseau avec les signatures et suivi d'état - comparer les actions avec les modèles. Je suis sûr que le principe de la signature NIDS qui suit les modèles est connu et compréhensible. En ce qui concerne les IDS de signature qui surveillent l'état, nous devons ici comprendre le concept de l'état avec lequel l'IDS fonctionne. Tout changement dans le fonctionnement du système (lancement de logiciel, saisie de données, interaction entre applications, etc.) entraîne un changement d'état. Quant à IDS, l'état initial est avant l'attaque, et l'état compromis est après l'attaque, c'est-à-dire infection réussie.
- IDS basé sur les anomalies . Ce type d'IDS n'utilise pas de signatures. Elle est basée sur le comportement du système et avant de commencer le travail, l'étape d'apprentissage de l'activité «normale» du système se produit. Par conséquent, il est capable de détecter des attaques inconnues. Les anomalies, à leur tour, dans cette catégorie sont divisées en trois types: statistiques - IDS crée un profil des activités régulières du système et compare tout le trafic traversant et les activités avec ce profil; anomalies de protocole - IDS analyse le trafic pour identifier les fragments d'utilisation illégitime des protocoles; anomalies de trafic - IDS détecte les activités illégitimes dans le trafic réseau.
- IDS basé sur des règles . Les données IDS utilisent la programmation basée sur des règles "IF situation THEN action ". Les IDS basés sur des règles sont similaires aux systèmes experts, comme Le système expert est un travail conjoint d'une base de connaissances, de conclusions logiques et d'une programmation basée sur des règles. Dans ce cas, la connaissance est la règle et les données analysées peuvent être appelées des faits auxquels s'appliquent les règles. Par exemple: «SI l'utilisateur administrateur s'est connecté à System1 ET a apporté une modification à File2, ALORS a lancé« Utility3 »ALORS envoyer une notification», c'est-à-dire si l'utilisateur s'est connecté au système 1 et a apporté une modification au fichier 2, puis a exécuté l'utilitaire 3, puis envoyer une notification.
Ainsi, notre IDS peut avertir d'une activité malveillante, mais souvent la tâche consiste précisément à empêcher une activité malveillante à un stade précoce.
IPS , qui a été mentionné précédemment, peut vous aider. Les méthodes de son travail sont opportunes (préventives) et proactives, contrairement à IDS, qui remplit des fonctions de détective. Il convient de noter qu'IPS est une sous-classe d'IDS, il est donc basé sur ses méthodes de détection d'attaque. IPS peut fonctionner à la fois au niveau de l'hôte (HIPS) et au niveau du réseau (NIPS). La capacité à empêcher les attaques est mise en œuvre du fait que le réseau IPS, en règle générale, est intégré au réseau et passe tout le trafic à travers celui-ci, ainsi qu'une interface externe qui reçoit le trafic et une interface interne qui passe le trafic plus loin s'il est reconnu sûr. Il y a aussi la possibilité de travailler avec une copie du trafic en mode surveillance, mais on perd alors la fonctionnalité principale de ce système.
Globalement, IPS peut être divisé en ceux qui analysent le trafic et se comparent aux signatures connues et ceux qui, sur la base d'une analyse de protocole, recherchent le trafic illégitime en fonction de la connaissance des vulnérabilités trouvées précédemment. La deuxième classe offre une protection contre un type d'attaque inconnu. En ce qui concerne les méthodes de réponse aux attaques, un grand nombre d'entre elles se sont accumulées, mais les suivantes peuvent être distinguées des principales: bloquer la connexion à l'aide d'un paquet TCP avec un drapeau RST ou via un pare-feu, reconfigurer l'équipement de communication, et également bloquer les enregistrements utilisateur ou un hôte spécifique dans l'infrastructure .
En fin de compte, l'idée la plus efficace pour protéger l'infrastructure est d'utiliser IDS et IPS ensemble dans un seul produit - un pare-feu qui, grâce à une analyse approfondie des paquets réseau, détecte les attaques et les bloque. Il convient de noter que nous ne parlons que d'une seule ligne de défense, qui est généralement située derrière le pare-feu. Et pour obtenir une protection complète du réseau, il est nécessaire d'utiliser tout l'arsenal d'outils de protection, par exemple UTM (Unified Threat Management) - un pare-feu fonctionnant conjointement, VPN, IPS, antivirus, outils de filtrage et outils anti-spam.
Face à un certain nombre de problèmes architecturaux, le prochain cycle de développement de ces systèmes pour les fournisseurs mondiaux a été le pare-feu de nouvelle génération (NGFW, Next Generation Firewall), qui gagne par l'analyse parallèle du même trafic avec tous les outils de protection, en analysant le trafic pour vérifier l'antivirus en mémoire, et non après avoir été enregistré sur le disque dur, et également en raison de l'analyse des protocoles OSI niveau 7, qui vous permet d'analyser le fonctionnement d'applications spécifiques.