Comment soulever les problématiques usuelles de mise en œuvre d’un IPS ?

Les solutions IPS traditionnelles ou « Network IPS » ont fait souffrir plus d’une équipe d’exploitation. En effet, la mise en œuvre et le suivi au quotidien d’une politique IPS ainsi que la gestion des événements qui y sont liés sont des problématiques incontournables. Ou presque.

En réalité, les technologies IPS sont très efficaces et indispensables pour se protéger d’infections massives et de certaines phases d’une attaque ciblée.

Au cours de précédentes expériences, j’ai pu participer à de nombreux projets IPS (réseau ou applicatifs) et bien souvent j’ai pu constater que les équipes IT avaient perdu la bataille face à l’administration d’une telle technologie, notamment à cause :

– du rythme effréné des nouvelles vulnérabilités et donc des nouvelles règles de sécurité associées.

– d’un trop grand nombre de faux positifs poussant les administrateurs à la désactivation de ces mêmes règles.

En résumé, dans le meilleur des cas si une étude complète du réseau, des serveurs et des applications est réalisée lors de la mise en œuvre initiale de l’IPS, vous obtenez une protection efficace. Mais pour combien de temps ?

Quid de cette protection après 1 an d’évolution de votre réseau, de vos serveurs et applications ?

Analysons pourquoi les technologies IPS traditionnelles ne sont pas systématiquement efficaces :

  1. Elles détectent principalement des exploitations de vulnérabilités : Or nul besoin de vulnérabilité ou de 0-day pour réaliser une attaque ciblée. Certes ce sont plutôt des attaques « low-tech APT » mais pourtant cela correspond à la majorité des attaques. Pour plus de détails, consultez l’article suivant : APT : buzzword or not ? (http://blog.trendmicro.fr/apt-buzzword-or-not/)
  2. Elles ne fonctionnent qu’au niveau réseau : Quid des intrusions via des fichiers infectés : trojan et dropper ? Pour information, c’est le vecteur numéro 1 des attaques ciblées à ce jour (91% via spear-phishing).
  3. Les technologies IPS requièrent un suivi important vis-à-vis de votre infrastructure qui évolue en permanence : Combien d’équipes sécurité laissent vivoter leur IPS en ne s’y connectant que rarement ?
  4. Gestion des faux positifs : il est primordial d’adapter en permanence votre politique IPS afin d’utiliser uniquement les règles pertinentes pour vos serveurs à protéger. Malheureusement il est souvent difficile de connaître l’intégralité des informations d’un serveur : OS, niveau de patch, versions exactes des applications installées etc…Difficulté accrue lorsque vous maintenez un parc de plusieurs centaines, voire milliers, de machines (physique et virtuelles)…
  5. Le positionnement de l’IPS réseau offre une protection limitée et il est nécessaire de le placer sur chaque segment réseau. Quid de la protection au sein d’une zone large ? Dans un datacenter virtuel, au sein d’un cluster d’ESX ? Et pour les 3 serveurs isolés dans une usine/une filiale ? Sans parler du coût d’investissement matériel qui est conséquent, des problématiques de logistique, de responsabilité de périmètre, voire de consommation électrique à l’air du green IT.

Afin de répondre à ces problématiques, certaines solutions IPS traditionnelles proposent un palliatif : le scan passif via l’analyse des trames réseau. C’est un début, mais est-ce suffisant ?

Est-ce que le scan passif uniquement au niveau réseau permet d’identifier l’ensemble des vulnérabilités présentes ? Malheureusement non !

Quid des versions Java ? Flash ? Adobe ? De la liste exhaustive des Hotfix et Service Pack du système ?

L’idéal est de pouvoir scanner directement les machines et pas uniquement ses flux réseaux. C’est la stratégie adoptée par Trend Micro avec le Virtual Patching. Cette vision de l’IPS permet de franchir un cap vers une gestion automatisée.

De plus le marché de l’IPS converge vers le firewall NG. Certains éditeurs IPS ont déjà intégré des fonctionnalités firewall dans leurs solutions IPS historiques. Et les éditeurs de firewall NG disposent de très bon moteur IPS embarqué qui rivalisent avec les IPS dédiés (http://www.checkpoint.com/downloads/campaigns/nss-ips-group-2012/cp-ips-nss-labs-2012.pdf). Avec un bon firewall NG, vous bénéficiez déjà d’une 1ère ligne de défense efficace. En prenant en compte le dimensionnement, pourquoi positionner une 2nde solution IPS dédiée et « similaire » juste « derrière » le firewall ?

A cette question, Trend Micro vous propose une approche novatrice : le Virtual Patching. Celle-ci est simple et permet d’apporter une protection efficace et automatisée en lien direct avec vos serveurs et vos postes clients. En effet, les scans de recommandations (scans actifs) vous permettront de définir vos politiques de sécurité (les règles IPS à activer) en fonction des vulnérabilités réellement présentes sur vos machines (de l’OS aux applications).

Pour plus de détails sur le Virtual Patching, consultez les liens suivants et n’hésitez pas à nous contacter :

http://www.trendmicro.fr/grandes-entreprises/virtualisation-et-securite-en-ligne/patchs-virtuels/index.html

http://blog.trendmicro.fr/wp-content/uploads/2013/01/13923-Virtual-Patching-Datasheet-fr-eu.pdf

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.