La sécurité par couches est un principe largement accepté de la sécurité des ordinateurs et des réseaux (voir Sécurité en profondeur). Le principe de base est qu'il faut plusieurs niveaux de défense pour se protéger contre la grande variété d'attaques et de menaces. Non seulement un produit ou une technique peut ne pas protéger contre toutes les menaces possibles, nécessitant donc des produits différents pour des menaces différentes, mais le fait de disposer de plusieurs lignes de défense permettra, espérons-le, à un seul produit d’attraper des objets susceptibles d’être dépassés.
Il existe de nombreuses applications et périphériques que vous pouvez utiliser pour les différentes couches: logiciels antivirus, pare-feu, systèmes de détection d'intrusion (IDS), etc. Chacune a une fonction légèrement différente et protège d'une série d'attaques différente d'une manière différente.
L’une des technologies les plus récentes est le système de prévention des intrusions IPS. Un IPS est un peu comme combiner un IDS avec un pare-feu. Un IDS typique se connectera ou vous avertira du trafic suspect, mais la réponse vous est laissée. Un IPS a des politiques et des règles avec lesquelles il compare le trafic réseau. Si du trafic enfreint les politiques et les règles, l'IPS peut être configuré pour répondre plutôt que pour vous alerter. Les réponses typiques peuvent être de bloquer tout le trafic provenant de l'adresse IP source ou de bloquer le trafic entrant sur ce port pour protéger de manière proactive l'ordinateur ou le réseau.
Il existe des systèmes de prévention d'intrusion basés sur le réseau (NIPS) et des systèmes de prévention d'intrusion basés sur l'hôte (HIPS). Bien qu'il puisse être plus coûteux d'implémenter HIPS, en particulier dans un grand environnement d'entreprise, je recommande la sécurité basée sur l'hôte chaque fois que possible. Arrêter les intrusions et les infections au niveau de chaque poste de travail peut s'avérer beaucoup plus efficace pour bloquer ou tout au moins contenir les menaces. Dans cet esprit, voici une liste d'éléments à rechercher dans une solution HIPS pour votre réseau:
- Ne compte pas sur les signatures: Les signatures - ou les caractéristiques uniques des menaces connues - sont l’un des principaux moyens utilisés par des logiciels tels que l’antivirus et la détection des intrusions (IDS). La chute des signatures est qu’elles sont réactives. Une signature ne peut être développée qu'après qu'une menace existe et vous pouvez potentiellement être attaqué avant que la signature ne soit créée. Votre solution HIPS doit utiliser une détection basée sur la signature ainsi qu'une détection basée sur une anomalie, qui établit une base de référence de l'activité réseau "normale" de votre ordinateur et réagit à tout trafic inhabituel. Par exemple, si votre ordinateur n'utilise jamais le protocole FTP et qu'une menace tente soudainement d'ouvrir une connexion FTP depuis votre ordinateur, le système HIPS le détectera comme une activité anormale.
- Fonctionne avec votre configuration: Certaines solutions HIPS peuvent limiter les programmes ou processus qu’elles sont en mesure de surveiller et de protéger. Vous devez essayer de trouver un système HIPS capable de gérer des packages commerciaux prêts à l'emploi ainsi que toutes les applications personnalisées que vous utilisez éventuellement. Si vous n'utilisez pas d'applications personnalisées ou ne considérez pas qu'il s'agit d'un problème important pour votre environnement, assurez-vous au moins que votre solution HIPS protège les programmes et les processus que vous utilisez. faire courir.
- Vous permet de créer des politiques: La plupart des solutions HIPS comportent un ensemble assez complet de stratégies prédéfinies et les fournisseurs proposent généralement des mises à jour ou publient de nouvelles stratégies afin de fournir une réponse spécifique aux nouvelles menaces ou attaques. Toutefois, il est important que vous puissiez créer vos propres stratégies si vous présentez une menace unique dont le fournisseur ne tient pas compte ou lorsqu’une nouvelle menace explose et si vous avez besoin d’une stratégie pour défendre votre système avant la mise à jour. Le fournisseur a le temps de publier une mise à jour. Vous devez vous assurer que le produit que vous utilisez a non seulement la capacité de créer des stratégies, mais que sa création est suffisamment simple pour que vous puissiez la comprendre sans semaines de formation ou de compétences de programmation expert.
- Fournit des rapports et une administration centralisés: Bien que nous parlions de protection basée sur l’hôte pour des serveurs ou des postes de travail individuels, les solutions HIPS et NIPS sont relativement coûteuses et ne relèvent pas du domaine d’un utilisateur typique. Ainsi, même lorsque vous parlez de HIPS, vous devez probablement l'examiner du point de vue du déploiement de HIPS sur éventuellement des centaines de postes de travail et de serveurs sur un réseau. Bien qu’il soit agréable d’avoir une protection au niveau du poste de travail individuel, administrer des centaines de systèmes individuels ou essayer de créer un rapport consolidé peut être presque impossible sans une fonction centralisée de reporting et d’administration. Lors de la sélection d'un produit, assurez-vous que la génération de rapports et l'administration sont centralisées pour vous permettre de déployer de nouvelles stratégies sur toutes les machines ou de créer des rapports à partir de toutes les machines à partir d'un seul emplacement.
Il y a quelques autres choses que vous devez garder à l'esprit. Premièrement, HIPS et NIPS ne constituent pas une solution miracle pour la sécurité. Ils peuvent constituer un excellent ajout à une défense solide en couches, notamment des pare-feu et des applications antivirus, mais ne doivent pas essayer de remplacer les technologies existantes.
Deuxièmement, la mise en œuvre initiale d'une solution HIPS peut être fastidieuse. La configuration de la détection basée sur les anomalies nécessite souvent beaucoup de "maintien en main" pour aider l'application à comprendre ce qu'est le trafic "normal" et ce qui ne l'est pas. Vous pouvez rencontrer un certain nombre de faux positifs ou de négatifs manqués pendant que vous travaillez à établir la base de référence de ce qui définit le trafic "normal" pour votre ordinateur.
Enfin, les entreprises effectuent généralement des achats en fonction de ce qu'elles peuvent faire pour l'entreprise. Les pratiques comptables standard suggèrent que cela soit mesuré sur la base du retour sur investissement, ou ROI.Les comptables veulent savoir s’ils investissent une somme d’argent dans un nouveau produit ou une nouvelle technologie, combien de temps faudra-t-il pour que le produit ou la technologie soit rentabilisé.
Malheureusement, les produits de sécurité réseau et informatique ne correspondent généralement pas à ce moule. La sécurité fonctionne sur plus d'un retour sur investissement inverse. Si le produit ou la technologie de sécurité fonctionne comme prévu, le réseau restera sécurisé, mais il n'y aura aucun "profit" permettant de mesurer un retour sur investissement. Cependant, vous devez regarder dans le sens inverse et considérer combien l'entreprise pourrait perdre si le produit ou la technologie n'étaient pas en place. Combien d'argent faudrait-il dépenser pour la reconstruction des serveurs, la récupération des données, le temps et les ressources consacrés au personnel technique dédié au nettoyage après une attaque, etc.? Si le fait de ne pas avoir le produit risque de faire perdre beaucoup plus d’argent que les coûts liés au produit ou à la technologie à mettre en œuvre, il est peut-être logique de le faire.
