Gartner a annoncé la mort des IDS et IPS en 2003. Sont ils morts ? Si oui, qu'est ce qui les a remplacé ? Lors de cette présentation nous feront l'état de l'art de la détection d'intrusions moderne. Nous regarderons comment la communauté scientifique cherche à répondre aux critiques et aux problématiques de la détection d'intrusions et comment elles peut servir à solutionner de nouveaux problèmes. Finalement, nous prendrons du recul pour regarder les problèmes philosophiques et sémantiques, non pas seulement dans la détection d'intrusions, mais dans les mesures de protection des ordinateurs en général.
802.1X filaire, un monde idéal illusoire? (Olivier Bilodeau)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
1. La détection d'intrusions
est-elle morte en 2003 ?
Présentation au
Le 5 novembre 2010
Par Eric Gingras Ph.D., directeur de la R&D pour Gardien Virtuel
2. Contenu
✔
Définitions et concepts
✔
État de l'art de la détection d'intrusions
✔
Réponses de la communauté
scientifique aux problématiques
✔
Remarques philosophiques sur les
mécanismes de protection existants
La détection d'intrusions est-elle morte en 2003 ?
3. Contenu : Introduction
Introduction
• Gartner a annoncé la mort des IDS et
Définitions IPS en 2003
– Sont ils morts ?
Concepts
– Si oui, ont ils été remplacés ?
État de l'art
- Solutions – Par quoi ?
existantes
- Problèmes
Réponses • Confusion !
scientifiques
Perspectives
La détection d'intrusions est-elle morte en 2003 ?
4. Contenu : Les risques
Introduction
• Les logiciels malveillants
Définitions – Virus, vers, chevaux de troie, etc.
Concepts • Les fraudes
État de l'art – Utilisation non-autorisée de
- Solutions ressources, phishing, etc.
existantes
- Problèmes • Les attaques
– Différents niveaux : réseau, OS,
Réponses
scientifiques applicatif, etc.
Perspectives
La détection d'intrusions est-elle morte en 2003 ?
5. Contenu : Qu'est-ce qu'une intrusion
Introduction
Définition informatique du terme intrusion1
Définitions « Opération qui consiste à accéder, sans
autorisation, à un système informatique ou à un
Concepts réseau, en contournant ou en désamorçant les
dispositifs de sécurité mis en place »
État de l'art
- Solutions
existantes
« Une intrusion informatique peut être perpétrée
- Problèmes
pour diverses raisons, notamment pour modifier
Réponses ou voler de l'information confidentielle, fausser,
scientifiques contaminer ou détruire les données du système,
ou encore exploiter les ressources »
Perspectives
1 – Grand Dictionnaire Terminologique de l'Office québécois de la langue française :
http://www.granddictionnaire.com
La détection d'intrusions est-elle morte en 2003 ?
6. Contenu : Qu'est-ce qu'un IDS
Introduction
Définition du terme système de détection
Définitions d'intrusion1
Concepts « Système combinant logiciel et matériel, qui
permet de détecter en temps réel les tentatives
État de l'art
- Solutions
d'intrusion sur un réseau interne ou sur un seul
existantes ordinateur hôte, de neutraliser ces attaques
- Problèmes réseaux ou systèmes et d'assurer ainsi la sécurité
du réseau d'entreprise. »
Réponses
scientifiques
Perspectives
1 – Grand Dictionnaire Terminologique de l'Office québécois de la langue française :
http://www.granddictionnaire.com
La détection d'intrusions est-elle morte en 2003 ?
7. Contenu : Détection
Introduction
• Deux méthodes : la reconnaissance de
Définitions signatures et la détection d'anomalies.
Concepts
• La reconnaissance de signatures est une
État de l'art approche consistant à rechercher dans
- Solutions l'activité de l'élément surveillé les
existantes signatures (ou empreintes) d'attaques
- Problèmes connues.
Réponses
scientifiques • De son côté, la détection d'anomalies
utilise l'analyse de statistiques du
Perspectives système.
La détection d'intrusions est-elle morte en 2003 ?
8. Contenu : Réaction
Introduction
• En général, il y a deux mécanismes qui
Définitions peuvent être utilisés comme modèle pour
le développement d'un outil de sécurité :
Concepts les filtres et les générateurs d'alertes
État de l'art
- Solutions • Les filtres peuvent agir dans le but
existantes d'empêcher à un attaquant d'atteindre
- Problèmes ses buts : fermeture de port, isolement
d'usager, arrêt d'exécution, etc.
Réponses
scientifiques
• Un outil peut avoir comme objectif de
Perspectives générer des alertes qui peuvent être
catégorisées selon l'impact ou le degré
de complétude de l'action présumée
malveillante
La détection d'intrusions est-elle morte en 2003 ?
9. Contenu : Forces et faiblesses (détection)
Introduction
Signatures :
Définitions – Force : Définitions précises (peu de
Concepts faux positifs)
– Faiblesse : Détecte ce qui est définit
État de l'art
- Solutions (risques de faux négatifs)
existantes
- Problèmes Détection d'anomalies :
Réponses – Force : Peut théoriquement détecter
scientifiques les menaces inconnues (moins de faux
Perspectives négatifs)
– Faiblesse : Apprentissage vs
dynamique (plus de faux positifs)
La détection d'intrusions est-elle morte en 2003 ?
10. Contenu : Forces et faiblesses (réaction)
Introduction
Filtres :
Définitions – Force : Réaction plus rapide
Concepts – Faiblesse : Risque de déni de service
État de l'art
- Solutions Mécanismes d'alertes :
existantes
- Problèmes
– Force : Aucun impact
– Fablesse : Efforts de supervisions
Réponses
scientifiques
Perspectives
La détection d'intrusions est-elle morte en 2003 ?
11. Contenu : Les IDS réseau (NIDS)
Introduction
• Principe : capture et analyse des
Définitions informations circulant sur le réseau.
Concepts
• Exemple de détection d'intrusion réseau :
État de l'art le monitoring des requêtes ARP
- Solutions (ArpWatch)
existantes
- Problèmes
Réponses
scientifiques
Perspectives
La détection d'intrusions est-elle morte en 2003 ?
12. Contenu : Les IDS réseau (NIDS)
Introduction
• Snort
Définitions – Demande beaucoup de ressources
matérielles et logicielles (multi-thread,
Concepts
capture, stockage)
État de l'art – Sélectionner les points d'écoute
- Solutions – Comment traiter les communications
existantes
- Problèmes chiffrées
– Résultats = alertes
Réponses
scientifiques
Perspectives
La détection d'intrusions est-elle morte en 2003 ?
13. Contenu : Les IDS réseau (NIDS)
Introduction
• SourceFire
Définitions – Équipement (appliance)
– Contextualisation passive : ajustement
Concepts
par l'analyse du trafic (mapping du
État de l'art réseau et des utilisateurs par LDAP et
- Solutions autre)
existantes
- Problèmes – Pour le chiffrement : proxy vs au
milieu (MITM)
Réponses – Résultats = IPS
scientifiques
Perspectives
La détection d'intrusions est-elle morte en 2003 ?
14. … mais il n'y a pas que
Contenu :
les NIDS
Introduction
• HIDS : Bâtit une BD contenant les
Définitions attributs (taille, permission, empreinte,
etc.) des objets surveillés. Exemple :
Concepts Samhain, TripWire, OSSEC, etc.
État de l'art
- Solutions • Les antivirus : contraintes, attaques sur
existantes mesure
- Problèmes
Réponses
• Analyse dynamique au niveau du code
scientifiques exécuté
– White et black lists
Perspectives
– Analyse dynamique de la mémoire
(ECAT)
– etc.
La détection d'intrusions est-elle morte en 2003 ?
15. Contenu : ...peut-on aller plus loin
Introduction
• L'utilisation d'un grand nombre d'outils
Définitions apporte le besoin de centralisation pour
l'analyse :
Concepts – Format de données universel
État de l'art – point de défaillance et d'engorgement
- Solutions • redondance et haute disponibilité
existantes
- Problèmes
• LIDS et SIEM
Réponses
scientifiques
– visualisation et présentation des
résultats (volume)
Perspectives – problèmes du stockge (types de
données)
La détection d'intrusions est-elle morte en 2003 ?
16. Contenu : Problématiques abordées
Introduction
1)Comment détecter les nouvelles menaces
Définitions
Concepts
2)Comment réduire le nombre de faux
État de l'art
positifs
- Solutions
existantes
- Problèmes 3)Et tout le reste...
Réponses
scientifiques
Perspectives
La détection d'intrusions est-elle morte en 2003 ?
17. Contenu : Solutions proposées
Introduction ➢
IA (Classification) : réseau neuronaux,
Définitions SVM, chaines de Markov, logique floue...
Concepts ➢
Contextualisation (baseline)
État de l'art
➢
Apprentissage
- Solutions ➢
Passive (fingerprinting d'OS, users,
existantes application
- Problèmes ➢
Active (nmap, CMS, etc.)
Réponses
scientifiques ➢
Événementiel (temps réel)
Perspectives
➢
Monitoring (des preuves ?)
➢
Vulnérabilités
La détection d'intrusions est-elle morte en 2003 ?
18. Contenu : Innovations
Introduction
• Pour le trafic chiffré
Définitions – Catégorisation sans déchiffrement
Concepts • Entropie
État de l'art
• Keystroke
- Solutions – horodatage des paquets
existantes
- Problèmes – taille des données
• S2E2
Réponses
scientifiques – Ajouter : direction du trafic,
séquence, dynamique des frappes
Perspectives
– Déduction : identification du client
et de ses buts par l'évaluation
d'arbres d'attaques
La détection d'intrusions est-elle morte en 2003 ?
19. Contenu : Innovations
Introduction
• Pour l'analyse du trafic
Définitions
Concepts
État de l'art
- Solutions
existantes
- Problèmes
Réponses
scientifiques
Perspectives
Source : Glatz, Eduard : Visualizing Host Traffic through Graphs
La détection d'intrusions est-elle morte en 2003 ?
20. Contenu : Où sont ces solutions
Introduction
• Pourquoi autant de solutions
Définitions – Inutilisées ?
Concepts – Communication et collaboration
État de l'art
- Solutions
existantes
- Problèmes
Réponses
scientifiques
Perspectives
La détection d'intrusions est-elle morte en 2003 ?
21. Contenu : Conclusions
Introduction
• Les solutions présentées se comparent à
Définitions des cadenas, des clôtures, des chiens de
garde, etc. L'intervention de l'humain
Concepts reste donc nécessaire
État de l'art
- Solutions • La difficulté est de trouver le juste
existantes équilibre entre :
- Problèmes – Les restrictions et l'utilisabilité
Réponses – Les configurations et la granularité des
scientifiques contrôles
Perspectives
• Mais il ne faut pas oublier la difficulté qui
réside dans la coordination des solutions
La détection d'intrusions est-elle morte en 2003 ?
22. Contenu : Constats et perspectives
Introduction
• Besoin du changement de paradigme
Définitions – Passer de la syntaxe à la sémantique
Concepts – Passer de l'invincibilité à l'adaptativité
État de l'art
- Solutions • Modèle collaboratif (TDC)
existantes – Détection : exemple du modèle
- Problèmes
épidémique
Réponses – Interprétation
scientifiques
– Réaction
Perspectives
La détection d'intrusions est-elle morte en 2003 ?
23. Venez nous rencontrer
À notre kiosque durant le Hackfest !
Sur le Web :
www.gardienvirtuel.ca
ou suivez-nous sur Twitter :
GardienVirtuel
La détection d'intrusions est-elle morte en 2003 ?