Les systèmes de détection et de prévention des intrusions observent toutes les activités au sein d'un réseau, conservent des enregistrements de cette activité et recherchent les intrusions et les attaques. Les solutions de détection et de prévention des intrusions peuvent être mises en œuvre séparément ou ensemble, bien que les avoir toutes les deux soit souvent plus avantageuse car la détection et la réponse sont toutes deux importantes pour la sécurité du réseau. Au fil du temps, les systèmes de détection d'intrusion (IDS) et les systèmes de prévention d'intrusion (IPS) ont fusionné pour devenir des systèmes de détection et de prévention d'intrusion (IDPS).
IDS
Les systèmes de détection d'intrusion surveillent le trafic réseau et enregistrent toutes les activités dans les journaux système, qui peuvent être étudiés pour les modèles. Un système de détection d'intrusion est connu pour sa capacité à étudier l'activité du réseau puis à détecter un comportement inhabituel. Il observe sur le réseau différents modèles de trafic, y compris ceux caractéristiques des vers ou des virus, et alerte les équipes informatiques ou les administrateurs des activités ou attaques suspectes. L'IDS peut être programmé pour s'attendre à un certain comportement normal du réseau et à ce qui se produit généralement dans les segments du réseau; sa fonction de détection d'anomalies signale les actions inhabituelles qui ne correspondent pas à la programmation.
IDS voit à quoi ressemble une intrusion et utilise des enregistrements précédents, appelés signatures d'intrusion, pour voir si un nouveau modèle peut également être une intrusion. IDS accède à ces données via des fichiers journaux que le réseau conserve. Mais c'est la faiblesse d'un système de détection d'intrusions, aussi il se limite à l'observation d'intrusions qui se sont déjà produites.
Le logiciel IDS a différents niveaux et prix; il peut également être installé comme matériel dans un système informatique.
IPS
Les systèmes de prévention des intrusions analysent le trafic réseau, filtrent les demandes et autorisent ou bloquent les demandes en conséquence. IPS est plus proactif que IDS car il peut réagir au comportement. Cela peut cependant être accablant pour les équipes informatiques, car toute activité étrange, même anodine, surchargera le personnel technologique d'alertes. Si un IPS n'est pas intelligent et ne peut pas bien interpréter l'activité du réseau, il sera presque impossible pour les humains de trier le barrage d'alertes système.
Les systèmes de prévention des intrusions peuvent être sujets aux faux positifs et négatifs: un faux positif bloque un paquet légitime qui semble tout simplement suspect, et un faux négatif manque le trafic malveillant. L'apprentissage automatique mis en œuvre dans la prévention des intrusions peut aider le système à devenir plus précis si la technologie apprend mieux les modèles de réseau et détecte les vrais problèmes avec plus de précision. Une automatisation plus avancée peut réduire le nombre de faux positifs et négatifs. Les équipes de sécurité doivent généralement affiner les règles pour éviter de déclencher des alertes fausses ou insignifiantes.
Les services de prévention des intrusions peuvent être basés sur le réseau ou sur l'hôte. Les IPS basés sur le réseau se trouvent à proximité du pare-feu et surveillent le trafic réseau. Les IPS basés sur l'hôte sont plus proches d'un ordinateur ou d'un autre point de terminaison (près de l'hôte).
Utilisation à la fois de systèmes de détection et de prévention des intrusions (IDPS)
Comme mentionné précédemment, la détection et la prévention des intrusions sont souvent regroupées automatiquement, bien qu'elles puissent être mises en œuvre en tant que solutions distinctes. Cependant, ils sont plus efficaces ensemble. Détecter une activité anormale possible dans le fichier journal d'une application ne sert à rien si le système ne peut pas prendre de mesures pour suivre et réprimer un intrus. Et sans logiciel pour surveiller tout le trafic réseau, les systèmes de prévention ne pourront pas localiser aussi efficacement les activités malveillantes. Bien que IDPS ne soit pas la solution parfaite pour toute la sécurité du réseau, il est préférable de déployer à la fois la détection et la prévention si vous prévoyez d'utiliser l'un d'entre eux.