Cet article est le 2ème d’une série d’articles consacré à la convergence pare-feux – sondes, à l’occasion de la sortie de son produit CyFRONT « Frontal de Sécurité ».
agence de rencontre gatineau ottawa Voir le premier article.
Approches par signature ou comportementale
Les algorithmes de détection des sondes sont de deux natures : par signature ou par approche comportementale.
Approche par signature
L site libertin à aurillac ’approche par signature est la plus répandue : on la trouve par exemple avec Suricata, Bro ou Snort. Comme son nom l’indique, la sonde va commonly repérer des patterns de trames qui sont caractéristiques d’une attaque, pour émettre son alerte (ou bloquer le trafic pour l’IPS). Cela signifie que les sondes par signature dépendent d’une connaissance de la menace et d’une caractérisation qui a été faite en amont. L’efficacité d’une telle sonde ne vaut que par celles de leurs bases de données de cyberattaque.
Cette analyse amont tend à limiter l’efficacité d’une analyse par signature sur des exploits de failles 0 jour. Cependant, les patterns sont adossés à des TTP (Tactics, techniques and Procedures) connus, qui peuvent donc être détectés même si une partie de l’attaque exploite une vulnérabilité encore inconnue.
Approche comportementale
L’approche comportementale est un domaine plus récent et qui recouvre des approches diverses. Il s’agit essentiellement de détecter une déviation par rapport à une référence. Autrement dit, ce n’est pas l’attaque qui est la référence que l’on cherche à trouver ; la référence est le fonctionnement du système en dehors d’une attaque, caractérisé d’une manière ou d’une autre, et ce sont les écarts à cette référence qui lèvent des alertes.
Un exemple simpliste est une détection de machine nouvelle ou de protocole nouveau sur un système. Dans ce cas, le pare-feu est efficace… mais à condition d’être entre la nouvelle machine et le réseau à protéger. Par principe la sonde est sur un réseau entre pare-feux. Typiquement, la connexion d’un PC de maintenance sur un réseau terrain où se trouvent des machines est indétectable par le pare-feu car cela ne génère pas de flux entrants (et les pare-feux sont rarement bien configurés pour les flux sortants).
De manière plus élaborée, la sonde CyPRES de Cybelius caractérise tous les échanges dans leur dynamique, de manière fine (et y compris les écarts usuels dans les métriques élaborées), selon un moteur de règles et une AI, qui permettent de détecter des écarts symptomatiques d’une modification inattendue du trafic.
Les sondes par signature ont le grand avantage d’être précises sur l’attaque, et peuvent pointer sur le pattern qui a été détecté. Cela permet d’effectuer rapidement la levée de doute, ou de couper le trafic pour un IPS avec un bon degré de certitude.
Les sondes comportementales sont moins précises et détectent plus d’écarts, ce qui signifie qu’elles doivent être mises en œuvre avec plus de soin. De plus, l’approche « phénoménologique » peut être imprécise sur les causes et rendre les investigations plus longues. Par exemple, une modification des longueurs de trame sur un protocole industriel peut signifier aussi bien une évolution des informations échangées entre automate et supervision, qu’une utilisation malveillante du protocole pour introduire un malware et déployer une attaque sur le réseau.
Cette complémentarité a été présentée pour les protocoles industriels dans un guide de l’ANSSI « Doctrine de détection pour les systèmes industriels » référence PA-084.
Mise en œuvre IDS et IPS
La mise en œuvre des pare-feux est aujourd’hui une compétence standard, quoique rarement très bien maîtrisée lorsque les réseaux sont complexes. Pour les réseaux industriels, signalons l’outil NP-View de Network Perception, partenaire de Cybelius, qui réalise des audits sur les configurations de pare-feux très utiles pour éviter les erreurs, et qui de plus permet d’assurer une mise en conformité réglementaire.
Ce n’est pas encore le cas des IDS et IPS.
Les points de capture sur lesquels appliquer les sondes sont à déterminer selon, idéalement, une analyse de risque. De manière pragmatique, il s’agit des sous-réseaux présentant la plus grande exposition multipliée par la criticité. Il faut également prendre en considération les mesures déjà apportées par la défense en profondeur, et que le risque résiduel justifie de mettre une sonde.
Une autre raison de s’équiper avec une sonde n’est pas liée à ce risque, mais pour apporter de la visibilité sur le réseau. Les sondes voient toutes les machines, tous les protocoles, et cela leur permet de recréer une cartographie physique et logique qui souvent manque sur les systèmes industriels. De fait, c’est aujourd’hui le cas d’utilisation majoritaire des sondes. Par exemple la sonde CyPRES de Cybelius s’attache beaucoup à replacer les machines dans leurs zones, permettant ainsi de se focaliser sur les flux interzones (symptomatiques d’une intrusion et latéralisation).
Les éditeurs poussent plus ou moins la qualité et l’interactivité des IHMs des sondes dans ce but. Un avantage est que la sonde est agnostique par rapport aux machines et détecte tous les hôtes et tous les protocoles, ce qui est mieux que les outils réseaux adossés à une marque. Un logiciel de monitoring réseau est cependant plus performant qu’une sonde si l’objectif est… de monitorer le réseau.
Une fois les points de capture déterminés, l’alimentation de la sonde se fait dans la majorité des cas par une recopie du trafic via un « port mirroring » d’un switch. L’utilisation de TAP (Targetted Attack Protection) est réservée à des usages très particuliers, avec l’avantage que dans ce cas même la compromission du switch et de son paramétrage ne permet pas de voir qu’il y a une sonde sur le réseau.
Ensuite les sondes se configurent. Elles ont toutes une capacité de découverte du réseau et sont outillées pour une première passe. La configuration des alertes, soit par base de signature, soit par validation du comportement, demande un peu d’ingénierie. La présentation du réseau sur l’IHM, les VLANs ou VPN d’envoi des alertes sont également à prendre en compte.
L’initialisation peut être rapide, mais doit être complétée par une période d’observation car un système industriel peut être sollicité de manière différente. Une usine avec un process batch dépend des batchs par exemple, ce qu’on ne voit pas sur un process continu. La gestion d’un réseau de transport a des rythmes journaliers, hebdomadaires. Il est nécessaire qu’un humain, proche de l’exploitation fasse les réglages de la sonde sur cette période. Les sondes ne peuvent pas être plug-and-play, pas plus qu’un pare-feu, sous peine de générer des fausses alertes et de ne pas détecter des intrusions vraies.
Une fois cette initialisation faite, les IDS / IPS fonctionnent en mode automatique et peuvent être intégrés dans la pile de sécurité. On peut également souligner qu’ils devraient être réglés pour assurer la conformité à la politique de sécurité, et fournir des éléments utiles pour les audits.
