La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)

  • 1,557 views
Uploaded on

Gartner a annoncé la mort des IDS et IPS en 2003. Sont ils morts ? Si oui, qu'est ce qui les a remplacé ? Lors de cette présentation nous feront l'état de l'art de la détection d'intrusions moderne. …

Gartner a annoncé la mort des IDS et IPS en 2003. Sont ils morts ? Si oui, qu'est ce qui les a remplacé ? Lors de cette présentation nous feront l'état de l'art de la détection d'intrusions moderne. Nous regarderons comment la communauté scientifique cherche à répondre aux critiques et aux problématiques de la détection d'intrusions et comment elles peut servir à solutionner de nouveaux problèmes. Finalement, nous prendrons du recul pour regarder les problèmes philosophiques et sémantiques, non pas seulement dans la détection d'intrusions, mais dans les mesures de protection des ordinateurs en général.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,557
On Slideshare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. La détection d'intrusions est-elle morte en 2003 ? Présentation au Le 5 novembre 2010 Par Eric Gingras Ph.D., directeur de la R&D pour Gardien Virtuel
  • 2. Contenu ✔ Définitions et concepts ✔ État de l'art de la détection d'intrusions ✔ Réponses de la communauté scientifique aux problématiques ✔ Remarques philosophiques sur les mécanismes de protection existants La détection d'intrusions est-elle morte en 2003 ?
  • 3. Contenu : Introduction Introduction • Gartner a annoncé la mort des IDS et Définitions IPS en 2003 – Sont ils morts ? Concepts – Si oui, ont ils été remplacés ? État de l'art - Solutions – Par quoi ? existantes - Problèmes Réponses • Confusion ! scientifiques Perspectives La détection d'intrusions est-elle morte en 2003 ?
  • 4. Contenu : Les risques Introduction • Les logiciels malveillants Définitions – Virus, vers, chevaux de troie, etc. Concepts • Les fraudes État de l'art – Utilisation non-autorisée de - Solutions ressources, phishing, etc. existantes - Problèmes • Les attaques – Différents niveaux : réseau, OS, Réponses scientifiques applicatif, etc. Perspectives La détection d'intrusions est-elle morte en 2003 ?
  • 5. Contenu : Qu'est-ce qu'une intrusion Introduction Définition informatique du terme intrusion1 Définitions « Opération qui consiste à accéder, sans autorisation, à un système informatique ou à un Concepts réseau, en contournant ou en désamorçant les dispositifs de sécurité mis en place » État de l'art - Solutions existantes « Une intrusion informatique peut être perpétrée - Problèmes pour diverses raisons, notamment pour modifier Réponses ou voler de l'information confidentielle, fausser, scientifiques contaminer ou détruire les données du système, ou encore exploiter les ressources » Perspectives 1 – Grand Dictionnaire Terminologique de l'Office québécois de la langue française : http://www.granddictionnaire.com La détection d'intrusions est-elle morte en 2003 ?
  • 6. Contenu : Qu'est-ce qu'un IDS Introduction Définition du terme système de détection Définitions d'intrusion1 Concepts « Système combinant logiciel et matériel, qui permet de détecter en temps réel les tentatives État de l'art - Solutions d'intrusion sur un réseau interne ou sur un seul existantes ordinateur hôte, de neutraliser ces attaques - Problèmes réseaux ou systèmes et d'assurer ainsi la sécurité du réseau d'entreprise. » Réponses scientifiques Perspectives 1 – Grand Dictionnaire Terminologique de l'Office québécois de la langue française : http://www.granddictionnaire.com La détection d'intrusions est-elle morte en 2003 ?
  • 7. Contenu : Détection Introduction • Deux méthodes : la reconnaissance de Définitions signatures et la détection d'anomalies. Concepts • La reconnaissance de signatures est une État de l'art approche consistant à rechercher dans - Solutions l'activité de l'élément surveillé les existantes signatures (ou empreintes) d'attaques - Problèmes connues. Réponses scientifiques • De son côté, la détection d'anomalies utilise l'analyse de statistiques du Perspectives système. La détection d'intrusions est-elle morte en 2003 ?
  • 8. Contenu : Réaction Introduction • En général, il y a deux mécanismes qui Définitions peuvent être utilisés comme modèle pour le développement d'un outil de sécurité : Concepts les filtres et les générateurs d'alertes État de l'art - Solutions • Les filtres peuvent agir dans le but existantes d'empêcher à un attaquant d'atteindre - Problèmes ses buts : fermeture de port, isolement d'usager, arrêt d'exécution, etc. Réponses scientifiques • Un outil peut avoir comme objectif de Perspectives générer des alertes qui peuvent être catégorisées selon l'impact ou le degré de complétude de l'action présumée malveillante La détection d'intrusions est-elle morte en 2003 ?
  • 9. Contenu : Forces et faiblesses (détection) Introduction Signatures : Définitions – Force : Définitions précises (peu de Concepts faux positifs) – Faiblesse : Détecte ce qui est définit État de l'art - Solutions (risques de faux négatifs) existantes - Problèmes Détection d'anomalies : Réponses – Force : Peut théoriquement détecter scientifiques les menaces inconnues (moins de faux Perspectives négatifs) – Faiblesse : Apprentissage vs dynamique (plus de faux positifs) La détection d'intrusions est-elle morte en 2003 ?
  • 10. Contenu : Forces et faiblesses (réaction) Introduction Filtres : Définitions – Force : Réaction plus rapide Concepts – Faiblesse : Risque de déni de service État de l'art - Solutions Mécanismes d'alertes : existantes - Problèmes – Force : Aucun impact – Fablesse : Efforts de supervisions Réponses scientifiques Perspectives La détection d'intrusions est-elle morte en 2003 ?
  • 11. Contenu : Les IDS réseau (NIDS) Introduction • Principe : capture et analyse des Définitions informations circulant sur le réseau. Concepts • Exemple de détection d'intrusion réseau : État de l'art le monitoring des requêtes ARP - Solutions (ArpWatch) existantes - Problèmes Réponses scientifiques Perspectives La détection d'intrusions est-elle morte en 2003 ?
  • 12. Contenu : Les IDS réseau (NIDS) Introduction • Snort Définitions – Demande beaucoup de ressources matérielles et logicielles (multi-thread, Concepts capture, stockage) État de l'art – Sélectionner les points d'écoute - Solutions – Comment traiter les communications existantes - Problèmes chiffrées – Résultats = alertes Réponses scientifiques Perspectives La détection d'intrusions est-elle morte en 2003 ?
  • 13. Contenu : Les IDS réseau (NIDS) Introduction • SourceFire Définitions – Équipement (appliance) – Contextualisation passive : ajustement Concepts par l'analyse du trafic (mapping du État de l'art réseau et des utilisateurs par LDAP et - Solutions autre) existantes - Problèmes – Pour le chiffrement : proxy vs au milieu (MITM) Réponses – Résultats = IPS scientifiques Perspectives La détection d'intrusions est-elle morte en 2003 ?
  • 14. … mais il n'y a pas que Contenu : les NIDS Introduction • HIDS : Bâtit une BD contenant les Définitions attributs (taille, permission, empreinte, etc.) des objets surveillés. Exemple : Concepts Samhain, TripWire, OSSEC, etc. État de l'art - Solutions • Les antivirus : contraintes, attaques sur existantes mesure - Problèmes Réponses • Analyse dynamique au niveau du code scientifiques exécuté – White et black lists Perspectives – Analyse dynamique de la mémoire (ECAT) – etc. La détection d'intrusions est-elle morte en 2003 ?
  • 15. Contenu : ...peut-on aller plus loin Introduction • L'utilisation d'un grand nombre d'outils Définitions apporte le besoin de centralisation pour l'analyse : Concepts – Format de données universel État de l'art – point de défaillance et d'engorgement - Solutions • redondance et haute disponibilité existantes - Problèmes • LIDS et SIEM Réponses scientifiques – visualisation et présentation des résultats (volume) Perspectives – problèmes du stockge (types de données) La détection d'intrusions est-elle morte en 2003 ?
  • 16. Contenu : Problématiques abordées Introduction 1)Comment détecter les nouvelles menaces Définitions Concepts 2)Comment réduire le nombre de faux État de l'art positifs - Solutions existantes - Problèmes 3)Et tout le reste... Réponses scientifiques Perspectives La détection d'intrusions est-elle morte en 2003 ?
  • 17. Contenu : Solutions proposées Introduction ➢ IA (Classification) : réseau neuronaux, Définitions SVM, chaines de Markov, logique floue... Concepts ➢ Contextualisation (baseline) État de l'art ➢ Apprentissage - Solutions ➢ Passive (fingerprinting d'OS, users, existantes application - Problèmes ➢ Active (nmap, CMS, etc.) Réponses scientifiques ➢ Événementiel (temps réel) Perspectives ➢ Monitoring (des preuves ?) ➢ Vulnérabilités La détection d'intrusions est-elle morte en 2003 ?
  • 18. Contenu : Innovations Introduction • Pour le trafic chiffré Définitions – Catégorisation sans déchiffrement Concepts • Entropie État de l'art • Keystroke - Solutions – horodatage des paquets existantes - Problèmes – taille des données • S2E2 Réponses scientifiques – Ajouter : direction du trafic, séquence, dynamique des frappes Perspectives – Déduction : identification du client et de ses buts par l'évaluation d'arbres d'attaques La détection d'intrusions est-elle morte en 2003 ?
  • 19. Contenu : Innovations Introduction • Pour l'analyse du trafic Définitions Concepts État de l'art - Solutions existantes - Problèmes Réponses scientifiques Perspectives Source : Glatz, Eduard : Visualizing Host Traffic through Graphs La détection d'intrusions est-elle morte en 2003 ?
  • 20. Contenu : Où sont ces solutions Introduction • Pourquoi autant de solutions Définitions – Inutilisées ? Concepts – Communication et collaboration État de l'art - Solutions existantes - Problèmes Réponses scientifiques Perspectives La détection d'intrusions est-elle morte en 2003 ?
  • 21. Contenu : Conclusions Introduction • Les solutions présentées se comparent à Définitions des cadenas, des clôtures, des chiens de garde, etc. L'intervention de l'humain Concepts reste donc nécessaire État de l'art - Solutions • La difficulté est de trouver le juste existantes équilibre entre : - Problèmes – Les restrictions et l'utilisabilité Réponses – Les configurations et la granularité des scientifiques contrôles Perspectives • Mais il ne faut pas oublier la difficulté qui réside dans la coordination des solutions La détection d'intrusions est-elle morte en 2003 ?
  • 22. Contenu : Constats et perspectives Introduction • Besoin du changement de paradigme Définitions – Passer de la syntaxe à la sémantique Concepts – Passer de l'invincibilité à l'adaptativité État de l'art - Solutions • Modèle collaboratif (TDC) existantes – Détection : exemple du modèle - Problèmes épidémique Réponses – Interprétation scientifiques – Réaction Perspectives La détection d'intrusions est-elle morte en 2003 ?
  • 23. Venez nous rencontrer À notre kiosque durant le Hackfest ! Sur le Web : www.gardienvirtuel.ca ou suivez-nous sur Twitter : GardienVirtuel La détection d'intrusions est-elle morte en 2003 ?