En bref, un système de prévention des intrusions (IPS), également appelé système de prévention et de détection des intrusions (IDPS), est une technologie qui surveille un réseau pour détecter toute activité malveillante tentant d’exploiter une vulnérabilité connue.
La fonction principale d'un système de prévention des intrusions est d'identifier toute activité suspecte et de détecter et d'autoriser (IDS) ou de prévenir (IPS) la menace. La tentative est enregistrée et signalée aux responsables du réseau ou au personnel du centre des opérations de sécurité (SOC).
Get a Personal Firewall Demo Benchmark de sécurité Miercom 2024 NGFW
Les technologies IPS peuvent détecter ou prévenir les attaques de sécurité réseau telles que les attaques par force brute, les attaques par déni de service (DoS) et les exploits de vulnérabilité. Une vulnérabilité est une faiblesse dans un système logiciel et un exploit est une attaque qui tire parti de cette vulnérabilité pour prendre le contrôle d'un système. Lorsqu'un exploit est annoncé, les attaquants ont souvent la possibilité d'exploiter cette vulnérabilité avant que le correctif de sécurité ne soit appliqué. Un système de prévention des intrusions peut être utilisé dans ces cas pour bloquer rapidement ces attaques.
Comme les technologies IPS surveillent les flux de paquets, elles peuvent également servir à imposer l’utilisation de protocoles sécurisés et refuser l’utilisation de protocoles non sécurisés tels que les versions antérieures de SSL ou les protocoles utilisant des chiffrements faibles.
Les technologies IPS ont accès aux paquets où elles sont déployées, soit comme systèmes de détection d’intrusions réseaux (NIDS), soit comme systèmes de détection d’intrusions hôtes (HIDS). L’IPS réseau dispose d’un aperçu plus large de l’ensemble du réseau et peut être déployé en ligne sur le réseau ou hors ligne vers le réseau en tant que capteur passif recevant les paquets d’un réseau TAP ou d’un port SPAN.
La méthode de détection employée peut être basée sur une signature ou une anomalie. Les signatures prédéfinies sont des modèles d'attaques de réseau bien connus. L'IPS compare les flux de paquets avec la signature pour voir s'il y a une correspondance de modèle. Les systèmes de détection d'intrusion basés sur les anomalies utilisent l'heuristique pour identifier les menaces, par exemple en comparant un échantillon de trafic à une ligne de base connue.
Les premières mises en œuvre de la technologie ont été déployées en mode détection sur des appareils de sécurité dédiés. Au fur et à mesure que la technologie évolue et se transforme en Pare-feu de nouvelle génération intégré ou en appareil UTM, l'action par défaut est définie pour empêcher le trafic malveillant.
Dans certains cas, la décision de détecter et d’accepter ou d’empêcher le trafic est basée sur la confiance en une protection IPS en particulier. Lorsqu’il y a moins de confiance en une protection IPS donnée, la probabilité de faux positifs est plus élevée. Un faux positif se produit lorsque l’IDS identifie une activité comme attaque alors que l’activité est un comportement acceptable. Pour cette raison, de nombreuses technologies IPS ont également la capacité de capturer des séquences de paquets à partir de l’événement d’attaque. Ceux-ci peuvent ensuite être analysés pour déterminer s’il la menace est réelle et pour améliorer la protection IPS.