les systèmes de détection et de prévention des intrusions (PDI) fonctionnent en surveillant le trafic réseau, en l’analysant et en fournissant des tactiques de correction lorsque des comportements malveillants sont détectés. Ils recherchent un comportement ou des caractéristiques correspondants qui indiqueraient un trafic malveillant, enverraient des alertes et bloqueraient les attaques.
avoir à la fois les capacités de détection et de prévention est essentiel à une infrastructure de sécurité efficace., La détection identifie uniquement les comportements malveillants, mais ne prend aucune mesure pour bloquer ou empêcher les attaques lorsqu’elles sont détectées. Il enregistrera uniquement ces alertes. Les systèmes de prévention peuvent ajuster les règles de pare-feu à la volée pour bloquer ou supprimer le trafic malveillant lorsqu’il est détecté, mais ils ne disposent pas des capacités d’identification robustes des systèmes de détection.
Les outils IDPS peuvent détecter les logiciels malveillants, les attaques d’ingénierie sociale et d’autres menaces basées sur le web, y compris les attaques DDoS. Ils peuvent également fournir des capacités préventives de prévention des intrusions pour les menaces internes et les systèmes potentiellement compromis.,
gardez à l’esprit lors de l’examen de notre liste des meilleurs outils logiciels IDPS que vous n’avez peut-être pas besoin de les acheter en tant que produits autonomes. Ils peuvent également être inclus avec d’autres outils de sécurité, tels que les pare-feu de nouvelle génération (NGFW), et peuvent porter d’autres noms, tels que la prévention des menaces.,td>Signature based
McAfee NSP
McAfee Network Security Platform (NSP) est une solution de détection et de prévention des intrusions de nouvelle génération qui protège les systèmes et les données où qu’ils se trouvent, dans les centres de données, le cloud et les environnements d’entreprise hybrides., McAfee est depuis longtemps l’un des plus grands noms de la cybersécurité et a prouvé pourquoi avec ce produit IDPS complet.
Il peut prendre en charge jusqu’à 32 millions de connexions sur une seule appliance et utilise l’intelligence pour détecter et bloquer les menaces de logiciels malveillants sophistiqués et les attaques ciblées avancées sur un réseau. Il offre des analyses de bots intelligentes, une surveillance améliorée des applications de point de terminaison, une analyse des données de flux, des profils DoS auto-apprenants et une fonction d’analyse pour identifier les hôtes potentiellement malveillants.,
les utilisateurs louent McAfee NSP pour sa flexibilité, son architecture complète et sa simplicité d’utilisation. En ce qui concerne le matériel, NSP peut répondre à la gamme complète des besoins des clients avec ses quatre modèles de capteurs.
Trend Micro TippingPoint
Trend Micro TippingPoint identifie et bloque le trafic malveillant, empêche le mouvement latéral des logiciels malveillants, assure la disponibilité et la résilience du réseau et améliore les performances du réseau. Il peut être déployé dans le réseau sans adresse IP ou MAC pour filtrer immédiatement le trafic malveillant et indésirable., Les filtres de sécurité des renseignements sur les menaces de vaccins numériques couvrent l’ensemble de l’empreinte de vulnérabilité, pas seulement des exploits spécifiques. La solution offre un débit d’inspection du trafic réseau jusqu’à 120 Gbps.
TippingPoint utilise une combinaison de technologies, telles que l’inspection approfondie des paquets et la réputation des menaces, pour adopter une approche proactive de la sécurité du réseau. Son analyse approfondie du trafic assure une grande précision de détection des menaces et fournit une sensibilisation contextuelle pour donner aux équipes de sécurité une meilleure compréhension de la façon de remédier à une Menace., Les solutions TippingPoint sont fournies sous forme de plates-formes matérielles ou virtuelles et offrent une protection en temps réel contre les vulnérabilités grâce à des informations automatisées sur les menaces liées aux vaccins.
Darktrace Enterprise Immune System
Le Darktrace Enterprise Immune System est une technologie d’apprentissage automatique et d’intelligence artificielle (IA) pour la cyberdéfense. Il est à la hauteur de son nom en modélisant sa fonctionnalité d’après le système immunitaire humain. Il apprend de manière itérative un « modèle de vie » unique pour chaque appareil et utilisateur sur un réseau, et met en corrélation ces informations pour repérer les menaces émergentes qui passeraient autrement inaperçues.,
Darktrace Enterprise Immune System peut également mettre en œuvre des efforts de prévention automatique pour donner aux équipes de sécurité un temps précieux pour riposter. Ce système peut détecter les menaces dans les environnements cloud, les réseaux d’entreprise et les systèmes de contrôle industriels. Le visualiseur de menaces primé de Darktrace offre une visibilité globale sur l’infrastructure de sécurité du réseau et une supervision complète des alertes et des actions de L’IA.
Darktrace ne se considère pas comme une solution IPS ou IDPS, et Gartner convient que L’entreprise ne correspond pas à cette catégorie., Cependant, le cabinet d’analystes l’a nommé fournisseur à surveiller dans ce domaine du marché. Ce produit IDPS est disponible en tant qu’appliance logicielle et matérielle.
Cisco Firepower NGIPS
Le système de prévention D’Intrusion de nouvelle génération de Cisco vient dans le logiciel et les appliances physiques et virtuelles pour de petites succursales jusqu’aux grandes entreprises, offrant le débit de 50 Mbps jusqu’à 60 Mbps. NGIPS offre des informations de sécurité basées sur les URL, une intégration de la grille de menaces AMP et est soutenu par L’équipe de recherche en sécurité Talos de la société.,
Le Centre de gestion Firepower fournit des données contextuelles sur les menaces pour aider les équipes à identifier le type de menace auquel elles sont confrontées et aide à trouver la cause première du problème. Cisco met à jour Firepower avec de nouvelles signatures toutes les deux heures, s’assurant que le système est capable de détecter les menaces les plus récentes et les plus avancées.
Gartner a classé Cisco Firepower NGIPS en tant que leader du Magic Quadrant pendant sept ans, et L’organisation de test indépendante NSS Labs l’a considéré comme une solution IPS « recommandée” au cours des huit dernières années.,
AT& t Cybersecurity USM
AT& t Cybersecurity Unified Security Management (USM) – anciennement AlienVault – fournit la détection des menaces, la réponse aux incidents et la gestion de la conformité dans une plate-forme unifiée. Il intègre cinq composants essentiels d’une solution de sécurité complète: la découverte des actifs, l’évaluation des vulnérabilités, la détection des intrusions, la surveillance comportementale et la gestion des journaux SIEM.,
les informations sur les menaces mises à jour en permanence par AlienVault Labs et AlienVault Open Threat Exchange maintiennent le système à jour sur les acteurs, les menaces, les outils et les méthodes malveillants. Il fournit également un contexte sur les dernières alarmes et vulnérabilités pour faire gagner du temps aux équipes de faire la recherche elles-mêmes. Son système d’alarme classe les menaces en fonction du niveau de risque pour aider les équipes de sécurité à hiérarchiser les réponses.,
ses capacités robustes de recherche et de filtrage permettent aux équipes d’isoler les alarmes ou les événements d’intérêt afin qu’elles puissent fouiller dans les détails des informations sur les menaces, les événements connexes, ainsi que des recommandations pour les réponses aux incidents. Il existe également une longue liste d’options de réponse aux incidents qui peuvent être lancées directement à partir de la console.
AlienVault USM peut être déployé dans des environnements sur site et cloud.
Palo Alto Networks
Palo Alto Networks est probablement le plus célèbre pour ses puissants pare-feu de nouvelle génération., Le produit de prévention des menaces de Palo Alto Networks a été développé pour accélérer les capacités de leur NGFW grâce à une analyse et une prévention intelligentes. Il vise à prévenir les cyberattaques réussies grâce à l’automatisation.
Threat Prevention peut inspecter tout le trafic avec un contexte utilisateur complet, empêchant automatiquement les menaces connues, quel que soit le port, le protocole ou le cryptage SSL. Ses informations sur les menaces sont automatiquement mises à jour chaque jour, transmises au NGFW et mises en œuvre par Threat Prevention pour arrêter toutes les menaces.,
Palo Alto Networks a également fait un effort pour assurer des performances impressionnantes cohérentes. Son architecture à passage unique et sa gestion des politiques permettent une détection et une prévention complètes des menaces sans sacrifier les performances.
NSFocus NGIPS
Le NSFocus Next-Generation Intrusion Prevention System (NGIPS) offre une protection contre les menaces qui bloque les intrusions, empêche les violations et protège les actifs., Il utilise une approche multicouche pour identifier et traiter les menaces persistantes connues, zero-day et avancées pour se protéger contre les logiciels malveillants, les vers, les logiciels espions, les chevaux de Troie de porte dérobée, les fuites de données, le craquage par force brute, les attaques de protocole, le balayage/sondage et les menaces web.
Il prend en charge la capacité de traitement de jusqu’à 20 Gbps de données de la couche d’application. L’outil de sandboxing virtuel NSFocus peut identifier, évaluer et atténuer les menaces persistantes connues et avancées.
NSFocus NGIPS est disponible en tant que machines physiques et virtuelles.,
Blumira Automated Detection& Response
Blumira Automated Detection& Response platform permet aux entreprises de se défendre plus efficacement contre les menaces de cybersécurité en temps quasi réel. Il est conçu pour réduire le bruit des fausses alertes positives et ne concentrer l’attention que sur les vrais comportements malveillants pour alléger le fardeau de la fatigue des alertes.
Au-delà de l’identification des menaces, la réponse automatisée aux menaces de Blumira fonctionne en temps quasi réel pour arrêter les menaces internes et externes., Le système comprend également des manuels étape par étape pour guider les efforts de remédiation. Le tableau de bord de gestion fournit des informations supplémentaires sur les menaces au fil du temps, l’analyse ouverte et les menaces suspectées.
Blumira est une plateforme entièrement infonuagique qui peut être déployée facilement et rapidement. Et avec une orchestration et une automatisation de sécurité robustes intégrées à ces IDPS, il peut être géré par des équipes de pratiquement n’importe quelle taille.,
fonctions principales du système de détection et de prévention des intrusions
Les fonctions principales des solutions IDPS peuvent être divisées en quatre catégories principales:
- surveillance: IDPS surveille les systèmes informatiques à l’aide de la détection d’intrusion basée sur la signature ou
- alertes: après avoir identifié les menaces potentielles, le logiciel IDPS se connecte et envoie des notifications d’alerte pour informer les administrateurs d’une activité anormale.,
- correction: les outils IDPS fournissent des mécanismes de blocage pour les menaces malveillantes, donnant aux administrateurs le temps d’agir. Dans certains cas, les équipes informatiques peuvent ne pas être tenues d’agir du tout après le blocage d’une attaque.
- Maintenance: outre la surveillance des comportements anormaux, les outils IDPS peuvent également surveiller les performances du matériel informatique et des composants de sécurité avec des contrôles de santé. Cela garantit qu’une infrastructure de sécurité fonctionne correctement à tout moment.
systèmes de détection d’Intrusion (IDS) vs, Systèmes de prévention des intrusions (IPS)
Comme mentionné précédemment, un outil de PDI véritablement holistique nécessite à la fois des capacités de détection et de prévention. Lorsque vous recherchez des solutions, vous rencontrerez probablement à la fois des systèmes de détection d’intrusion (IDS) et des systèmes de prévention d’intrusion (IPS). Ce sont des produits autonomes et ne doivent pas être confondus avec les IDP, ce qui vous aidera à éviter les gros trous dans votre infrastructure de sécurité.
Les outils IDS sont uniquement conçus pour détecter les activités malveillantes et enregistrer et envoyer des alertes. Ils ne sont pas capables d’empêcher une attaque., Les alertes qu’ils déclenchent nécessitent toujours une intervention humaine.
IPS, d’autre part, répond en fonction de critères prédéterminés de types d’attaques en bloquant le trafic et en abandonnant les processus malveillants. Malheureusement, les outils IPS conduisent à plus de faux positifs car ils ont des capacités de détection inférieures à celles des ID.
Les solutions IDPS intègrent les points forts des deux systèmes dans un produit ou une suite de produits.
Types de PDI
les types de PDI peuvent être classés en fonction de ce qu’ils sont conçus pour protéger., Ils tombent généralement sous deux types: basé sur l’hôte et basé sur le réseau.
IDPS basés sur L’hôte
IDPs basés sur L’hôte est un logiciel déployé sur l’hôte qui surveille uniquement le trafic pour se connecter à et à partir de cet hôte. Il ne protège généralement qu’un seul point de terminaison spécifique. Dans certains cas, il peut également surveiller les fichiers système stockés sur l’hôte pour les modifications non autorisées et les processus en cours d’exécution sur le système.,
IDPS basés sur le réseau
Les IDPS basés sur le réseau, également parfois appelés systèmes de détection d’intrusion réseau (nid), sont déployés dans un endroit où ils peuvent surveiller le trafic pour un segment ou un sous-réseau entier. Leur fonctionnalité ressemble un peu aux pare-feu, qui ne sont capables que d’empêcher les intrusions provenant de l’extérieur du réseau et d’appliquer des listes de contrôle d’accès (ACL) entre les réseaux.
Les nid sont conçus pour détecter et alerter sur le trafic interne malveillant potentiel se déplaçant latéralement à travers un réseau; cela en fait un excellent outil pour un cadre de sécurité zéro confiance., Le trafic est analysé pour détecter les signes de comportement malveillant en fonction des profils des types d’attaques courants.
méthodes de détection D’Intrusion
Ces systèmes identifient les menaces potentielles en fonction de règles et de profils intégrés. Les plus courantes sont les méthodologies de détection basées sur les signatures et les anomalies.
détection D’intrusion basée sur la Signature
la détection D’intrusion basée sur la Signature recherche les cas d’attaques connues. Lorsqu’un contenu malveillant est identifié, il est analysé pour rechercher des fonctionnalités uniques afin de créer une empreinte digitale ou une signature pour cette attaque spécifique., Cette signature pourrait prendre la forme d’une identité ou d’un modèle de comportement connu. Les systèmes basés sur les signatures comparent ensuite cette empreinte à une base de données de signatures préexistantes pour identifier le type spécifique d’attaque. L’inconvénient de ces systèmes est qu’ils doivent être mis à jour régulièrement pour être en mesure de reconnaître les types d’attaques nouveaux et en évolution.
détection D’intrusion basée sur les anomalies
la détection D’intrusion basée sur les anomalies construit un modèle initial de comportement « normal” pour un système spécifique plutôt que de créer des empreintes digitales., Le système comparera ensuite tous les comportements en temps réel par rapport au modèle normal précédemment créé pour identifier les anomalies comportementales. Ces cas de comportement anormal sont utilisés pour identifier les attaques potentielles et déclencher des alertes.
contraste entre les IDP basés sur les signatures et les IDP basés sur les anomalies
Il y a des problèmes avec ces deux systèmes individuellement. La détection basée sur les signatures a de faibles faux positifs mais ne peut détecter que les attaques connues. Cela les rend vulnérables aux nouvelles méthodes d’attaque en évolution.
la détection basée sur les anomalies peut conduire à des faux positifs élevés car elle alerte sur tous les comportements anormaux., Mais il a le potentiel d’attraper les menaces zero-day. Heureusement, de nombreux produits de PDI combinent les deux méthodologies pour compléter leurs forces et leurs faiblesses.
défis lors de la gestion des PDI
Vous pouvez rencontrer des défis en ce qui concerne les outils logiciels des PDI. Voici quelques-uns à garder à l’esprit:
- faux positifs: vous rencontrerez presque sûrement le problème des alertes de faux positifs, ce qui peut faire perdre du temps et des ressources. Soyez vigilant lorsque vous êtes informé d’un comportement potentiellement malveillant, mais sachez également que cela ne garantit pas une attaque.,
- dotation en personnel: la cybersécurité est tellement essentielle pour les organisations modernes qu’il y a actuellement une pénurie de professionnels de la sécurité disponibles. Avant de mettre en œuvre un système IDPS, assurez-vous d’avoir constitué une équipe capable de le gérer efficacement.
- risques réels: au-delà de la simple gestion d’un PDI, il y aura des cas où l’intervention de l’administrateur est nécessaire. Un PDI peut bloquer de nombreuses attaques, mais pas toutes. Assurez-vous que les équipes gardent leurs connaissances à jour sur les nouveaux types d’attaques afin qu’elles ne soient pas aveuglées lorsqu’une attaque est identifiée.