Comment faire lorsqu’on est nouveau sur le marché des outils de détection d’intrusions et que l’on souhaite détrôner les leaders du marché ? “Tout simplement proposer une solution qui marque une rupture philosophique et technique”, répond Olivier Dunand, responsable de la division Expertise et intégration sécurité chez Apogée Communications.
Démasquer les protocoles
La leçon a été parfaitement assimilée par Network ICE, spécialiste des outils de détection d’intrusions (IDS) host et réseau. L’éditeur, qui compte dans ses rangs d’ex-développeurs de Network Associates (dont certains avaient déjà un passé chez Network General), a ouvert en France, il y a quelques mois, ses premiers bureaux. Son objectif est d’offrir un décodage de protocoles plutôt que de s’appuyer sur le traditionnel pattern matching, afin de prévenir les fausses alertes et de prendre en compte immédiatement les nouvelles attaques.Fred Cohen, expert en sécurité, explique, dans Cinquante manières de défaire votre outil de détection des intrusions, qu’une technique assez simple consiste à modifier la séquence de l’attaque. Ainsi, si une attaque ABC se transforme en ACB, l’IDS a besoin d’une nouvelle signature pour tenir compte de l’attaque. C’est le cas avec RealSecure Network Sensor 5.0, d’ISS : l’attaque Jolt2 (variante du ping de la mort) requiert ainsi une autre signature.Avec Network ICE, cela n’est pas nécessaire. Si l’intérêt de la solution est immédiatement perceptible, on se souvient qu’en remontant les couches du modèle OSI le temps de traitement des données à examiner s’accroît. Or, Network ICE est capable de gérer un grand nombre d’attaques sur les réseaux Fast Ethernet avec un taux d’utilisation de la bande passante proche de 100 %. Un avantage que les outils d’Axent Technologies (racheté par Symantec) et d’ISS n’ont pas.Pour Alex Bogaerts, vice-président d’ISS-Europe, le test de Mier Communications ne reflète pas entièrement la réalité : “Dans une entreprise, nous allons d’abord utiliser un outil d’évaluation de vulnérabilités et configurer le moteur de RealSecure en fonction des faiblesses potentielles des serveurs de l’entreprise.”Si cette approche peut se comprendre, il n’empêche que le test de Mier prouve qu’ISS RealSecure v. 5 est mal adapté aux hauts débits.
Une orientation host
Toutefois, ISS a noué un partenariat avec le fabricant de commutateurs Top Layer pour mieux faire face à ce type de situation. Le test de Mier n’a, en fait, que confirmé l’avis de nombreux experts sur une faiblesse connue d’ISS. Notons simplement que la firme d’Atlanta a, depuis, fait évoluer son outil.De plus, ce qui nous apparaît encore plus intéressant chez Network ICE, c’est son orientation host, notamment à travers BlackICE Defender, un IDS doté de fonctions de pare-feu. Lorsqu’une attaque se produit, il bloque tous les accès provenant de l’adresse IP de l’assaillant. On aimerait cependant que le logiciel soit parfois plus bavard.Aucun outil ne peut, bien sûr, se targuer de garantir une protection absolue. Ceux de Network ICE nous semblent, toutefois, apporter des solutions sérieuses aux problèmes de sécurité. n
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.