Les produits de Stonesoft pour l'offre Sonde de détection d'intrusion (IDP)

Les produits

Les solutions de sécurité protocolaires StoneSoft

Les solutions Stonegate de Stonesoft offrent deux possibilités de prévention IPS :

  • Prévention IPS sur les flux http au sein des équipements pare-feu Stonegate
  • Prévention IPS sur l’ensemble des flux au sein des équipements Stonegate IPS


Efficacité de la prévention d’intrusion

StoneGate IPS est un système de détection et d’analyse qui détecte le trafic malicieux ou inapproprié, l’identifie précisément, et organise la réponse en conséquence.
StoneGate IPS fait l’objet d’un développement constant par Stonesoft. Le Budget annuel consacré à la R&D est supérieur à 5 millions d’euros.
La base des vulnérabilités, attaques, anomalies identifiées est maintenue par l’équipe de veille, Vulnerability Action Center.
Tous les composants de la solution StoneGate IPS évoluent par le biais de mises à jour régulières :

  • Base de signatures d’attaques
  • Paramètres d’analyse statistiques
  • Modules d’analyse protocolaire (Sensor)
  • Modules de corrélation (Analyzer)


La fréquence régulière des mises à jour est de 10 jours en moyenne. L’équipe Vulnerability Action Center peut délivrer des paquets de mise à jour intermédiaires en cas de nouvelle menace critique.
La récupération des mises à jour est automatique, StoneGate Management Center se connecte (tcp/https) aux serveurs officiels Stonesoft à fréquence régulière (intervalle jusqu’à 20 minutes).
 

Mécanisme de détection et réponse

Précision de la détection

StoneGate IPS combine de multiples méthodes de détection. Les méthodes purement réactives (signatures) ne suffisent plus. Il existe une fenêtre de vulnérabilité, entre le moment où une nouvelle attaque apparaît, et le moment où l’IPS possède la signature correspondante.
StoneGate IPS anticipe les attaques inconnues, et les comportements déviants par des méthodes de :

  • Détection d’anomalies
  • Détection d’usages malveillants
  • Validation protocolaire
  • Corrélation séquentielle et corrélation de groupe
     

 

Détection d’attaques par signatures contextuelles

Nombre de faux-positifs proviennent de la comparaison avec la base des signatures d’attaques. Par exemple, il arrive que dans une communication HTTP, le moteur de comparaison reconnaisse une chaîne de caractère qui identifie une attaque SMTP. Il s’agit d’un faux positif. Si la solution IPS génère un trop grand nombre de faux positifs, il la rend inutilisable.

StoneGate IPS s’appuie sur une base de signatures contextuelles. Grâce aux modules d’analyse protocolaire, le Sensor connaît le contexte applicatif de la connexion. Ainsi chaque paquet, remis dans son contexte, est comparé uniquement aux signatures pertinentes, qui identifient les attaques sur le protocole concerné.

Par exemple, une attaque est correctement identifiée lorsqu’elle correspond à une signature dans une connexion HTTP. Mais cette même signature, si elle est repérée dans l’en-tête d’un email SMTP, ne génèrera aucune fausse alarme.

Cette technologie contribue à réduire le risque de faux positifs, et améliore considérablement la vitesse de traitement de chaque paquet.

Détection d’anomalies par validation protocolaire

Alors que les signatures identifient précisément les attaques connues, elles ne permettent pas de reconnaître une attaque que n’est pas spécifiquement associée à une signature.
StoneGate IPS fournit deux types de détection d’anomalies, complémentaires aux signatures :

  • Analyse protocolaire
  • Analyse statistique


La détection d’anomalies est utile dans la détection des nouvelles attaques. L’analyse protocolaire permet la prévention d’intrusions efficace, car nombre d’attaques s’appuient sur des violations de protocoles (RFCs), ou sur une violation des usages attendus.
 

L’analyse protocolaire identifie des violations dans les communications réseau, telles que des commandes erronées, des données interdites, des caractères additionnels ou interdits.

StoneGate IPS est capable d’analyser le trafic sur toutes les couches de communications,


Détection d’anomalies par analyse statistique

StoneGate IPS intègre des méthodes variées de détection de trafic anormal basées sur les statistiques.

L’analyse statistique détecte des événements inconnus, des scans très discrets, un nombre anormalement élevé de connexions, etc …

StoneGate IPS peut utiliser deux types de compteurs statistiques :

  • Compteur de connexions : lorsque le nombre de connexions limite est atteint, une alerte est envoyée.
  • Compteur de temps : lorsque le nombre de connexions limite est atteint en une certaine limite de temps, une alerte est levée.



Mécanismes de réponse

Lorsqu’un trafic anormal est détecté, StoneGate IPS peut être configuré pour déclencher une réponse adaptée, en plus des traces de logs.

Réponses informatives :

  • Logs
  • Alertes personnalisées : traitées dans le système d’escalade d’alertes (SMS, SNMP, scripts)
  • TCP record : enregistrement de la connexion, des en-têtes et contenus de paquets


Lorsque seule des réponses informatives sont configurées, StoneGate IPS fonctionne en « monitoring de trafic ». C’est ainsi que sera configuré StoneGate IPS dans la première phase du déploiement.
Une fois les flux référencés, les fausses alertes éliminées, nous pouvons mettre en œuvre des réponses actives.

Réponse actives :
StoneGate IPS en mode coupure de trafic peut bloquer en temps réel les paquets d’une connexion dangereuse, avant que l’attaque n’atteigne sa cible. 
 

 

Nos prestations de services associés à cette offre

 

 

En savoir plus sur les solutions IPS de Stonesoft

 


 



Réalisation : CBi-Multimedia