IDS, IPS et autres bricoles
Lorsqu’on me demande mon avis sur le déploiement des sondes de détection d’intrusion en entreprise, je suis assez catégorique… Je l’ai toujours été, d’ailleurs. Ca m’a valu un entretien de recrutement négatif il y a quelques années car la personne en charge de me reçevoir croyait que les IDS (les IPS n’existaient pas encore) étaient la panacée et qu’il en fallait partout…
Depuis, comme je vous le dis, rien n’a changé dans mon esprit, et même si de nouveaux produits sortent régulièrement, je persiste à penser que les marketeurs sont plus forts que les experts.
Comme vous le verrez ici, je ne suis pas le seul de cet avis… Et les auteurs des commentaires suivant cet article semblent le confirmer : C’est quand même un peu n’importe quoi de parler d’IDS et d’IPS à tout va sans savoir qu’il y a de grosses limites, que cela nécessite un investissement conséquent en corrélation de logs et de console de supervision centralisée, et qu’il faut parfois embaucher 2 ou 3 techniciens juste pour lire les logs et affiner le paramétrage du système pendant des mois, voire ad vitam aeternam…
En tout cas merci à toi nono, pour ton blog intéressant… je reprends texto la formule que tu as dénichée, et qui me semble tout à fait pertinente :
My feeling is that IDS is 1980’s technology and doesn’t work anymore. — Dave
C’est sobre, c’est efficace, c’est vrai !!! (tiens, ça me rappelle les cours sur les IDS que j’ai eus l’année passée à Supélec avec Ludovic Mé… Introduction du 1er cours dans le style : “Bonjour, ça fait 15 ans que je bosse sur les IDS… pour l’instant côté théorique c’est intéressant, mais côté pratique…”. D’ailleurs on retrouve cela dans ses “conseils pour chercheurs“, que j’ai trouvés excellents !!!
Je n’ai rien à dire de plus sur les IDS et leur déclinaison barbare, les IPS. Puisqu’on est en avril, je vous recommande donc le livre blanc sur la Politique de Sécurité sorti en début de mois par Hervé Schauer Consultants, et comme toujours les bons billets de Sid, toujours incontournables !
PS : Je me suis inscrit au SSTIC, si si : j’ai acheté mon T-Shirt à 180.00 Euros, et 0 Euros de frais de port…
ABSTACT
My point of view about IPS and IDS… Since I’m just being lazy, I’m only quoting this great sentence :
My feeling is that IDS is 1980’s technology and doesn’t work anymore. — Dave
Cheers 
Bruno Kerouanton on avril 4th 2007 in IT Security
Jco responded on 04 avr 2007 at 16:44 #
Je me joins à toi et je me lance (plus loin ?) :
On a tellement vendu de barrières (pardon : de firewalls) dans les dernières années que les marketeurs ont trouvé un nouveau jouet : l’IDS/IPS :ça recommence comme en 14 : on va en vendre des tonnes pour le bonheur des ssii qui vont pousser les admin/exploit qui vont derrière et dans 5 ans on va encore nous dire : Pourquoi ma société n’est toujours pas sécurisée averc tout le budget que je vous donne ? Et on dira que les technologies ont évolué et qu’il faut acheter des IDS/SSL, et on repartira pour 5 ans…
Vous me permettrez certaines analogies :
je passe en revue quelques mauvaises implémentations des IDS :
- au milieu d’un connexion VPN/SSL/IPSEC -> super : C’est un radar automatique qui flashe les voitures etrangères.
- en frontal web -> mieux : un radar français installé sur une autoroute allemande (pas de limitations de vitesses: je flashe tout)
- A l’intérieur du LAN -> fantastique : un radar qui ne flashe que les flics !
Bon, à quand un vrai IDS au pied de mon vlan de prod qui en fait va controler l’intégrité en temps réel des flux (sans intrusivité) et détecter les comportements "déviants" et hors normes de mes utilisateurs/admin/exploitants ? Un système à base de réseau neuronal qui (comme le système immunitaire humain) détecte un comportement/fonctionnement "anormal".
(On le fait déjà à partir d’algorythmes particuliers pour identifier à partir de sa frappe au clavier qu’un uilisateur landa n’est pas celui qu’il prétend être. )
J’aborde là un sujet qui me tient à coeur (mais il faudra que je me lance dans une présentation là dessus) : la sécurité par le traçage des comportements/flux "déviants" remplace la sécu par le tout supervision ? Identifier et tracer les comportements à risque : on prend le problème à l’envers. Plus besoin de tout superviser : on supervise les catégories de personnel à risque, déviants, etc …
(allez il faut que je fasse un artcile à ce sujet).
A quand du pragmatisme dans nos métiers ?
ça me rappelle le consultant payé 800€ la journée qui préconisait après 2 mois d’étude d’avoir une politique de mots de passe lotus notes :
12 carac. changeant tous les mois en retenant les 12 derniers mots de passe !!
Y a vraiment de tout dans nos métier : les fous pour préconiser des conneries et des moutons pour valider ces préco.
Le problème c’est que quand je vais voir un RSSI avec ce discours il me dit que je lui fous en l’air sa politique de sécurité (et il a raison!), mais en off il me dit aussi que c’est ce qu’il faudrait faire parce que en ce moement il fait comme tout le monde mais il ne diminue pas ses risques.
J’ai rêvé d’une autre manière de faire de la sécurité…
J’ai rêvé de pragmatisme.
Et si je le faisais
a+ Bruno
Sid responded on 04 avr 2007 at 17:36 #
À moi, mais en court.
Le problème de la détection d’intrusion n’est pas solutionnable avec des boîtes. Tant que les gens n’auront pas compris ça, ils n’y arriveront pas. La détection d’intrusion est un problème _global_ et non local, qui se règle surtout à grand coups d’agrégation et de corrélation, dont les sondes ne sont qu’une partie et non un tout. Tant que les gens n’auront pas compris ça, ils n’y arriveront pas.
Par exemple, à Eurosec 2005, nous avions fait un talk avec Phil* où nous avions, à travers cet exemple d’utilisation de Sebek2, l’importance de l’aggrégation de données pour la caractérisation des alertes et le forensic en cas d’incident. Parce qu’une alerte Snort, ce n’est rien de plus que "ce paquet a une sale gueule, c’est peut-être une attaque". Alors qu’en corrélant, on peut avoir des choses du genre :
* c’est peut-être une attaque à destination du serveur HTTP ;
* trois fils d’Apache ont crashé ;
* un quatrième vient de spawner un /bin/sh.
Comprendre "ça mon gars, c’est une alerte grave". Ou alors :
* c’est peut-être une attaque à destination du serveur HTTP ;
* le firewall a bloqué le flux.
Comprendre "c’était peut-être une attaque, mais globalement, on s’en fout".
C’est ça ma vision des IDS. Un bon système de reporting de logs bien géré.
Pour commenter le commentaire précédent, le truc qui m’amuse avec les détecteurs d’anomalies, c’est que les gens qui les entraînent oublient que la vie "normale" d’un réseau inclue aussi des évènements exceptionnels qui doivent être pris en compte. On pourrait citer la gestion de crise ou encore la réponse à incident. Et si on n’a pas pris ce facteur en compte, et si on en fait un IP, on va se retrouve dans une situation dans laquelle on a un énorme besoin de ressources mais… on se fait bloquer par l’IPS parce notre activité est considérée comme déviante. Si je me souviens bien, un .gov avait publié un papier là -dessus expliquant comment ils en avait fait l’expérience, la solution ayant été de couper tous le système de prévention d’intrusion du site pendant la période de crise. En fait, ils ne l’auraient jamais rallumé
* sid.rstack.org/pres/0503_…
Bruno Kerouanton responded on 04 avr 2007 at 17:40 #
@jco: Excellentes, tes analogies avec les radars…
Il n’empêche que malgré la teneur de mon billet et mon avis sur la question, je vais bel et bien devoir en déployer, des IDéPéS un peu partout… Parce que comme tu le soulignes si justement, le RSSI se doit "de faire comme tout le monde" ne serait-ce que pour contenter sa direction qui lit la presse pipole informatique (non je ne pense pas à Hakin9… quand même !) et qui est persuadée que c’est nécessaire.
@sid: tu as raison. Tiens, ca me rappelle une discussion que j’ai eu avec un RSSI d’un grand groupe industriel samedi matin (on supervisait l’exam CISSP ensemble, je ne dirai rien de plus) qui s’interrogeait sur le risque de coupure des flux de production par les IPS, et plus précisément par l’idée d’un bypass en cas de crise… On en revient toujours au même point… Par ailleurs si toi ou l’un d’entre vous avez des idées de bons produits de corrélation, racontez-moi tout ça par email, je suis preneur
Bref, me voilà donc à la tête d’un projet IDPS/gestion des logs qui ne m’enchante guère… enfin si, mais il faut que je reste sur mes gardes !
Bruno Kerouanton responded on 04 avr 2007 at 18:31 #
Gggrrr, j’ai écrit un long commentaire, mais il n’es pas passé… j’ai la flegme de le retaper entièrement, c’était pour Sid et je parlais du nouveau corrélateur de logs de-la-mort-qui-tue de RSA (racheté par EMC, le saviez-vous ? C’est la tendance d’ailleurs… IBM a bien racheté ISS) : 30000 machines supervisées, 300000 evènements/seconde, stockage de 15To de logs sur SAN…
Ca s’appelle Envision LX et c’est à mon avis complètement ubuesque (enfin bon, il y a bien Echelon qui fait ça, non ?!!). Et je soulignais la difficulté de paramétrage d’un tel monstre qui ne sera de toute manière pas capable de détecter des slow scans distribués ou certains types de transferts de données via p2p en prenant certaines précautions… Sans parler du budget sécurité de la boite qui déploie ça (la NSA?). Ah, et je disais que j’avais lu ça ce matin dans la presse pipole (décision informatique pour ne pas le nommer), comme quoi je fais également comme les autres xxSI, ben oui (mais eux ne lisent pas MISC, héhé).
(addendum) vive le cache de Firefox, j’ai retrouvé mon commentaire…
Tyop? responded on 05 avr 2007 at 6:16 #
"Je me suis inscrit au SSTIC, si si : j’ai acheté mon T-Shirt à 180.00 Euros, et 0 Euros de frais de port…"
Deux conclusions, s’habiller est plus facile lorsqu’on est etudiant, et les T-shirts SSTIC pesent 0 grammes.
Bruno Kerouanton responded on 05 avr 2007 at 9:40 #
C’est clair que l’année dernière avec ma carte d’étudiant, c’était pratique… J’en ai même profité pour acheter XP, MS Project et Visio à 10€ pièce port compris…
N’empêche que j’espère que Diamond Edition pourra me faire une *vraie* facture, car je me vois mal présenter une facture pour un t-shirt à 180€ à mon chef en expliquant tant bien que mal que c’est pour un Symposium Sécurité de renom…
Greg responded on 05 avr 2007 at 17:44 #
Pour l’histoire d’(N)IDS, je pense que tout dépend de ce qu’on en attend. Pour moi c’est un équipement réseau capable de remonter des évènements (je rejoins sid sur ce point). Et comme tout évènement il faut l’évaluer et le qualifier. Cela nécessite des informations sur le contexte et les acteurs des échanges (machines sources, machines cibles, importance et valeur financière, etc …).
Un NIDS récolte également des informations qui seront utiles lors d’analyses à froid ou d’investigations (qu’on pourra appeler network forensics si on veut
). On y retrouve des infos sympa dans le payload conservé dans une DB et qui peut-être remonté par l’outil de type SIEM.
Ces outils SIEM permettent aussi d’avoir des infos intéressantes pour le décideur (métriques sécurité, reporting) ou pour l’analyste. Ainsi on peut détecter certains phénomènes ou attaques plus facilement avec des représentations graphiques des évènements (les scans lents par exemple) d’autant plus s’ils sont corrélés.
A la base, je suis un gros sceptique des IDS. Ils sont contournables, remontent des faux-positifs et nécessitent des ressources pour les exploiter. Ces points sont très liés d’ailleurs à l’écriture, le tuning et la gestion des règles (à lire à ce sujet : erratasec.blogspot.com/20… ).
Cependant si au final on les place bien et qu’on les intègre avec d’autres évènements (logs serveurs, hids, etc …), ils constituent un outil intéressant et contribuant à la sécurité du système d’information. Comme tout produit de sécurité c’est un élément parmi d’autre, qu’il faut intégrer dans un process (c’est à dire ne pas les mettre n’importe où, sans tuner les règles, sans corrélé ni analyser ….).
My 0.02 € …
Bruno Kerouanton responded on 06 avr 2007 at 9:15 #
Merci pour tes 2cents qui en valent au moins le triple à mon avis
Pour les anglophiles, le lien que tu mentionnes est à lire absolument, c’est une très bonne explication en effet de la différence de qualité des IDPS.
Je connaissais pas l’acronyme SIEM (Security Incident Event Management, c’est bien ça ?) En gros, un corrélateur ?
Jco responded on 06 avr 2007 at 10:57 #
@ Bruno : Je crois qu’il va falloir que je t’appelle : tu vas avoir de gros budgets alors lol !
@ Sid : Exact. Ma réflexion allait dans un autre sens en fait : L’idée n’est pas de reporter les comportements "déviants" mais de les identifier : Partons du principe que 70% de mes problèmes viennent de l’humain et que proportionnellement j’ai 90% de users finaux. Suis je capable en temps réel d’identifier des comportements anormaux sur mes postes de travail users ? (Que fait on dans les grandes isntitutions lorsque l’on durcit les pc avec des images types ? On limite voire, on supprime les comportements déviants de users. (hors admin)) Aujourd’hui ne peut on pas envisager de trasférer les ressources utilisées à loguer tous les comportements vers un système qui tracerait des activités déviantes (sortant de l’ordianire) et 1/ identifier les personnes à risque , 2/ les tracer 3/ne loguer que celles ci.
Je suis persuadé que je suis capable de réduire mes ressources de 50% et utiliser une partie des autres ressources à effectuer du controle et non plus de la surveillance. (qui reste cependant nécessaire).
Puisque j’apprécie les analogies et que Buno les aime aussi
:
Aujourd’hui je fais souvent du 100% ressources dédiées à mes policiers sur le terrain. (prévention, répression, controles, etc…)
Ne peut on pas envisager de transférer 50% des ressources vers un service qui s’apparenterait à de l’identification des personnes à risques ? : un service de renseignements généraux ou de protection du territoire. => ce qui,vous l’aurez compris, existe IRL mais dans notre joli monde de la SSI.
Un service d’identification des personnes à risques ou comportement déviant.
Mon argumentaire n’est pas encore rodé et je vous le soumets tel qu’il me vient. j’en reste au stade de réflexion. (et critiques;-)
a suivre…
Nicob responded on 12 avr 2007 at 12:29 #
> N’empêche que j’espère que Diamond Edition pourra me faire une
> *vraie* facture, car je me vois mal présenter une facture pour un t-
> shirt à 180€ à mon chef en expliquant tant bien que mal que c’est
> pour un Symposium Sécurité de renom..
Je viens juste de passer par l’étape "Validation de la note de frais" et c’est clair que le contrôleur de gestion a tiré une drôle de gueule en voyant l’intitulé de l’achat ;-))
En ce qui concerne les SIM, je dois avouer que ceux que j’ai vu tourner (mon ancien employeur en éditant un) permettent enfin d’envisager l’administration d’IDS de manière réaliste et une vraie pertinence côté alertes de sécurité. Et amaha, un IDS tout seul dans son coin ne sert à rien, si ce n’est à fournir du job aux pauvres gars chargés du tuning …
Bon, on se verra tous IRL au SSTIC, comme d’habitude, non ?
Bruno Kerouanton responded on 12 avr 2007 at 21:04 #
@jco : Budgets, budgets… c’est à dire que… disons que ce que j’en ferai sera très contrôlé, audité, surveillé, etc. C’est normal d’ailleurs.
@Nicob : on se verra tous sur Rennes je pense, enfin j’espère
Reste à remettre un visage sur les pseudos !