| Dispositifs / Outils | Avantages | Inconvénients |
|---|---|---|
| Pare-feu | Un pare-feu autorise ou bloque le trafic en fonction d'un ensemble de règles. | Un pare-feu ne peut filtrer les paquets que sur la base des informations fournies dans l'En-tête des paquets. |
| Système de détection d'intrusion (IDS) | Un IDS détecte et alerte les administrateurs en cas d'intrusion, d'attaque ou de trafic malveillant. | Un IDS ne peut rechercher que les attaques connues ou les anomalies évidentes ; les attaques nouvelles et sophistiquées risquent de ne pas être détectées. Il n'arrête pas le trafic entrant. |
| Système de prévention des intrusions (IPS) | Un IPS Moniteur surveille l'activité du système à la recherche d'intrusions et d'anomalies et prend des mesures pour les arrêter. | Un IPS est un dispositif en ligne. S'il tombe en panne, la connexion entre le réseau privé et l'Internet est interrompue. Il risque de détecter des Faux positifs et de bloquer le trafic légitime. |
| Gestion des informations et des événements de sécurité (SIEM) | Un outil SIEM collecte et analyse les données des journaux provenant de plusieurs machines du réseau. Il agrège les événements de sécurité pour les surveiller dans un tableau de bord central. | Un outil SIEM ne fait que signaler les éventuels problèmes de sécurité. Il ne prend aucune mesure pour arrêter ou prévenir les événements suspects. |
Les fonctions de base de la plupart des pare-feu sont similaires. Les pare-feu autorisent ou bloquent le trafic en fonction d'un ensemble de règles. Lorsque les paquets de données pénètrent dans un réseau, l'en-tête du paquet est inspecté et autorisé ou refusé en fonction de son numéro de port. Les next-generation firewalls (NGFWs) sont également capables d'inspecter les charges utiles des paquets. Chaque système devrait avoir son propre pare-feu, indépendamment du pare-feu du réseau.
Un système de détection d'intrusion (IDS) est une application qui Monitor l'activité du système et alerte sur d'éventuelles intrusions. Un IDS alerte les administrateurs en fonction de la signature du trafic malveillant.
L'IDS est configuré pour détecter les attaques connues. Les systèmes IDS reniflent souvent les paquets de données lorsqu'ils se déplacent sur le réseau et les analysent pour y déceler les caractéristiques d'attaques connues. Certains systèmes IDS recherchent non seulement les signatures d'attaques connues, mais aussi les anomalies qui pourraient être le signe d'une activité malveillante. Lorsque l'IDS détecte une anomalie, il envoie une alerte à l'administrateur du réseau qui peut alors mener une enquête plus approfondie.
Les limites des systèmes IDS sont qu'ils ne peuvent détecter que les attaques connues ou les anomalies évidentes. Les attaques nouvelles et sophistiquées risquent de ne pas être détectées. L'autre limite est que l'IDS n'arrête pas réellement le trafic entrant s'il détecte quelque chose d'anormal. C'est à l'administrateur du réseau qu'il incombe d'intercepter l'activité malveillante avant qu'elle n'endommage le réseau.
Un système de prévention des intrusions (IPS ) est une application qui Monitor l'activité du système pour l'activité intrusive et prend des mesures pour arrêter l'activité. Il offre une protection encore plus grande qu'un IDS car il arrête activement les anomalies lorsqu'elles sont détectées, contrairement à l'IDS qui se contente de rapporter l'anomalie à un administrateur de réseau.
Un IPS recherche des signatures d'attaques connues et des anomalies de données. L'IPS rapporte l'anomalie aux analystes de la sécurité et bloque un expéditeur spécifique ou bloque les paquets de réseaux qui semblent suspects.
L'IPS (comme l'IDS) se trouve derrière le pare-feu dans l'architecture du réseau. Cela offre un haut niveau de sécurité car les réseaux de données à risque sont interrompus avant même qu'ils n'atteignent les parties sensibles du réseau. Cependant, le fait qu'il soit en ligne constitue une limitation potentielle : En cas de défaillance, la connexion entre le réseau privé et l'Internet est interrompue. Une autre limite de l'IPS est la possibilité d'obtenir des Faux positifs, ce qui peut entraîner l'interruption du trafic légitime.
Les dispositifs de capture de paquets complets peuvent s'avérer extrêmement utiles pour les administrateurs de réseaux et les professionnels de la sécurité. Ces données vous permettent d'enregistrer et d'analyser toutes les données transmises sur votre réseau. Ils facilitent également l'examen des alertes créées par un IDS.
Un SIEM est une application qui collecte et analyse les données des journaux afin de surveiller les activités critiques au sein d'une organisation. Les outils SIEM fonctionnent en temps réel et rapportent les activités suspectes dans un tableau de bord centralisé. Les outils SIEM analysent également les données de réseau provenant des IDS, des IPS, des pare-feu, des VPN, des proxy et des journaux DNS. Les outils SIEM permettent d'agréger les données relatives aux événements de sécurité afin que les analystes de la sécurité puissent les analyser en un seul endroit. C'est ce que l'on appelle une "vitre unique".
Vous trouverez ci-dessous un exemple de tableau de bord de l'outil SIEM de Google Cloud, Chronicle. Chronicle est un outil Cloud Native conçu pour conserver, analyser et rechercher des données.