La norme ISO 27039 détaille la sélection, le déploiement et le fonctionnement des systèmes de détection et de prévention des intrusions (IDPS). Nous allons explorer ce que cela signifie.
ISO/IEC 27039 :2015 fournit des recommandations pour aider les organisations à mettre en œuvre des systèmes de détection et de prévention des intrusions (IDPS). La norme ISO 27039 décrit la sélection, la mise en œuvre et les processus des IDPS. La norme propose également des informations contextuelles pour ces lignes directrices. Détection et prévention des intrusions sont deux mots généraux définissant les pratiques utilisées pour prévenir les attaques et éviter de nouvelles menaces.
La détection des intrusions est une mesure réactive qui détecte et atténue les menaces en cours grâce à la détection des intrusions. Il est utilisé pour :
La prévention des intrusions est une mesure de sécurité proactive utilisant un système de prévention des intrusions pour éliminer les attaques sur les appareils. Qui comprend:
IDPS bien conçus, mis en œuvre, configurés, contrôlés et exploités, comme :
La norme contient des orientations et des instructions sur la mise en œuvre d’un IDPS.
ISMS.online rend la configuration et la gestion de votre ISMS aussi simple que possible.
Les organisations ne doivent pas seulement savoir quoi, où et comment leur réseau, appareil ou programme a été victime d'une intrusion. Ils doivent également savoir quelle vulnérabilité a été exploitée et quelles précautions ou mettre en œuvre des traitements efficaces des risques pour éviter de futurs problèmes.
Les organisations peuvent également identifier et prévenir les cyber-intrusions. Cette méthode implique un examen du trafic réseau et un audit des pistes pour des attaques connues ou des modèles uniques qui impliquent généralement une intention malveillante. Au milieu des années 1990, les entreprises ont commencé à utiliser des systèmes de détection et de prévention des intrusions (IDPS) pour répondre à ces besoins.
L'utilisation générale d'IDPS continue de croître avec une plus grande variété de dispositifs IDPS mis à disposition pour répondre à un niveau croissant d'exigences organisationnelles en matière de détection d'intrusion sophistiquée.
Les systèmes de détection d'intrusion sont pour la plupart des systèmes automatisés qui identifient les attaques et les intrusions des pirates dans un réseau ou un appareil et déclenchent l'alarme. Les systèmes de prévention des intrusions poussent l'automatisation encore plus loin en réagissant automatiquement à certaines méthodes d'attaque identifiées, telles que la fermeture de ports réseau spécifiques, via un pare-feu, pour bloquer le trafic de pirates identifiés. IDPS fait référence aux deux types de ceci.
Un système de détection d'incidents (IDS) est un programme matériel ou logiciel utilisant des signatures d'intrusion connues pour identifier et analyser le trafic réseau entrant et sortant à la recherche d'activités suspectes. Un IDS y parvient en :
Lors de la détection d'une faille de sécurité, d'un virus ou d'une erreur de configuration, un IDS expulsera un utilisateur incriminé du réseau et enverra un avertissement au personnel de sécurité.
Malgré ses avantages, un IDS présente des inconvénients inhérents. Puisqu’il utilise des signatures d’intrusion établies pour détecter les attaques. Les menaces nouvellement découvertes ou de type Zero Day peuvent ne pas être détectées. Un IDS détecte uniquement les attaques actives, pas les assauts entrants. Un système de prévention des intrusions est nécessaire pour les bloquer.
Un système de prévention des intrusions (IPS) complète une configuration IDS en examinant de manière proactive le trafic entrant pour éviter les demandes malveillantes. Une configuration IPS standard utilise des pare-feu et un filtrage du trafic solutions pour protéger les applications.
Un IPS évite les attaques en supprimant les paquets malveillants, en bloquant les adresses IP en infraction et en alertant le personnel de sécurité des risques. Cet appareil utilise généralement une base de données de reconnaissance de signatures préexistante et peut être conçu pour détecter les attaques basées sur le trafic et les irrégularités de comportement.
Bien qu’ils bloquent efficacement les vecteurs d’attaque connus, certains systèmes IPS présentent des limites. Celles-ci sont généralement induites par une dépendance excessive à l’égard de lois prédéfinies, ce qui les rend vulnérables aux faux positifs.
L'ISO a publié cette norme en 2015. L'ISO 27039 a été publiée en remplacement de l'ISO/IEC 18043:2006. En 2016, le rectificatif technique a révisé la description de la norme, rétablissant les mots « et prévention », notamment manquants.
ISO/IEC 18043:2006 a publié des lignes directrices à l'intention des entreprises qui choisissent de fournir une détection des intrusions dans leur infrastructure informatique. Il s'agissait d'un « comment faire » destiné aux administrateurs et aux utilisateurs qui souhaitaient :
La norme ISO/IEC 18043 :2006 a fourni des informations qui ont contribué à promouvoir la coopération entre les organisations utilisant l'IDS. Cette structure a permis aux organisations de partager plus facilement des informations sur les intrusions qui traversent les frontières organisationnelles.
Norme ISO/IEC 18043:2006 fournie :
Téléchargez votre guide gratuit
pour rationaliser votre Infosec
Nous avons commencé à utiliser des feuilles de calcul et c'était un cauchemar. Avec la solution ISMS.online, tout le travail acharné a été facilité.
Les deux systèmes présentent des avantages et des inconvénients. La norme ISO 27039 contient des informations et des conseils spécifiques pour la mise en œuvre et l'application réussies des IDPS pour toutes les organisations.
Bien que les unités généralement liées ne remarquent aucune altération, l'IPS garantit moins d'interférences pour les systèmes et les systèmes de l'organisation. moins d'incidents de sécurité.
IPS suit uniquement le comportement du réseau au fur et à mesure qu'il prend des mesures, protégeant ainsi la confidentialité des utilisateurs du réseau. IPS corrèle le trafic réseau avec le trafic malveillant établi, mais ne stocke ni n'accède au contenu.
L'IPS adhère à une liste basée sur la réputation de sites et de domaines suspectés d'être malveillants, utilisés de manière proactive pour sécuriser l'entreprise. Par exemple : si un membre du personnel clique sur une connexion dans un e-mail de phishing ou sur une annonce de malware pour un site figurant sur la liste noire IPS des sites malveillants identifiés, le système bloquera le trafic et l'employé verra un écran vide.
IPS offre une protection contre les attaques Zero Day, réduit les attaques de mots de passe par force brute et offre une protection contre les risques d'accessibilité, tels que les tentatives DDoS et DoS. Par exemple, supposons qu'un criminel tente d'accéder à un compte par la force brute (par exemple, des tentatives de connexion répétitives). L'IPS suivra l'ampleur des mouvements de données, identifiera les modèles suspects et refusera l'accès.
IPS identifie et réagit aux menaces uniques, permettant aux institutions de répondre à des menaces définies pour l'entreprise.
Cependant, la mise en œuvre d’un IDS présente ses propres avantages. Ces avantages comprennent :
La norme ISO 27039 aide les organisations :
Essayer de rencontrer ISO 27001 exigences, en particulier Annexe A.16:
Essayer d'atteindre les objectifs de sécurité suivants de ISO 27002
Toutefois, une organisation doit comprendre que la mise en œuvre de l’IDPS ne constitue pas une approche unique ou complète pour répondre aux exigences. De plus, la présente Norme internationale ne constitue pas non plus des lignes directrices pour toute évaluation de conformité, telle que Certification SMSI.
Article 1 : Champ d'application
Article 2 : Termes et définitions
Article 3 : Contexte
Article 4 : Généralités
Article 5 : Sélection
Article 6 : Déploiement
Article 7 : Opérations
L'ISO 27039 comporte sept articles et une annexe.
Trois parties principales constituent l'essentiel de la norme :
Annexe A : Système de détection et de prévention des intrusions (IDPS) : cadre et questions à prendre en compte
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup