ISO 27039

La norme ISO 27039 détaille la sélection, le déploiement et le fonctionnement des systèmes de détection et de prévention des intrusions (IDPS). Nous allons explorer ce que cela signifie.

Qu'est-ce que l'ISO 27039?

ISO/IEC 27039 :2015 fournit des recommandations pour aider les organisations à mettre en œuvre des systèmes de détection et de prévention des intrusions (IDPS). La norme ISO 27039 décrit la sélection, la mise en œuvre et les processus des IDPS. La norme propose également des informations contextuelles pour ces lignes directrices. Détection et prévention des intrusions sont deux mots généraux définissant les pratiques utilisées pour prévenir les attaques et éviter de nouvelles menaces.

La détection des intrusions est une mesure réactive qui détecte et atténue les menaces en cours grâce à la détection des intrusions. Il est utilisé pour :

• Détecter les logiciels malveillants (par exemple les chevaux de Troie, les portes dérobées, les rootkits)
• Détection des attaques d'ingénierie sociale manipulant les utilisateurs pour exposer des détails confidentiels (par exemple, phishing)

La prévention des intrusions est une mesure de sécurité proactive utilisant un système de prévention des intrusions pour éliminer les attaques sur les appareils. Qui comprend:

• Inclusions de fichiers distants permettant l'injection de logiciels malveillants,
• Injections SQL utilisées pour naviguer dans les bases de données de l'entreprise.

IDPS bien conçus, mis en œuvre, configurés, contrôlés et exploités, comme :

• L'automatisation optimise les professionnels de la sécurité qui devraient suivre, évaluer et réagir du mieux qu'ils peuvent aux incidents de sécurité réseau ;
• L'automatisation tend à accélérer l'identification et la réaction aux attaques, en particulier aux types d'attaques courants qui peuvent être identifiés sans ambiguïté grâce à des signatures uniques ;
• Ils rassurent gestion que les problèmes de sécurité sur les réseaux et les appareils en réseau sont détectés et atténués.

La norme contient des orientations et des instructions sur la mise en œuvre d’un IDPS.

Que sont les systèmes de détection et de prévention des intrusions ?

Les organisations ne doivent pas seulement savoir quoi, où et comment leur réseau, appareil ou programme a été victime d'une intrusion. Ils doivent également savoir quelle vulnérabilité a été exploitée et quelles précautions ou mettre en œuvre des traitements efficaces des risques pour éviter de futurs problèmes.

Les organisations peuvent également identifier et prévenir les cyber-intrusions. Cette méthode implique un examen du trafic réseau et un audit des pistes pour des attaques connues ou des modèles uniques qui impliquent généralement une intention malveillante. Au milieu des années 1990, les entreprises ont commencé à utiliser des systèmes de détection et de prévention des intrusions (IDPS) pour répondre à ces besoins.

L'utilisation générale d'IDPS continue de croître avec une plus grande variété de dispositifs IDPS mis à disposition pour répondre à un niveau croissant d'exigences organisationnelles en matière de détection d'intrusion sophistiquée.

Les systèmes de détection d'intrusion sont pour la plupart des systèmes automatisés qui identifient les attaques et les intrusions des pirates dans un réseau ou un appareil et déclenchent l'alarme. Les systèmes de prévention des intrusions poussent l'automatisation encore plus loin en réagissant automatiquement à certaines méthodes d'attaque identifiées, telles que la fermeture de ports réseau spécifiques, via un pare-feu, pour bloquer le trafic de pirates identifiés. IDPS fait référence aux deux types de ceci.

Un système de détection d'incidents (IDS) est un programme matériel ou logiciel utilisant des signatures d'intrusion connues pour identifier et analyser le trafic réseau entrant et sortant à la recherche d'activités suspectes. Un IDS y parvient en :

• Comparaison des fichiers système aux signatures de logiciels malveillants.
• Processus d’analyse pour identifier les modèles dangereux.
• Suivez les actions des utilisateurs pour détecter toute intention malveillante.
• Configurations et paramètres des appareils de contrôle.

Lors de la détection d'une faille de sécurité, d'un virus ou d'une erreur de configuration, un IDS expulsera un utilisateur incriminé du réseau et enverra un avertissement au personnel de sécurité.

Malgré ses avantages, un IDS présente des inconvénients inhérents. Puisqu’il utilise des signatures d’intrusion établies pour détecter les attaques. Les menaces nouvellement découvertes ou de type Zero Day peuvent ne pas être détectées. Un IDS détecte uniquement les attaques actives, pas les assauts entrants. Un système de prévention des intrusions est nécessaire pour les bloquer.

Un système de prévention des intrusions (IPS) complète une configuration IDS en examinant de manière proactive le trafic entrant pour éviter les demandes malveillantes. Une configuration IPS standard utilise des pare-feu et un filtrage du trafic solutions pour protéger les applications.

Un IPS évite les attaques en supprimant les paquets malveillants, en bloquant les adresses IP en infraction et en alertant le personnel de sécurité des risques. Cet appareil utilise généralement une base de données de reconnaissance de signatures préexistante et peut être conçu pour détecter les attaques basées sur le trafic et les irrégularités de comportement.

Bien qu’ils bloquent efficacement les vecteurs d’attaque connus, certains systèmes IPS présentent des limites. Celles-ci sont généralement induites par une dépendance excessive à l’égard de lois prédéfinies, ce qui les rend vulnérables aux faux positifs.

L'histoire de la norme ISO/IEC 27039:2015

L'ISO a publié cette norme en 2015. L'ISO 27039 a été publiée en remplacement de l'ISO/IEC 18043:2006. En 2016, le rectificatif technique a révisé la description de la norme, rétablissant les mots « et prévention », notamment manquants.

ISO/IEC 18043:2006

ISO/IEC 18043:2006 a publié des lignes directrices à l'intention des entreprises qui choisissent de fournir une détection des intrusions dans leur infrastructure informatique. Il s'agissait d'un « comment faire » destiné aux administrateurs et aux utilisateurs qui souhaitaient :

• Comprendre les coûts et les avantages d’un IDS
• Établir une politique et un plan de mise en œuvre pour l’IDS
• Pour contrôler efficacement les sorties de l’IDS
• Intégrer la surveillance des intrusions dans les procédures de sécurité de l’organisation
• Prendre en compte les problèmes juridiques et de confidentialité impliqués dans l’introduction de l’IDS

La norme ISO/IEC 18043 :2006 a fourni des informations qui ont contribué à promouvoir la coopération entre les organisations utilisant l'IDS. Cette structure a permis aux organisations de partager plus facilement des informations sur les intrusions qui traversent les frontières organisationnelles.

Norme ISO/IEC 18043:2006 fournie :

• Une brève description du processus de détection d'intrusion
• Une explication de ce que l'IDS peut et ne peut pas faire
• Une liste de contrôle qui a permis de déterminer les meilleures fonctionnalités IDS pour un environnement informatique particulier
• Une définition des différentes stratégies de déploiement
• Conseils sur la gestion des alertes IDS
• Une explication des préoccupations de gestion et juridiques

Quels sont les avantages d'ISO 27039?

Les deux systèmes présentent des avantages et des inconvénients. La norme ISO 27039 contient des informations et des conseils spécifiques pour la mise en œuvre et l'application réussies des IDPS pour toutes les organisations.

Moins d'incidents de sécurité.

Bien que les unités généralement liées ne remarquent aucune altération, l'IPS garantit moins d'interférences pour les systèmes et les systèmes de l'organisation. moins d'incidents de sécurité.

Connexion sélective et protection de la confidentialité

IPS suit uniquement le comportement du réseau au fur et à mesure qu'il prend des mesures, protégeant ainsi la confidentialité des utilisateurs du réseau. IPS corrèle le trafic réseau avec le trafic malveillant établi, mais ne stocke ni n'accède au contenu.

Sécurité gérée réputée

L'IPS adhère à une liste basée sur la réputation de sites et de domaines suspectés d'être malveillants, utilisés de manière proactive pour sécuriser l'entreprise. Par exemple : si un membre du personnel clique sur une connexion dans un e-mail de phishing ou sur une annonce de malware pour un site figurant sur la liste noire IPS des sites malveillants identifiés, le système bloquera le trafic et l'employé verra un écran vide.

Sécurité multi-menaces

IPS offre une protection contre les attaques Zero Day, réduit les attaques de mots de passe par force brute et offre une protection contre les risques d'accessibilité, tels que les tentatives DDoS et DoS. Par exemple, supposons qu'un criminel tente d'accéder à un compte par la force brute (par exemple, des tentatives de connexion répétitives). L'IPS suivra l'ampleur des mouvements de données, identifiera les modèles suspects et refusera l'accès.

Risque de réponse dynamique

IPS identifie et réagit aux menaces uniques, permettant aux institutions de répondre à des menaces définies pour l'entreprise.

Cependant, la mise en œuvre d’un IDS présente ses propres avantages. Ces avantages comprennent :

• Grâce à la base de données de signatures, IDS garantit une identification rapide et efficace des anomalies identifiées avec un faible risque de fausses alarmes.
• Il analyse différents types de menaces, détecte les tendances du contenu malveillant et aide les administrateurs à les régler, gérer et appliquer des contrôles adéquats.
• Il permet de garantir l'application de la réglementation et de se conformer aux règles de sécurité car il offre une plus grande visibilité sur l'ensemble du réseau.
• Alors que l'IDS est généralement un appareil passif, tout en détectant et en générant des avertissements, certains IDS actifs peuvent bloquer les adresses IP ou empêcher l'accès aux ressources lorsqu'une anomalie est détectée.

Qui peut mettre en œuvre la norme ISO 27039 ?

La norme ISO 27039 aide les organisations :

Essayer de rencontrer ISO 27001 exigences, en particulier Annexe A.16:

• L'organisation met en œuvre des procédures et autres mesures capables d'identifier et d'identifier rapidement réponse aux incidents de sécurité
• Pour mieux détecter les failles et incidents de sécurité tentés et réussis, l'entreprise doit mettre en œuvre des procédures de suivi et d'évaluation ainsi que d'autres contrôles.

Essayer d'atteindre les objectifs de sécurité suivants de ISO 27002

• Détection des activités illégales de traitement de l'information ;
• Systèmes de surveillance avec activités de sécurité de l'information documentées, en utilisant les journaux de l'opérateur et la journalisation des pannes pour détecter les problèmes de périphérique
• Visant à répondre à tous les critères juridiques applicables pour ses activités de surveillance et de reporting
• Surveillance du système pour confirmer l’efficacité des contrôles mis en œuvre et vérifier le respect d'une politique d'accès modèle

Toutefois, une organisation doit comprendre que la mise en œuvre de l’IDPS ne constitue pas une approche unique ou complète pour répondre aux exigences. De plus, la présente Norme internationale ne constitue pas non plus des lignes directrices pour toute évaluation de conformité, telle que Certification SMSI.