Chaque application, y compris les logiciels malveillants, présente un schéma distinct de ses actions, de la taille de fichier, des hachages de fichiers et du code compilé. On appelle ce modèle une signature. La détection des intrusions basée sur les signatures examine le trafic sur un réseau pour détecter les signatures logicielles malveillantes. Bien qu’il s’agisse d’une forme plus ancienne de détection des logiciels malveillants, la détection basée sur la signature est précise et reste viable en matière de cybersécurité et de protection des données.
Qu’est-ce que la détection d’intrusion basée sur la signature ?
La détection des intrusions par signature identifie les menaces en comparant l’activité du système à une base de données de schémas d’attaque ou de signatures connus pour détecter les comportements malveillants.
Comme tout programme, les logiciels malveillants sont compilés dans un langage informatique binaire. Son code compilé peut être haché pour créer une signature unique, mais d’autres caractéristiques peuvent également créer une signature. Les actions effectuées par les logiciels malveillants, ainsi que leur code in-memory, permettent de déterminer leur signature unique. Certains logiciels malveillants affichent des phrases d’auteur stockées dans la mémoire, tandis que d’autres stockent des fichiers spécifiques à des emplacements spécifiques, qui alimentent également son modèle spécifique.
Les logiciels malveillants modernes communiquent souvent avec un emplacement de commande et de contrôle (C2). Le logiciel malveillant possède des adresses IP ou des noms de domaine codés en dur pour communiquer avec l’auteur. La communication permet à l’attaquant de savoir qu’une machine ciblée exécute désormais le logiciel malveillant et que son attaque a réussi. Les pare-feux et les systèmes de détection d’intrusion peuvent détecter les demandes de communication sur ces adresses IP et domaines afin d’alerter les administrateurs en cas d’activité suspecte.
Fonctionnement de la détection d’intrusion basée sur la signature
Pour utiliser la détection d’intrusion basée sur les signatures, vous devez d’abord stocker les signatures des logiciels malveillants. Les signatures sont stockées dans une base de données, généralement fournie par le fournisseur de détection d’intrusion. La signature choisie comme indicateur est décidée par des chercheurs en sécurité qui partagent souvent leurs conclusions dans des sites open source. Par exemple, l’outil YARA populaire peut être utilisé pour classifier et créer des signatures de logiciels malveillants.
Les systèmes de détection des intrusions surveillent en permanence le trafic réseau pour détecter les signatures de logiciels malveillants. Ils comparent le trafic réseau avec les signatures stockées dans la base de données du système de détection des intrusions. Lorsqu’une signature est détectée dans le trafic, la détection des intrusions prend des mesures telles que l’alerte des administrateurs.
Avantages de la détection d’intrusion basée sur la signature
Comme les signatures sont créées à partir de logiciels malveillants, il s’agit d’un système beaucoup plus précis que les autres détections basées sur les anomalies. Les signatures sont statiques, à condition que l’auteur du logiciel malveillant n’apporte pas de modifications et n’introduise pas de variante, de sorte que la détection d’intrusion avec une base de données mise à jour présente très peu de faux positifs. Les faux positifs se produisent lorsque la détection d’intrusion signale une application incorrecte.
Un autre avantage de la détection basée sur la signature est sa rapidité et son absence de données de référence. Les signatures peuvent être rapidement identifiées sans avoir à collecter des données au préalable pour déterminer si l’activité ne correspond pas aux critères de référence. Par exemple, la détection basée sur les anomalies nécessite une analyse comparative de l’activité sur les fichiers avant de pouvoir déterminer si un trop grand nombre de demandes d’accès pourrait être un logiciel malveillant ou une activité réseau courante.
Limites de la détection d’intrusion basée sur la signature
Pour avoir des signatures de logiciels malveillants, la menace doit être connue. Les menaces « zero-day » sont des menaces invisibles, qui n’ont donc pas de signature à détecter. L’absence de signatures dans les menaces zero-day signifie que la détection des intrusions dépendant des signatures ne peut pas les détecter. Sans une couverture complète, ce type de détection des intrusions peut donner aux administrateurs un faux sentiment de sécurité.
La détection d’intrusion basée sur la signature nécessite également plus de ressources que les autres formes de détection d’intrusion. Le trafic est constamment comparé à une liste de signatures dans une base de données, et votre base de données de signatures peut contenir des millions d’éléments stockés. Pour détecter les intrusions à l’aide de signatures, vous devez également vous assurer que la base de données est constamment mise à jour. Les fournisseurs de cloud fournissent généralement des mises à jour, mais le stockage local peut nécessiter des actions manuelles de la part des administrateurs réseau.
Cas d’utilisation et applications
Tous les secteurs disposant de données locales et cloud peuvent tirer parti de la détection d’intrusion basée sur la signature, mais elle est souvent utilisée comme composant unique dans la protection des données. La détection des intrusions par signature est idéale pour identifier immédiatement les menaces connues, avec peu de faux positifs. Par exemple, un professionnel de santé peut utiliser ce type de détection d’intrusion pour se protéger contre les ransomwares connus. Ransomware ciblent généralement les organismes de santé, les hôpitaux et les compagnies d’assurance, car ils disposent souvent de logiciels obsolètes. Une protection basée sur la signature peut arrêter ces menaces instantanément, en particulier lorsqu’elle est associée à des systèmes de prévention des intrusions.
Les organisations de service client sont une autre cible courante, car elles reçoivent des pièces jointes de la part des clients pour examen. Si une pièce jointe contient un logiciel malveillant, la signature du logiciel malveillant peut être détectée. La détection des intrusions est précieuse dans les segments de réseau où les pièces jointes des e-mails tiers sont téléchargées et stockées.
Conclusion
La cybersécurité au niveau de l’entreprise nécessite plusieurs couches de protection. La détection des intrusions basée sur la signature est une couche, mais vous en aurez besoin pour protéger entièrement votre environnement. Grâce à la sécurité basée sur la signature, vous pouvez protéger votre environnement contre les menaces connues, qui sont un facteur important dans les violations de données.
Le stockage des signatures et d’autres analyses de sécurité nécessite des systèmes de stockage robustes. Pure Storage offre la vitesse et la capacité nécessaires pour les environnements volumineux, avec une détection des intrusions complexe. Pure Storage s’est associé à Elasticsearch pour accélérer les recherches et renforcer la résilience de l’architecture.
