Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Oubliez les zero-day, c’est le zero-knowledge dont vous devriez avoir peur !

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Entretien avec Martin Roesch, l’auteur de l’IDS Snort. Roesch voit les IDS évoluer de la seule détection des attaques connues vers un inventaire précis des actifs du SI. L’IDS sera alors en charge de détecter les changements suspects dans cet inventaire.


« Le marché de la sécurité est très sensible aux modes, et aujourd’hui tout le monde s’excite sur la capacité à détecter des attaques zero-day. Mais beaucoup plus d’incidents de sécurité impliquent, par exemple, un mot de passe par défaut sur une application dont tout le monde ignorait la présence », assène Martin Roesch.

D’après l’auteur de Snort, les IDS – et la plupart des solutions de sécurité – sont conçus autour du principe que l’on sait ce que l’on doit défendre. Et si on protège effectivement assez bien ce que l’on connaît, pour le reste ce serait plutôt le trou noir. Ce serait donc avant tout ce que l’on ne connaît pas – le zero-knowledge – qu’il faudrait surveiller, avant de s’inquiéter du zero-day sur des actifs connus.

« Lorsque tout aura échoué, y compris l’IDS, tout ce qui pourra encore fonctionner c’est la détection des changements illicites : dans le profil du trafic, dans le contenu d’un serveur, dans ses ports ouverts, dans la présence ou l’absence d’une machine, etc… », précise Martin Roesch.

Notons, au passage, qu’une telle analyse ne fait de toute manière pas la différence entre attaques connues et inconnues, ce qui évite de manière fort opportune à Sourcefire de se poser le problème du zero-day, l’habituelle épine des IDS.

Et ce n’est donc pas une surprise si cette approche est celle suivie par Sourcefire pour préparer l’avenir de Snort : avec RNA l’éditeur tente d’observer et de corréler les événements sur le réseau. Aujourd’hui pour affiner en temps réel les règles utilisées par l’IDS, mais demain pour en identifier les abus. « Il y a vraiment beaucoup d’information à tirer de l’observation du réseau si l’on sait où regarder : qui parle à qui, comment, selon quel protocole, quand, quel type de requêtes échangent-ils, etc… C’est à mon sens là que réside le futur de l’IDS », conclue Martin Roesch.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à Oubliez les zero-day, c’est le zero-knowledge dont vous devriez avoir peur !

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.