Les IPS n'inspirent pas vraiment confiance
Les IPS sont prévus pour bloquer les attaques évoluées arrivant par le réseau. Ils sont en fait souvent sous-utilisés par manque de confiance et de performances, selon une étude Infonetics. Les IPS (Intrusion Prevention System) sont des équipements que l'on place en ligne afin qu'ils bloquent une grande variété d'attaques, mais ces systèmes sont souvent employés comme des dispositifs de détection d'intrusion, qui effectuent un monitoring passif du trafic. C'est la conclusion d'une étude d'Infonetics Research après avoir interrogé 169 responsables sécurité qui gèrent des IPS dans leur entreprise. L'étude a été sponsorisée par TippingPoint, un vendeur d'IPS. Ses produits ainsi que ceux de Cisco, IBM, McAfee et Sourcefire ont été étudiés. « Les gens sont toujours très prudents avec les IPS. Mon sentiment est que nous ne sommes pas encore dans un monde du tout « IPS », pas autant que l'on voudrait bien le croire, constate Jeff Wilson, analyste chez Infonetics. Cisco était largement le fournisseur le plus représenté dans cette étude (77 clients), suivi par TippingPoint (38 clients), IBM Proventia d'ISS (36 clients), McAfee (26 clients) et Sourcefire (15 clients). Lors de la mise en oeuvre, la première étape avec un IPS est la décision de l'utiliser en ligne ou pas. 90% des utilisateurs de TippingPoint agissent ainsi, tout comme 70% des clients de Cisco, 67% d'IBM et McAfee, et 55% pour Sourcefire. Les raisons pour lesquelles les responsables ne font pas fonctionner leur IPS en ligne, sont les craintes concernant la fiabilité, le débit, la latence et les faux positifs. Pour ceux qui utilisent les IPS dans le trafic, la question suivante est de savoir combien de filtres activer sur le boîtier afin de bloquer des attaques. Souvent, les responsables ne mettent pas en place tous les filtres en mode blocage, mais de temps en temps simplement en mode alerte. Les filtres de blocage étaient plus souvent activés de façon plus approfondie avec TippingPoint ou IBM, mais beaucoup moins avec Sourcefire. Les mises à jour de filtres posent aussi problème, car leurs signatures aboutissent à bloquer des protocoles ou des applications. Photo : un IPS de Cisco « Les technologies IDS devraient disparaître, puisque le fait de simplement enregistrer des alertes sur des attaques est un exercice sans intérêt. Les IPS devraient faire plus pour bloquer les attaques, estime Richard Stiennon, un analyste indépendant à la lecture de l'enquête d'Infonetics. Il ajoute que les équipements de TippingPoint ont été conçus pour fonctionner en ligne dans le trafic, ce qui n'est pas le cas de l'IPS de Cisco (bien qu'il soit le plus vendu). Jeff Wilson d'Infonetics est du même avis et indique que bien que Cisco soit le leader des IPS, « Leur IPS est celui qui est le moins souvent utilisé comme un véritable IPS afin de bloquer des attaques dans les flux ». Quant à John Pescatore, analyste chez Gartner, sans avoir vu l'enquête d'Infonetics, il affirme qu'à la lumière des travaux de Gartner chez ses clients, que cela peut prendre beaucoup de temps, voire une année, avant qu'un client n'ait suffisamment confiance avant de placer son IPS en mode bloquant dans le trafic. « Pourquoi ne pas le faire sur 100% des boîtiers ? Il y a des problèmes de performances sur ces boîtiers, ils peuvent ralentir ou bloquer du trafic légitime, reprend John Pescatore. Il y a toujours des problèmes de débit sur les IPS que les fournisseurs doivent résoudre, termine-t-il.
