Les IPS n'inspirent pas vraiment confiance - Actualités CSO Documentation

Les IPS n'inspirent pas vraiment confiance

le 23/09/2008, par david Lentier avec IDG News Service, Documentation, 550 mots

Les IPS n'inspirent pas vraiment confiance

Les IPS sont prévus pour bloquer les attaques évoluées arrivant par le réseau. Ils sont en fait souvent sous-utilisés par manque de confiance et de performances, selon une étude Infonetics. Les IPS (Intrusion Prevention System) sont des équipements que l'on place en ligne afin qu'ils bloquent une grande variété d'attaques, mais ces systèmes sont souvent employés comme des dispositifs de détection d'intrusion, qui effectuent un monitoring passif du trafic. C'est la conclusion d'une étude d'Infonetics Research après avoir interrogé 169 responsables sécurité qui gèrent des IPS dans leur entreprise. L'étude a été sponsorisée par TippingPoint, un vendeur d'IPS. Ses produits ainsi que ceux de Cisco, IBM, McAfee et Sourcefire ont été étudiés. « Les gens sont toujours très prudents avec les IPS. Mon sentiment est que nous ne sommes pas encore dans un monde du tout « IPS », pas autant que l'on voudrait bien le croire, constate Jeff Wilson, analyste chez Infonetics. Cisco était largement le fournisseur le plus représenté dans cette étude (77 clients), suivi par TippingPoint (38 clients), IBM Proventia d'ISS (36 clients), McAfee (26 clients) et Sourcefire (15 clients). Lors de la mise en oeuvre, la première étape avec un IPS est la décision de l'utiliser en ligne ou pas. 90% des utilisateurs de TippingPoint agissent ainsi, tout comme 70% des clients de Cisco, 67% d'IBM et McAfee, et 55% pour Sourcefire. Les raisons pour lesquelles les responsables ne font pas fonctionner leur IPS en ligne, sont les craintes concernant la fiabilité, le débit, la latence et les faux positifs. Pour ceux qui utilisent les IPS dans le trafic, la question suivante est de savoir combien de filtres activer sur le boîtier afin de bloquer des attaques. Souvent, les responsables ne mettent pas en place tous les filtres en mode blocage, mais de temps en temps simplement en mode alerte. Les filtres de blocage étaient plus souvent activés de façon plus approfondie avec TippingPoint ou IBM, mais beaucoup moins avec Sourcefire. Les mises à jour de filtres posent aussi problème, car leurs signatures aboutissent à bloquer des protocoles ou des applications. Photo : un IPS de Cisco « Les technologies IDS devraient disparaître, puisque le fait de simplement enregistrer des alertes sur des attaques est un exercice sans intérêt. Les IPS devraient faire plus pour bloquer les attaques, estime Richard Stiennon, un analyste indépendant à la lecture de l'enquête d'Infonetics. Il ajoute que les équipements de TippingPoint ont été conçus pour fonctionner en ligne dans le trafic, ce qui n'est pas le cas de l'IPS de Cisco (bien qu'il soit le plus vendu). Jeff Wilson d'Infonetics est du même avis et indique que bien que Cisco soit le leader des IPS, « Leur IPS est celui qui est le moins souvent utilisé comme un véritable IPS afin de bloquer des attaques dans les flux ». Quant à John Pescatore, analyste chez Gartner, sans avoir vu l'enquête d'Infonetics, il affirme qu'à la lumière des travaux de Gartner chez ses clients, que cela peut prendre beaucoup de temps, voire une année, avant qu'un client n'ait suffisamment confiance avant de placer son IPS en mode bloquant dans le trafic. « Pourquoi ne pas le faire sur 100% des boîtiers ? Il y a des problèmes de performances sur ces boîtiers, ils peuvent ralentir ou bloquer du trafic légitime, reprend John Pescatore. Il y a toujours des problèmes de débit sur les IPS que les fournisseurs doivent résoudre, termine-t-il.

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Le marché de la sécurité ne connait pas la crise

Les ventes de solutions de sécurité informatiques devraient croître de plus de 7% par an entre 2012 et 2017 pour atteindre à cette date les 30 Md$, prévoit le cabinet d'étude Canalys. La sécurité fait figure...

le 14/08/2013, par Fabrice Alessi, 345 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »