Un service de sécurité IPS est généralement déployé « en ligne », où il se trouve dans le chemin de communication direct entre la source et la destination ; à cet emplacement, il peut analyser en « temps réel » tout le flux de trafic réseau le long de ce chemin et prendre des mesures préventives automatisées. La technologie IPS peut être déployée n’importe où sur le réseau, mais ses déploiements les plus courants sont :
- Enterprise Edge, périmètre
- Data center de l’entreprise
Un système de prévention d’intrusion peut être déployé en tant que meilleur système IPS autonome ou la même capacité peut être activée dans la fonction IPS consolidée à l’intérieur d’un pare-feu nouvelle génération (Next-Generation Firewall, NGFW). La technologie IPS utilise des signatures qui peuvent être spécifiques à la fois à la vulnérabilité ou à l’exploit pour identifier le trafic malveillant. Généralement, il s’agit d’une détection basée sur des signatures ou d’une détection basée sur des anomalies statistiques pour identifier les activités malveillantes.
- La détection basée sur les signatures utilise des signatures identifiables de manière unique qui sont situées dans le code d’un exploit. Lorsque des exploits sont découverts, leurs signatures sont intégrées à une base de données en expansion croissante. La détection basée sur les signatures pour la technologie IPS implique soit des signatures orientées exploit, qui identifient elles-mêmes les exploits individuels, soit des signatures orientées vulnérabilité, qui identifient la vulnérabilité dans le système visé par l’attaque. Les signatures orientées vulnérabilité sont importantes pour identifier les variantes d’exploit potentielles qui n’ont pas été observées auparavant, mais elles augmentent également le risque de résultats faux positifs (des paquets bénins identifiés à tort comme des menaces).
- La détection statistique basée sur les anomalies échantillonne de manière aléatoire le trafic réseau, puis compare les échantillons aux références de niveau de performance. Lorsque des échantillons sont identifiés comme se situant en dehors de la référence, le système de prévention d’intrusion déclenche une action pour empêcher une attaque potentielle.
Une fois que la technologie IPS identifie le trafic malveillant qui peut être exploitable sur le réseau, il déploie ce qu’on appelle un correctif virtuel pour la protection. Le correctif virtuel agit comme une mesure de sécurité contre les menaces qui exploitent des vulnérabilités connues et inconnues. Le correctif virtuel fonctionne en mettant en œuvre des couches de règles de sécurité qui interceptent un exploit et l’empêchent de prendre des chemins réseau vers et depuis une vulnérabilité, offrant ainsi une couverture contre cette vulnérabilité au niveau du réseau plutôt qu’au niveau de l’hôte.
Alors que les systèmes IDS surveillent le réseau et envoient des alertes aux administrateurs réseau sur les menaces potentielles, les systèmes IPS prennent des mesures plus substantielles pour contrôler l’accès au réseau, surveiller les données d’intrusion et empêcher le développement d’attaques.