moisseyev - Fotolia
IDS : Suricata s’enrichit de fonctionnalités bienvenues
La version 4.1 du système de détection d’intrusion, désormais disponible en bêta, apporte de nombreuses nouveautés, à commencer par l’analyse des échanges SMB toutes versions, jusqu’à l’extraction de fichiers.
Le système de détection d’intrusion (IDS) libre Suricata est désormais disponible en version 4.1 bêta 1. Cette nouvelle mouture – dans l’attente de sa version finale – permet déjà d’apprécier certaines nouveautés bienvenues et saluées par plusieurs experts.
Et cela commence par la capacité à analyser et journaliser les échanges suivant le protocole SMB, dans toutes ses versions, jusqu’à permettre l’extraction de fichiers à des fins d’analyse et de recherche de menaces. De quoi rappeler ce que permet notamment Palo Alto Networks, sous réserve de souscription d’une licence Threat Prevention. En encore, le support de SMBv3 est là tout récent : il est lié à PAN-OS 8.1, lancé fin février.
Le traitement des échanges SMB est assuré avec le langage Rust. Supporté à titre expérimental depuis la version 4.0 de Suricata, présentée fin août dernier, il est notamment utilisé pour le traitement des échanges suivant les protocoles NFS et NTP, mais également SNMP, IPSec et OpenVPN. Rust doit être pleinement supporté en production avec la future version 5.0 de l’IDS.
La première bêta de Suricata 4.1 apporte plusieurs autres nouveautés, comme la création d’empreintes de clients TLS ou encore la collecte de paquets à haute vitesse, et l’ingestion en bloc de fichiers Pcap présents dans un dossier. Certains soulignent au passage la capacité de l’IDS à extraire l’adresse IP de l’entête http XFF pour les événements suspects, celle qui permet d’identifier le client accéder à un serveur Web via un proxy ou un équilibreur de charge.
C’est en juillet 2010 que l’OISF – Open Information Security Foundation, une fondation créée en 2009 par le ministère américain de l’Intérieur – a dévoilé la version 1.0 de Suricata. Depuis, celui-ci remplace progressivement le très célèbre Snort dans l’ensemble des systèmes de l’administration américaine.
En juillet 2016, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) a annoncé rejoindre l’OISF avec une intention claire : soutenir le développement de Suricata et ainsi « marquer une nouvelle fois l’engagement de la France dans la cybersécurité de ses infrastructures critiques ». L’Anssi est aujourd’hui membre « Gold » de l’écosystème de l’OISF, aux côtés d’Alien Vault, et tout juste derrière FireEye et Proofpoint, tous deux membres « Platinum ». Le niveau « Gold » nécessite une donation annuelle de 80 000 $ à l’organisme.