Symantec fait évoluer son IDS et met un nom sur les attaques

Par Thibault Michel (Décision Micro) - L'éditeur fait évoluer son logiciel de détection d'intrusions en lui permettant de distinguer plus précisément les agressions. La version 3.0 de ManHunt, l' IDS de Symantec, améliore la remontée d'informations vers l'administrateur. Elle utilise le module Event Refinement, capable d'interpréter une attaque : « La version précédente se contentait de préciser qu'il s'agissait d'une malformation HTTP, la nouvelle spécifie qu'il s'agit par exemple d'une attaque de type Code Red » , explique Bruno Delaurenti, ingénieur avant-vente chez Symantec.

Détection à partir d'anomalies protocolaires - ManHunt peut être installé sur une machine Linux Red Hat 8, alors qu'il était limité à Solaris. Il est possible d'effectuer des mises à jour dynamiques. Quatre nouveaux protocoles peuvent être traités : SNMP (administration), OSPF (routage), LDAP (annuaire) et SSH (accès distant). ManHunt détecte en effet les intrusions à partir d'anomalies protocolaires et non pas depuis une base de signatures, ce qui permet de déceler des attaques inconnues. De plus, il peut s'interfacer avec les coupe-feu du marché et modifier leurs paramétrages lors d'une attaque.

La gestion des alertes est l'un des paramètres les plus difficile à contrôler pour les IDS. Pouvoir mettre un nom sur un type d'attaque permet à l'administrateur de générer des statistiques et d'agir en conséquence.

 

 Audits de Sécurité & Tests Intrusifs F-VNS Security™  Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits