Bonjour cher lecteur à cette quatrième édition du bulletin de nouvelles Sécur-Info, axé sur la sécurité informatique et destiné aux entreprises et organismes opérant sur le territoire gaspésien.
Ce bulletin consiste en un résumé en français de manchettes récentes originalement parues en anglais et triées sur le volet ou d'un blog traitant d'un sujet en particulier. Le contenu n'est pas très technique en soi et vise surtout à faire prendre conscience de l'ampleur du problème en ce qui à trait à la vulnérabilité des systèmes informatiques que nous utilisons tous les jours et que nous prenons souvent pour acquis.
La protection des données informatiques est un enjeu crucial pour les entreprises et organismes, mais malheureusement trop souvent négligé à cause d'un manque de connaissances dans la matière. Le but de ce bulletin de nouvelles est donc de vous initier tranquilement au merveilleux monde de la sécurité informatique et des sujets qui s'y rattachent. Mieux informé, vous serez ainsi plus en mesure mieux évaluer les risques auxquels vos systèmes informatiques ont à faire face.
En espérant donc que vous trouverez ce bulletin intéressant et pertinent pour votre organisation.
Adam Richard, Consultant en Sécurité de l'Information
En résumé cette semaine : Cette semaine, bien que l'actualité ne cesse de me fournir d'excellents sujets, je continue en format blog en continuité avec mon dernier bulletin sur les anti-virus et suite à la conférence de Martin Roesch à laquelle j'ai eu le plaisir d'assister le 13 juillet dernier à l'Auberge Saint-Gabriel à Montréal. Le sujet que je vais tenter de démystifier pour vous aujourd'hui sont les Systèmes de Détection d'Intrusion, mieux connus sous leur acronyme en anglais, IDS, et aussi en quoi ces systèmes sont supérieurs aux antivirus traditionnels. Nous verrons aussi pourquoi ces technologies ne sont plus exclusivement réservées aux systèmes de la NASA ou du Pentagone, ou même des très grandes entreprises, mais également disponibles et utiles pour les plus petits organismes et entreprises.
Préambule
J'ai démontré dans mon dernier bulletin, assez clairement je crois, les faiblesses et limitations de la technologie anti-virus sur laquelle beaucoup de gens fondent tous leurs espoirs en matière de protection informatique. Et encore! J'ai même omis de mentionner une expérience personnelle à moi, relatée dans un de mes anciens articles, au cour de laquelle je devais effectuer des tests de pénétration pour un de nos plus gros client. À un certain stade, j'avais réussi à assez facilement exploiter un de leur nombreux serveurs web, sur lequel je pouvais passer toutes les commandes que je voulais, incluant le téléchargement d'outils de hacking me permettant de prendre un meilleure controle de la machine. Cependant, je n'étais seulement capable que de passer mes commandes en mode usager normal, et non en tant qu'administrateur de la machine, ce qui donne le contrôle total de l'ordinateur.
Aucun problème. Il existait, à cette époque, une vulnérabilité sur Windows NT 4 permettant un exploit appellé "escalation de privilège", et qui fait justement ça, il permet à un compte d'utilisateur normal de pouvoir passer des commandes en mode Administrateur, ou encore mieux, en mode Système. Malgré mes connaissances en programmation, utiliser les connaissances de cette vulnérabilité pour m'en faire mon propre programme pour l'exploiter était au-dessus de mes capacités et connaissances. Qu'à cela ne tienne, après quelques recherches plus approfondies sur Internet, je trouve finalement un outil qui correspond justement à ce que je recherche, qui exploite précisément cette faille. L'outil se nomme hk.exe. Je le télécharge donc, le teste, et satisfait du résultat, je l'envoie sur le site que je suis en train de hacker.
Je tente ensuite de passer des commandes avec mon nouveau super-statut de Système... seulement pour me rendre compte que mon outil n'est plus là! Croyant une possible erreur de ma part, je télécharge le fichier sur le serveur avec mes autres outils encore une fois... je re-teste... et l'outil est toujours introuvable, me privant du statut tant recherché pour passer mes commandes. Cette fois-ci, je me suis bien assuré de mes manipulations, et aucune erreur de ma part n'est en cause. Je devine que c'est l'anti-virus sur le serveur qui détecte et place en quarantaine mon outil sitôt qu'il est téléchargé. Ces suspicions furent plus tard confirmées lorsque j'ai pris contrôle de l'interface graphique (ce que vous voyez normalement à l'écran, avec le contrôle de la souris) et que j'ai vu les 2 alertes de Norton, si je me rappelle bien.
Toujours est-il qu'avant d'en arriver à cette étape, je me devais d'abord et avant tout contourner le logiciel antivirus. Connaissant le fonctionnement interne de ces logiciels, basé sur la reconnaissance de signatures de virus à l'intérieur des fichiers, je me mis donc à tenter de modifier la signature de mon programme hk.exe. Sauf que voilà : sans le code source du programme à ma disposition (je n'avais que la version compilée, éxécutable), je ne pouvais pas modifier le code ou le recompiler comme dans l'exemple plus récent que j'ai fait avec Netcat que je mentionne au cours de mes conférences.
Demandant conseil à un collègue possédant un peu plus d'expérience que moi dans le domaine du piratage, il me fit remarquer que lorsque mon programme était éxécuté, il affichait un court message, du genre "Your wish is my command, Master!" ("Vos désirs sont des ordres, Maître!"), témoignage flagrant du sens de l'humour particulier propres aux informaticiens. Il me suggéra alors de prendre un éditeur hex (l'équivalent de Notepad ou Bloc-Notes, mais pour les fichiers binaires) et d'aller modifier cette séquence de caractères (Your wish is my command, Master!) directement à l'intérieur du fichier binaire. La logique derrière cette tentative à l'apparence trop simple pour pouvoir réussir étant que cette manipulation est somme toute très simple à faire, prend très peu de temps, et c'est à peu près la seule portion du fichier que l'on peut modifier à notre bon vouloir sans risquer d'en modifier le comportement, ou même carrément le rendre inutilisable.
Comme on dit souvent, ça ne coute rien d'essayer. Je remplace donc le message par une série de XXXX.
Et quelle ne fut pas ma surprise, ainsi que joie et bonheur associés au devoir accompli, de voir que mon outil était maintenant sur le serveur que je piratais, complètement indétecté par le logiciel antivirus qui me posait problème jusqu'alors! Ma confiance envers ces produits déjà érodée par la désuètude annoncée de cette technologie, cette expérience m'a complètement convaincu de leur quasi-inutilité. Lorsque j'ai relaté les détails de cette attaque dans mon article "Autopsy of a successful intrusion (well, two actually)" 2 ans plus tard, les compagnies antivirus en ont pris note et ont amélioré leur signatures de détection pour ce programme en conséquence. Il leur a fallu tout ce temps, et le fait que je me décide de partager cette expérience avec la communauté Internet, pour se rendre compte de la facilité déconcertante avec laquelle leurs produits étaient facilement contournés dans le cas de ce programme, que l'on pourrait qualifier de maliciel.
J'ose croire qu'aujourd'hui, ces compagnies ont appris de leurs erreurs et qu'ils dérivent de meilleures signatures dès le départ, mais même si c'est le cas, il est encore relativement facile de contourner les antivirus, comme on l'a vu dans mon troisième bulletin.
Virus, Maliciels, et Attaques Ciblées
Ce qui m'amène à vous parler un peu de terminologie et du flou artistique que l'on peut trouver dans ces termes. En effet, on parle allègrement d'antivirus, alors qu'en réalité il s'agit aujourd'hui d'anti-maliciels. La différence peut paraître subtile, mais comme on l'a vu plus haut, mon logiciel hk.exe est vraiment un logiciel malveillant, mais ne comporte pourtant aucune caractéristique propre aux virus, c'est-à-dire que le programme n'est pas virulent, donc qu'il ne cherche pas à infecter d'autres machines. La différence est énorme, puisqu'il s'agit de comportements tout à fait différents.
Cela explique également pourquoi nos PCs ne sont pas constamment infectés et bombardés de vers et de virus à la hauteur astronomique des 1.5 million de nouveaux maliciels par mois présentement, comparativement à ce qui existait il y a 10 ans par exemple. 1.5 nouveaux maliciels (connus) par mois ne veut pas dire 1.5 million de nouveaux virus par mois. Plus un maliciel est virulent (virus, vers), plus vite il sera détecté par la communauté, et rapporté aux compagnies anti-virus, et plus vite des mesures seront déployés afin de l'éradiquer. Mais pour chaque virus ou ver qui culmine au sommer du Top 10 à chaque instant donné, il existe des milliers, voire des dizaines de milliers d'autres maliciels de types différents, beaucoup plus dangereux et pernicieux que le simple virus ou ver, qui eux ne causent souvent guère d'autre que quelques désagréments temporaires. La panoplie de maliciels s'étant diversifiée avec les années, la liste ne cesse de s'allonger avec des maliciels de plus en plus subtils dans leur spécialisations. Sans aller jusqu'à expliquer chacun de ces maliciels dans ce bulletin, je vais tout de même vous en énumérer quelques uns afin de vous donner une idée.
Il y a tout d'abord les Chevaux de Troie, les RootKits et autres portes dérobées (backdoors), les keyloggers (capture des touches tapées au clavier), capture d'écran, de mot de passe et autres espionligiels (spyware), les programmes zombie qui enliste votre ordinateur dans un réseau de bots (Bot-Net), qui eux-même se spécialise, soit pour faire du déni-de-service, ou bien envoyer du spam à partir de votre machine (Spam-Bot), ou encore pour couvrir les traces d'une attaque plus importante (Proxy-Bot) en vous utilisant comme relais; on assiste même des spécialisations maintenant tels que les "banking trojans" (Chevaux-deTroie spécialisés dans la collecte d'information bancaire et financière). Il ne faut pas oublier non plus les programmes qui télécharge ces panoplies sur vos ordinateurs (Dropper) ou encore les logiciels pouvant aider à prendre un contrôle total de votre ordinateur (Exploit), afin de mieux se cacher. Et encore, la liste n'est pas complète.
Ce qu'il faut retenir, cependant, c'est que ces maliciels ne sont pas virulents, ils ne vont pas chercher à infecter d'autres ordinateurs à partir de votre machine une fois qu'elle est infectée. La présence de ces maliciels est souvent imperceptible à l'utilisateur de par le fait même qu'ils ont tendance à garder un profil bas. Les antivirus ont donc dû s'adapter, mais cela ne change rien au fait que le principe de base de ces produits, basé sur les signatures, est défaillant à la base. Et les concepteurs de maliciels en sont bien au courant. Il est possible aujourd'hui, pour quiconque sans connaissances particulières en informatique mais prêt à débourser de quelques centaines jusqu'à quelques milliers de dollars, de se procurer soit une série de maliciels spécialisés avec les options désirées offrant des variantes afin d'échapper à la détection anti-virus, soit carrément un outil de création de maliciels sur lequel il suffit de cliquer sur les options désirées. Ces outils viennent avec une garantie d'échapper à la détection antivirus, avec une nouvelle version fournie si jamais c'est le cas, support technique, et même mécanismes de protection anti-piratage similaires à ceux employés par Microsoft afin de protéger la valeur commerciale de leur produit. C'est ce qui explique le nombre astronomique de maliciels en cours sur Internet présentement, et la difficulté pour les antivirus de garder la cadence.
Quand à la propagation, elle, même si elle n'est pas virulente, elle a tout de même évoluée de manière à être tout aussi efficace. Peut-être même plus, vu que cette propagation se fait maintenant au travers de votre propre navigation sur le web, évitant ainsi de causer des pics de traffic sur le net propres aux infections de virus et de vers. Les sites webs légitimes, que vous êtes susceptibles de naviguer dessus à tout les jours, incluant même peut-être même le vôtre, sont piratés à l'insu de leurs propriétaires, et sont utilisés comme bases de transmission de maliciels par les cyber-criminels, en utilisant des vulnérabilités présentes dans votre navigateur web pour forcer le téléchargement à votre insu de leurs codes maliceux.
Donc, bien que non-virulents, il n'en demeure pas moins que l'infection se fait à grande échelle, seulement de façon plus silencieuse et camouflée.
Les Systèmes de Détection d'Intrusion
Ce qui m'amène finalement à vous parler des Systèmes de Détection d'Intrusion. Ces systèmes furent conçus à la base surtout pour détecter les attaques de piratage plus sophistiquées et ciblées telles que celle partiellement décrite plus haut, que l'on dénome aujourd'hui sous le terme de Menaces Persistantes Avancées (ATP - Advanced Persistant Threats), contrairement aux infections de masses de type virus ou vers informatiques. Toujours est-il que ces technologies, lorsqu'utilisées adéquatement, sont tout de même aptes à détecter également les vers et virus. Et comme nous avons pu le constater lors de ce long préambule, la ligne est mince entre une attaque à grande échelle sans cible particulière à part le plus grand nombre et une attaque ciblée; dans les deux cas, les procédés et mécanismes sont les même... Il faut placer ses programmes, éviter la détection antivirus, cacher ses maliciels convenablement afin de ne pas attirer l'attention, acquérir les privilèges d'éxécution supérieurs, capture et transfert d'information, etc... En bref, dans un cas comme dans l'autre, il s'agit d'une intrusion illégitime dans votre ordinateur, et une brêche sérieuse de sécurité. Et c'est ici que les systèmes IDS entrent en jeu.
On peut classer les Systèmes de Détection d'Intrusion en trois grandes catégories : les systèmes IDS basé sur l'analyse du flux de données sur votre réseau (NIDS); les systèmes IDS basé sur l'intégrité de l'hôte, c'est à dire, votre ordinateur (HIDS); et troisièmement une tendance plus récente dans laquelle j'ai fait figure de pionnier, les systèmes IDS basés sur l'analyse des fichiers journaux (SIEM). Originalement l'apanage exclusif des grosses corporations et d'organisations telles que le Pentagone ou la Nasa, pour ne nommer que ceux-là, principalement par le coût quasi-prohibitif de ces technologies au niveau de l'offre commerciale. Encore aujourd'hui, il peut en coûter entre 5000 et 25 000 $ au départ selon les types des systèmes désirés. À ces prix, ces systèmes sont surtout destinés au marché des moyennes entreprises et plus, comprenant au réseau d'au moins 500 ordinateur pour justifier un tel prix d'acquisition. La complexité relative de certains de ces produits, ainsi que le manque de connaissance de ceux-ci par plusieurs professionnels en informatique, font qu'encore aujourd'hui ce type de produits connait un faible taux de pénétration dans le marché, malgré la valeur ajoutée en terme de sécurité.
Heureusement, il existe une alternative peu coûteuse et équivalente, voire même supérieure en terme de qualité et d'innovation technologique, grâce aux logiciels en Code Libre (Open Source). Non seulement ces logiciels sont-ils totalement gratuits au moment de l'acquisition, mais ces outils bénéficie également de l'apport volontaire d'une communauté de programmeurs et chercheurs motivés principalement par l'exploit technique et la reconnaissance des pairs qui assiste le concepteur original, ce qui assure en général une mise-au-par plus rapide et souvent mieux appropriée à l'évolution de nouvelles menaces que leurs contre-parties commerciales. De plus, les options Code Libre de systèmes IDS sont supérieurs dans bien des cas aux solutions commerciales. Je prendrai l'exemple de Snort (NIDS), qui se classe bon premier chaque année dans les différents classements depuis plus de 10 ans. Ou encore Tripwire (HIDS), qui est maintenant fourni seulement en version commerciale, mais qui à connu ses débuts en Code Libre, encore et toujours la référence en terme de solutions HIDS. Même le tout premier pare-feu (firewall) fut conçu comme programme Code Libre par Marcus Ranum, que j'ai eu le plaisir de rencontrer lors d'une de mes conférences internationales dans le passé.
Demeure toujours la complexité technique de ces produits, qui requiert souvent un savoir-faire spécialisé, et qui empêche ces technologies d'être plus largement répandues. Et c'est ici que j'entre en jeu, en tant que spécialiste de sécurité de l'information au service des PME et organismes de la Gaspésie.
Jetons-donc un coup d'oeil sur les particularités et le fonctionnement de ces technologies.
IDS Réseau (NIDS) : LA référence en la matière est le logiciel Snort, que j'ai mentionné plus haut, et dont j'ai eu la chance d'assister à une conférence de son créateur il y a 2 semaines. M. Roesch devant quitter rapidement après sa présentation pour prendre un avion, je n'ai malheureusement pu m'entretenir directement avec lui, mais la présentation qu'il a donné, ainsi que la démonstration qui a suivi, ont été des plus enrichissantes.
Ce type de système IDS "sniffe" le traffic circulant sur votre réseau et tente de détecter divers types d'anomalies, comme par exemple des vecteurs d'exploitation de vulnérabilités connues, ou bien de simples anomalies sur les transferts de paquets d'information au niveau des protocoles de communication de base, qui peut également être signe d'activité suspecte. Son fonctionnement est un peu similaire à celui d'un anti-virus, dans le sens qu'il utilise un ensemble de signature et de règles. Cependant, ces signatures et règles sont beaucoup moins nombreuses que pour un antivirus, puisqu'il focalise sur les vecteurs de transmission au moment où elle circule sur votre cable réseau, et non sur l'actuel fichier une fois téléchargé. Dans le cas de l'antivirus, il doit se protéger contre une légion de variantes de fichiers utilisant le même vecteur de propagation, alors que le NIDS va détecter chaque essai sur ce seul vecteur, peu importe la variante. De plus, il est possible de configurer le logiciels de façon à exclure les règles qui ne s'applique pas à votre environnement informatique. En effet, aucun besoin de se protéger contre les attaques dirigées vers les systèmes Linux/Unix si vous n'utilisez que des systèmes Microsoft.
Contrairement à Tripwire, dont je vais parler un peu plus bas, Snort est encore et toujours disponible gratuitement sous forme Code Libre, et est toujours activement développé par son concepteur, Martin Roesch. Par l'entremise de la compagnie qu'il a fondée, SourceFire, il a un incitatif monétaire à poursuivre le développement de se produit, puisqu'il constitue le coeur du produit commercial développé par sa compagnie, SourceFire 3D. Sa compagnie offre également une license commerciale qui donne accès à leur support technique comme pour n'importe quel produit commercial. Il y a donc plusieurs bonnes raisons d'en faire un choix d'excellence dans une stratégie de sécurité informatique.
IDS Hôte (HIDS) : Tripwire, le tout premier système HIDS, fonctionne de manière tout à fait différente que les systèmes NIDS. Au lieu de se concentrer sur le réseau. ce type de système se concentre sur la protection de l'ordinateur et du système d'exploitation et applications au niveau local. La façon de procéder est très simple, et fut reprise par de nombreux programmeurs par la suite.
La technique consiste à effectuer un scan de tous les fichiers systèmes important, les éléments de configuration, etc. sur un système considéré comme étant "sain" et d'en dériver 2 signatures (appelées "hash") basées sur 2 algorithmes différents (traditionellement, MD5 et SHA1) pour chacun des éléments scannés. Ces signatures sont ensuite entreposées de manière sécuritaire afin d'éviter qu'il ne soit modifié de façon malveillante. Ne reste plus par la suite qu'à opérer des scans de façon régulière du système, et de comparer les signatures obtenues lors du scan avec celles du scan original. Les algorithmes de hashage sont conçus de façon à ce que le moindre changement dans un fichier, ne serait-ce qu'un seul bit, entraine une signature résultante complètement différente. L'utilisation de 2 algorithmes plutôt qu'un seul renforce le procédé, parce qu'en théorie, il est possible d'avoir 2 fichiers différents qui produisent la même signature, quoique dans la réalité, ce type d'attaque est trop complexe à mettre sur pied vs. les bénéfices à en tirer (autrement dit, les cyber-criminels s'en sortent déjà très bien comme cela sans avoir à se donner la peine de mettre sur pieds des attaques si couteuses en temps à développer).
La détection du moindre changement dans un fichier critique du système est donc un indice sérieux que l'intégrité de notre système à été compromise, puisque nous savons que l'ordinateur n'est plus dans son état original où il était considéré "sain". Il suffit ensuite de remédier à la situation. Contrairement à l'antivirus, qui scanne les fichiers en tentant de détecter les maliciels en fonction de la liste qu'il connait, les systèmes HIDS vont scanner les fichiers et vont détecter n'importe quel changement suspect sur votre ordinateur, que la menace soit déjà connue ou complètement nouvelle.
J'ai moi-même conçu un scanner de type Tripwire il y a quelques années, et j'ai même poussé le concept un peu plus loin en développant le concept de Liste-Blanche (While-Listing) en Code Libre sur Windows. N'étant pas très répandu sur le marché à l'époque, de nouvelles compagnies se sont développées dernièrement pour tenter d'offrir des alternatives commerciales aux antivirus traditionnels en offrant des produits basés sur ces mêmes techniques. Ici aussi le principe est simple, on prend note de divers éléments critiques du systèmes (les comptes d'utilisateurs, les répertoires en partage, les éléments de démarrage du système, les programmes authorisés d'éxécution, etc.), et par la suite, on détecte (ou même bloque carrément) tout changement à l'un ou l'autre de ses éléments. La différence majeure ici avec un système tradionnel comme Tripwire, c'est que ces changements peuvent être détectés soit en temps-réel, sois à l'intérieur de quelque minutes après le fait, selon le cas, grâce à des scans plus fréquents car plus légers qu'un scan complet du système, ce qui a pour effet d'améliorer considérablement le délai de réaction face à une attaque réussie contre vos systèmes.
Contrairement à l'antivirus, qui authorise tout ce qui n'est pas sur sa Liste-Noire (Black-List), les systèmes Liste-Blanche vont détecter tout ce qui ne se trouve pas sur la liste, sans avoir à effectuer des mises-à-jour constantes pour pallier au nombre toujours grandissant de nouveaux maliciels.
Les Systèmes d'Analyse de Journaux (SIEM) : La série de logiciels que j'ai créé durant la première moitié de cette décénnie, et qui m'ont donné mes lettres de noblesses en sécurité informatique, ont fait de moi un pionnier de la première heure sur ce type de technologie. Autrefois appelé Gestion de Journaux (Log Management), les produits commerciaux offrant ce type de technologie de puis peu en ont modifié l'appellation en Gestion d'Information et d'Événements de Sécurité (Security Information and Event Management - SIEM), mais il s'agit en fait de la même chose.
Le problème que cherche à solutionner ce type de solution est simple à comprendre et complexe à résoudre. Tous les logiciels et systèmes de sécurité, de l'antivirus, au firewall jusqu'au systèmes IDS ou même votre système d'exploitation lui-même, génèrent des messages sur leurs activités, et c'est de ces messages, ainsi que de l'interprétation du spécialiste en sécurité en fait de ceux-ci, que tous ses systèmes tirent leurs valeurs. On voit donc que plus on ajoute d'éléments de sécurité sur notre réseau, plus la charge du spécialiste augmente. Et analyser ces fichiers journaux ne constitue pas sa seule tâche de la journée, loin de là. Si on adhère aux meilleures pratiques en sécurité et qu'ajoute une protection maximale en incluant les postes de travail en plus des serveurs, on se rend vite compte que la tâche devient collossale, surtout dans les grandes organisations.
Détecter une attaque devient alors un peu comme chercher une aiguille dans une botte de foin, et l'analyse peut se faire une semaine, voire même un mois après qu'une attaque a été perpétrée, ce qui laisse amplement le temps à un pirate de faire ses méfaits et même d'effacer ses traces!
Au moment donc où les firewalls étaient vu par plusieurs comme la panacée en sécurité informatique, peu après les premiers balbutiement du alors très révolutionnaire logiciels Snort, en devinant les premiers indices de la croissance exponentielle des maliciels et en tirant profit de mes propres expériences sur le terrain, je me mis donc à concevoir un système de détection d'intrusion basé sur la collecte et l'analyse en temps-réel des fichiers journaux provenant de sources aussi divers que variées pour les plates-formes Microsoft. Mon but alors était d'offrir au monde Windows des options équivalentes à ce qui existait alors dans le monde Linux/Unix, ainsi que d'abattre certaines des limitations sévères énumérées plus haut.
La plupart des solutions de ce type qui existaient à l'époque souffrait de plusieurs parmi les limitations suivantes : ne roulaient que sur Linux, ne considéraient que des outils roulant sur Linux, n'incluaient que l'analyse que de quelques systèmes bien spécifiques, offraient peu d'options de customisation, présentaient l'information sous forme de tableaux statistiques, ne fonctionnaient pas en temps-réel (ce qui laisse toujours une fenêtre d'opportunité pour le pirate d'effacer ses traces), et absolument aucune solution commerciale tellement ce domaine en était encore au stade expérimental à l'époque. Je me rapelle même que le très réputé chercheur Dr. Eugene Schultz m'a affirmé un jour lors d'une conférence qu'un système tel que je lui décrivais était impossible à réaliser, mentionnant que certains systèmes produisent plus d'un million de messages par secondes, rendant difficile toute analyse automatique en temps-réel pour des raisons de performance. Je lui rétorquai que mon type de système n'était peut-être pas apte à faire face à de tels volumes de données, mais mon intuition étant que la sécurité informatique étant un sujet qui touche tout le monde, mon système fonctionnerait parfaitement dans des environnements d'affaires typiques pour des entreprises et organismes de toutes tailles. Mon intuition semble avoir été correcte, puisqu'une poignée de produits commerciaux similaires sont maintenant disponibles sur le marché depuis environ 2 ou 3 ans, à un coût minimal à l'achat autour des 5000$.
Le défi devant moi à l'époque étant considérable, mais en y allant par étape et en me tenant à ma vision initiale de ce qu'était un système de sécurité idéal selon moi, je me mis de m'attaquer à ce défi étape par étape. Tout d'abord, adapter une approche universelle aux fichiers journaux, afin d'offrir la flexibilité maximale en ce qui à trait à rajouter de nouveaux outils de détection dans l'ensemble. Ensuite, la détection en temps-réel de l'ajout de nouvelles données dans ces fichiers, afin d'en déclencher la capture, la pré-analyse, et le transfert vers un endroit centralisé et sécurisé. De là, j'ai conçu les consoles d'observation qui me permettent de voir les actions suspectes là où elles se déroulent sur le réseau, au moment où ça se passe, ce qui était jusqu'alors inédit. Est venu ensuite le développement de modules de sécurité de type Liste-Blanche et HIDS complémentaires, un module d'analyse dédié à Snort, et un moteur d'analyse plus puissant avec d'avantage d'options à son arsenal, incluant la possibilité de déclencher des ripostes automatiques.
Le résultat final donne un système de détection d'intrusion basé sur l'ensemble de l'information des autres systèmes de détection d'intrusion (parmi lesquels on pourrait inclure les antivirus), ce qui permet une compréhension beaucoup plus claire de ce qui se passe réellement sur les systèmes, et en étant alertés des risques critiques dans les plus brefs délais. Pour vous donner une image plus claire, vous pouvez voir sur la figure suivante la détection d'une attaque similaire à celle que j'ai mentionné au début de cet article alors que j'étais en train de la perpétrer sur un de mes systèmes, volontairement laissé vulnérable mais sous surveillance étroite. Le résultat est assez éloquent, comme vous pouvez le voir.
Figure 1.
Il est donc facile par la suite de stopper l'attaque le plus rapidement possible et d'apporter les correctifs qui s'imposent sur le système attaqué. On peut noter les trois fenêtres superposées dans le coin gauche de l'écran, on y voit exactement ce que le pirate voit sur sont écran lors de l'attaque, au même moment que lui, ce qui est également un de mes hauts faits d'armes en matière de recherche et développement dans la matière.
J'ai également développé une autre console basé sur le même moteur d'analyse, mais qui me présente la même information de manière différente, c'est-à-dire par application plutôt que par location sur le réseau :
Figure 2.
En ayant l'information présentée de ces deux façons de manière simultanée, il devient alors beaucoup plus facile pour le spécialiste de sécurité de rapidement identifier les problèmes dès qu'il surviennent, et de prendre les mesures appropriée dans les meilleurs délais possibles, remplissant enfin efficacement le mandat qui lui incombe, c'est-à-dire de protéger efficacement les actifs informatiques et informationnels des organisations qui l'emploient, d'une manière pro-active et sur-le-champ, plutôt que d'une manière réactive et après le fait accompli.
Conclusion
Comme nous venons de le voir, les alternatives de sécurité offrant une protection supérieure aux antivirus traditionnels sont nombreuses, mais ces technologies sont encore peu répandues dans les plus petites organisations, en grande partie à cause du coût plutôt élevé des solutions commerciales, l'expertise technique requise les faire fonctionner convenablement ou tout simplement d'un manque de connaissances sur le sujet. De plus, il est pris pour acquis en sécurité informatique qu'aucun système de sécurité ne peut protéger un réseau informatique à 100%, d'où l'intérêt de combiner plusieurs technologies complémentaires plutôt que de mettre tous ses oeufs dans le même panier.
D'où l'intérêt d'utiliser également une technologie d'analyse globable qui est capable d'ingérer tout l'information produite par ces systèmes de protection avancée. Heureusement, il esxiste aujourd'hui plusieurs solutions de calibre supérieur disponible à un prix minimum. Combiné avec mes propres outils de surveillances, le coût d'acquisition de ses systèmes est quasi-nulle pour moi, ce qui me permet d'offrir un service de qualité supérieure à prix réalistes et abordables adaptés la réalité économique des organisations opérant sur le territoire de la Gaspésie.
N'ayant pas à financer l'achat de solutions commerciales onéreuses, vous ne payez ainsi donc que pour le service professionel de surveillance 24/7 en temps-réel de vos installations informatiques par un expert spécifiquement attitré à cette tâche. Il m'est donc ainsi possible d'offrir ce type de service avancé, généralement disponible que dans les grands centres urbains, pour seulement quelques dizaines à quelques centaines de dollars par mois, selon la taille de votre organisation, sous forme de forfaits incluant un bilan de santé initial de vos installations, qui peut également être récurrent, selon vos besoins. Vu la croissance accrue des risques, un tel investissement en vaut vraiment la peine.
Pour plus d'informations sur comment se protéger efficacement contre les menaces informatiques d'aujourd'hui ou sur mes prix, n'hésitez-pas à me contacter.
D'ici jusqu'au prochain bulletin, je vous souhaite donc de bien profiter de l'été!
Adam Richard - Sécur I.-T.
Consultant en Sécurité de l'information
Aucun commentaire:
Enregistrer un commentaire