Vous avez déjà entendu parler de Wikileaks ? Le 7 mars 2017, Wikileaks s’est fait connaître en dévoilant de premiers éléments d’activités classifiées du CIA. Cette fuite de donnée a été surnommée Vault 7.
Une analyse complète et poussée de Vault 7 a permis de mettre en avant des failles de sécurité existantes dans des produits Apple, Cisco ou encore dans des services de messagerie. Ces failles étaient connues et potentiellement exploitées par la CIA. Une meilleure gestion des logs aurait permis à la CIA une détection du risque de fuite et potentiellement de la stopper à temps…
Les logs et les sources de données sont des mines d’or, aussi bien pour des attaquants que pour ceux qui s’en protègent.
Je vous invite très fortement à aller consulter le cours OpenClassrooms intitulé “Optimisez la sécurité informatique grâce au monitoring” pour en apprendre plus, d’un point de vue technique, sur ce sujet.
Le monitoring est essentiel pour l’ingénieur cybersécurité.
Il peut être fait au niveau supervision pure avec des outils comme Nagios, Centreon ou encore Zabbix, par exemple.
Des outils de supervision plus spécialisés dans de l’analyse automatique (ou non) de logs existent et sont devenus presque indispensables.
Il est de la responsabilité de l’entreprise de monitorer les flux entrant ou sortant d’une application, mais aussi ce qui apparaît dans des fichiers de logs. Les logs ne doivent pas aller à l’encontre d’une politique de confidentialité et laisser la possibilité de récupérer des informations qui pourraient s’avérer exploitables après analyse.
Une autre axe important à ne pas sous-estimer est l’intégrité des logs. Outre l’aspect réglementaire qui oblige à garder certains logs dans des standards comme PCI-DSS, le type d’informations stockées et leur pertinence sont un point à prendre en compte. Les logs doivent être conservés si possible dans un environnement sécurisé, aussi bien d’un point de vue système que matériel. Ce stockage permet entre autres de remonter à la source d’une attaque ayant fait l’objet d’une détection tardive.
Si on prend le serveur web Apache HTTPD, des outils comme apache Scapl, WebForencik ou mod sec vont permettre de parser le fichier de log pour en extraire les informations importantes, ou des tentatives, réussies ou non, d’intrusion.
Plus poussés que les outils de supervision traditionnels, les SIEM (Security Information and Event Management) permettent la gestion des informations et des événements de sécurité. Leur objectif est de permettre de réagir le plus rapidement et efficacement possible aux menaces. Pour cela, il va collecter les différentes informations de logs de différentes sources comme :
le ou les firewalls ;
l’équipement réseau (routeur…) ;
les serveurs ;
les systèmes de détection d’intrusion (IDS) ;
les sondes matérielles ;
le SIEM lui-même, ou un autre SIEM.
Une fois ces données collectées, une normalisation et une agrégation sont effectuées pour permettre ensuite une analyse des données.
Cette analyse peut aboutir à la détection de menaces, à la remontée d’une alerte et à une réponse. Le tout, de manière automatisée.
Faites appel à un SOC (Security Operations Center)
En matière de sécurité informatique, vous pourrez avoir toutes les sondes possibles, le meilleur SIEM qui existe, ou le réseau le mieux configuré qu’il soit, vous ne serez jamais à l'abri qu’une vulnérabilité soit détectée et exploitée.
La mise en place d’un centre de surveillance et de réponse aux incidents de sécurité va vous permettre d’avoir une équipe dédiée à la détection, l’analyse et les réponses aux menaces, et ce, en temps réel.
Les actions du SOC peuvent être :
la supervision en temps réel ;
la découverte d’événement et la priorisation des réponses ;
la mise en place de réponses automatiques aux événements ;
des actions ou des recommandations de remédiation ;
des audits détaillés ;
l’évaluation des risques ;
une investigation approfondie sur des incidents ou des événements.
Le SOC peut être une équipe interne, mais aussi faire l’objet d’une prestation. Des sociétés de services se sont spécialisées dans la proposition de SOC.
En résumé
Analysez vos fichiers de log avec des outils d’analyse automatique pour ne pas passer à côté d’une tentative d’intrusion.
Le monitoring est un point à ne pas négliger dans la sécurité de vos applications.
L’usage d’un SIEM permet un monitoring et une analyse plus complète.
Un SOC vous permettra d’avoir une équipe totalement dédiée à la sécurité.
Il faut veiller à monitorer aussi vos outils de monitoring.
Vous avez maintenant compris comment améliorer la sécurité en renforçant vos capacités de détection de vulnérabilités. Dans le prochain chapitre, vous allez comprendre comment éviter la falsification de requêtes côté serveur.
