Annonce

Réduire
Aucune annonce.

Sécurité informatique: Monitoring et surveillance.

Réduire
X
Réduire
 
  • Page sur 1
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages
Précédent template Suivante
  • #1

    Tutoriel Sécurité informatique: Monitoring et surveillance.

    Les Menaces : Monitoring et surveillance.

    Je mets cet exposé sur le forum mais je fournis aussi un PDF (lien à la fin). Le but étant de faire une intro entre ce que j'ai développé avant et ce que je vais développer ensuite. Avant de commencer à utiliser des scanners de vulnérabilités, il est important de comprendre un peu ce qu'il en est des sécurités actuelles. Je conçois que certain vont avoir un point de vue différent sur certaines parties, il y a ceux qui critiquent, ceux qui font reculer l'ignorance et ceux finalement qui se remette en question et sont gagnant 2 fois.


    Sommaire :

    I-Evolution de notre paysage informatique
    II-L’environnement IT
    III-Mises en place d’un monitoring
    IV-Vers une défense Multi vectorielle



    Evolution de notre paysage informatique



    L’inventaire de vulnérabilité est devenu obsolète. Plus qu’une constatation c’est un fait. On abuse ou se fait abuser par les informaticiens respo,sables de la sécurité, dépassés par les avancés technologiques et par la progression des possibilités de compromission.
    Il est clair que devant ce constat on se doit alors se tourner vers le monitoring ou la supervision: une surveillance constante des systèmes des clients.
    Certains se diront qu’une surveillance permanente (en continue) des systèmes puisse être drastique mais malheureusement c’est un mal nécessaire face à l’essor des menaces.

    Amélioration face aux menaces
    L’adaptation est une des premières réponses face à la menace mais attardons-nous un peu sur cette évolution informatique de ces dernières décennies.

    La progression de l'informatique a été quantifiée de matière physique. Dans les années 80 à l'annonce du projet GNU on était loin de réaliser que 20 ans plus tard on aurait le produit final Linux.
    L'arrivé de linux dans les années 2000 à apporter sont lot de nouvelles libertés :
    • la liberté d'exécuter le programme, pour tous les usages (liberté 0).
    • la liberté d'étudier le fonctionnement du programme et de l'adapter à vos besoins (liberté 1).
    • la liberté de redistribuer des copies, donc d'aider votre prochain (liberté 2).
    • la liberté d'améliorer le programme et de publier vos améliorations, pour en faire profiter toute la communauté (liberté 3).
    Les Machines Virtuelles (VM) ou virtualisation a permis la prolifération de machines directes sans quantification physique. A l’époque on devait avoir un équipement considérable pour permettre ce genre de prouesse. De nos jours, on a la possibilité de créé une machine instantanément.

    La révolution internet a permis de simplifier notre vie mais a apporter son lot de soucis. Certes, Le Cloud apporte une extériorisation de nos machines mais aussi simplifiant de ce fait les rapports extérieur, permettant ainsi plus aisément les intrusions malicieuses.
    De 2010 à 2014, On va vers l'internet of Things (ou internet des objets) :
    On échange sur le web et les objetcs connectés prennent le pas sur l'informatique.
    L'IPV6 va permettre une amplification de ces échanges mais aussi des attaques.
    L'Internet of Things a permis aux pirates de lancer des attaques sur des vecteurs très faibles et d'y insérer des malwares ou tout autre logiciel de compromission. L’IT a été la meilleure manière pour les pirates informatiques de toucher à grande échelle des systèmes.

    Beaucoup de sociétés on eu aussi affaire à ces vecteurs d'attaque moins conventionnel comme le SE. On a eu vent de l’affaire Target ou encore de l’affaire Orange.
    Toutes ces sociétés malgré une sécurité renforcé ont été piraté. Cette altération et adaptation quasi-constante des vecteurs d'attaque ordonnent un besoin d'omnuprésence à la sécurité informatique. Comment pouvons-nous surveiller tel ou tel système sans savoir s'il ne va pas être compromis dès que nous le laisserons en autonomie.

    La plupart des pirates restent parfois plus de 15h devant leur pc à la recherche de la moindre faille. Un agent de sécurité informatique ne travaillera pas autant de temps pour couvrir ses machines. C’est pour cela que les sociétés ont décidés de passer au monitoring.
    Au sein des entreprise, la banalisation du Cloud au dépend de l'intranet, à permis d'alléger leur services (hébergements fichiers,…) et d'augmenter leurs vitesse d’exécution (envoie par email,…). De par ce fait, l’évolution des système doit entrainer une adaptation des audits de sécurité.

    L'environnement IT


    En effet, on audit toujours comme dans les années 90. Ce même protocole inlassable ou on scan, on cherche des vulnérabilités pour finalement rester dans des procédé sporadique.
    On a peu ou pas évolué au moins dans nos tests d'intrusion. Les fenêtres de risque sont encore trop grandes ou pas prise au sérieux.

    Surface d'attaque
    Alors que les vecteurs d'attaque évoluent, en face on a des scans désuets et périodiques. Il va s’en dire qu’ils deviennent prévisible comme un vieux couple qui sort tous les mois au même restaurant inlassablement.






    Le manque d’adaptation à la dynamique d'évolution des attaques est un problème récurrent des audits de sécurité.
    On balaie un réseau afin de récupérer les infos des équipements et du réseau.
    On a une vue surement inexacte. En effet, cette perspective pris à un instant donné T ne peut avoir forcement la même valeur à un instant T+2h. Croire en l’exactitude des données et se promener en aveugle sur un réseau client.

    En conclusion, La surveillance n'est pas suffisante et pour protéger efficacement un réseau il faudra savoir ce qu'il transite dessus en temps réel à l'aide de contrôle continue et régulier.

    En premier, on pourra faire un inventaire des équipements! Sans conteste, l’équipement d’un client ne bougera pas d’un jour à un autre il est la plus régulière des constantes. Cependant, les logiciels seront listés, ainsi que toutes les autorisations. En effet, on doit savoir si quelqu’un du personnel s’amuse à télécharger des produits non-autorisés.

    On aura par conséquent, une partie :
    Autorisé : accès interne, accès serveur, etc.
    Non-Autorisé : On numérote les postes et le personnel affecter dessus.
    Comme vous le voyez il est important de ne pas faire confiance. La tolérance zero est obligatoire pour conserver une sécurité maximale.

    Ces dernières années beaucoup d'entreprise se retrouve face à face avec le phénomène Shadow It.
    Le Shadow IT désigne toute application ou processus de transmission d'information utilisé dans un processus métier sans l'aval de la direction des systèmes d'information. Le service informatique ignore fréquemment son existence, il ne l'a pas réalisé et il ne lui fournit aucun support. Un tel processus génère des données "officieuses", non contrôlées et qui peuvent contrevenir aux standards et réglementations en vigueur.



    On comprend dès lors qu'un réseau qui dessert sur le Cloud apporte son lot de difficultés sécuritaires.

    Mise en place d’un Monitoring

    Comment gérer ses Vulnérabilités.
    Il faut mettre en place un monitoring de qualité. On va prendre en compte les actifs et passifs du client :
    • Outils actifs: scan de plages d'adresse IP réseau
    • Outils passifs identification des hôtes sur le trafic

    Egalement, prendre en compte les progrès des menaces qui sont en constante évolution. Ensuite il faut lister les possibilités de fuite d’information personnelle. Savoir qui fait quoi ? Pourquoi ? Avec qui entre-t-elle en contact ?

    Contrôle audit
    -Monitorer les défenses réseaux et anti malwares. Les mettre en place c’est bien mais les surveiller c’est mieux.
    -Vérifier la population d'équipement déployé.
    -Dans cette couverture sécurité quels sont les mises à jour les patchs de sécurité.
    -Vérifier si certains équipements n'ont pas vus la signature de certains malwares car les AntiVirus n'ont pas cette signature en mémoire.
    -Vérifier qui est connecté au réseau. Vérifier et hiérarchiser les droits et privilèges au niveau des accès réseau, ressources et divers.
    -Evaluation des configurations politique de sécu en interne, confi sécurisé.
    Renforcer sa posture, c’est ce que l'on nome en informatique le Best Practice (la bonne méthode).
    -Validation des patchs, contrôle des correctifs, mesurer l’efficacité de l’équipe qui les utilise et test ses patchs.
    Cette méthode de monitoring est une parmi tant d’autres, il faut bien entendu s’adapter au process et aux impératifs de la société.

    Il va s’en dire qu’après sa mise en place on va avoir des indicateurs de compromission.
    Pour cela on va analyser par exemple une url hébergé sur un site. Vérifier que cette url ne soit pas rattachée à un botnet. Vérifier la signature de fichier malicieux et mettre à jour de ce fait les AV.
    Etablir une relation de confiance pour savoir si 2 portions du même réseau (intranet) peuvent communiquer et aussi s’ils peuvent communiquer avec l’extérieur (internet).
    Si un réseau nous semble suspects à cause d’une anomalie : statistiques anormales, pics d’activité, requêtes DNS en échec… nous pourrons alors rapidement mettre en pratique une contre-mesure.
    Il faudra aussi vérifier les mauvaises configurations ou mise à jour du personnel eux-mêmes.
    Cela peut engendrer des reboot non programmés, des Autoruns imprévus, …
    A partir de cela, on élabore la Création d'un organigramme de sécurité du réseau.

    Le réseau est alors centralisé autour de ce que nous appellerons le centre de contrôle de surveillance (ou Monitoring). L'entreprise et bien sur tous ce qui gravite autour ayant une incidence sur la cible seront affectés à ce diagramme, rien ne doit être oublié.

    Vers une approche multi vectorielle

    En effet, sniffer ne suffis plus on l’a compris et avoir plusieurs type d’approche tel que nous l'avons vu précédemment nous permettra de sécuriser au mieux l’intérêt du client.
    Pour parapher Wilson : Plus nous tendrons vers une vue holistique de l'ensemble des mécanismes de détection et au plus nous aurons une bonne santé de notre réseau.
    J’espère que cet exposé vous aura montré ou expliqué ce qu’est le Monitoring en 2014. Merci de m’avoir lu et À bientôt. Sachez que je ne suis pas fermé à la controverse, je ne me permet pas d'affirmer être un puit de science, loin de la.
    Je suis ouvert aux proposition: toute nouvelle explication est la bienvenue

    Vous pouvez Téléchargez mon pdf : https://www.mediafire.com/?l5g67g833ey5bxi

    DreAmuS
    Dernière modification par _47, 05 octobre 2014, 12h27. Motif: Correction
    Tags: les, menaces, monitoring, surveillance
  • #2
    Salut,

    Je ne connais pas du tout cet aspect de la Supervision mais ça a l'air plutôt pas mal du tout.

    Pour ma part, je travaille pas mal sur le monitoring: chef de projet supervision dans mon ancienne boîte et dans ma nouvelle on m'a demandé de le faire évoluer un peu en parallèle.

    De ce que je sais, dans le cas de la Supervision Système et Réseau (non orienté sécurité comme Dreamus), les outils de monitoring sont utilisés afin d'effectuer une série de tests récurant en quête de prévention.

    Deux grandes familles :

    - La Supervision Réseau : services réseaux, ping-lan, interfaces des switchs, bande passante, etc...
    - La Supervision Système (Software): les services web (http), recherche de caractères sur la page afin de checker que ce soit la bonne, tests applications métiers, exchange, citrix etc etc etc... Environnement VMWARE (avec lequel je me bats en ce moment au boulot).
    - La Supervision Système (Hardware): Contrôle Raid, cpu, storage, température ambiante, Ram, carte mère etc...

    Cet aspect de la Supervision répond à une question que tous les SI se posent : Notre réseau est vaste, nous avons des sites distants, la maintenance est critique, comment avoir un aperçu de nos infra en temps réel ?

    Concernant la supervision, il faut savoir une chose : Il y a pas mal de briques et la plus part sont basées sur un environnement Linux.

    - Monitoring : C'est le moteur qui va s'occuper de faire les contrôles, il est appelé souvent (collecteur). Ex: Nagios, Centreon-Engine, Shinken, Zabbix.
    - Broker: C'est un plugin qui va connecter la monitoring à une base de données et va stocker les résultats dans la bdd. Ex: NDOutils, Centreon-broker, IDOutils.
    - Couche Graphique: C'est une surcouche au moniroting qui va permettre de visualiser les informations d'une autre façon et selon la couche graphique va permettre de piloter le monitoring autrement qu'en cli. Ex: Centreon, Icinga.
    - Couche cartographique: C'est une autre surcouche au monitoring qui va permettre de visualiser les informations sous forme de "carte". La carte est en un état "up" si tous les tests liés à la carte sont "up". Un seul test "down" et la carte (map) est "down". Ex: Nagvis, Centreon-map, Cacti.
    - Plugin: Tous les "check" ne sont pas installés par défaut. Certains contrôles nécessitent l'installation manuelle du plugin qui va bien puis de la création des commandes.
    - Base de données: Une base de données est nécessaire afin de stocker les informations récoltées par le monitoring. Ex: Centstorage
    - Modules: Certains plugins nécessitent un module spécifique afin de fonctionner. Ex: Check_VmWare_api.pl nécessite le module Perl.
    - Core: C'est le noyau de la plateforme de supervision. C'est sur ce noyaux que les différentes briques sont installées. Ex: CentCore.
    - OS: Le Core nécessite un OS de base. Ex: CentOS - Debian - Redhat etc...

    D'autres briques existent encore, mais celle-ci sont les principales.

    Une fois la plateforme de Supervision en route et le monitoring configurés, il se passe quoi ?

    Des ALERTES ! Et oui, simplement des alertes. Il existe plusieurs statuts d'hôte : UP - DOWN - UNCHARTABLE - UNKNOW et le dernier je l'ai plus en tête.

    Les alertes vont être crées à partir des SERVICES. Un service est crée par le fait d'associer une commande de vérification (check) à un hôte. Ce sont ces alertes qui vont nous être remontées.

    Il existe deux statuts d'alertes: Warning et Critical. Toutes les deux sont à configurées à l'aide d'"arguments". Par exemple, nous créons une commande "check_vmware_api.pl -H IP -u user -p mdp -l cpu -s $ARG1$ &ARG2$. Les arguments ont été configuré de la sorte : warning 80 / Critical 90.
    En gros, je vais checker le cpu de ma vm. Entre 0% et 79% il est "OK". Entre 80% et 89% il est en Warning et entre 90% et 100% en critical.

    Je recevrai bien entendu une alerte seulement pour le warning ou le critical. Si tout va bien : aucune alerte.

    Ok les alertes, mais comment?

    Il y a un système de NOTIFICATION. La notification de base est le MAIL. Nous recevons les alertes par mail. À côté de ça, il est tout à fais possible de brancher un téléphone portable en usb au serveur (compatible => serveur) et celui ci va utiliser le téléphone pour envoyer des SMS. Il me semble qu'il est possible de brancher aussi ce qu'on appelle une "Carte d'appel" mais je n'en sais absolument rien de comment ça marche.

    Un check remonte un état critique, les alertes commencent. Toutes les X minutes (selon configuration) je recevrai mon alerte. J'ai la possibilité d'arrêter la notification avec une "prise en compte". À ce moment là, je ne recevrai plus les notifications.

    Niveau sécurité, j'ai bien entendu des listes d'accès, des comptes, des "niveaux de pouvoir" etc.

    À côté de ça, une fois que la plateforme de Supervision est fonctionnelle, il va être possible d'implanter d'autres outils comme du Bussiness Intelligence (BI) qui va fournir des statistiques en temps réel de la disponibilité de notre SI et sa fonctionnalité. Là je parle bien de SI, j'inclus donc la prod, l'applicatif etc qui serait supervisés en plus du côté Réseau et Système.

    -------------------------------------------------------------------------------------------------

    Ce qu'il faut savoir, c'est que de plus en plus de choses sont supervisées. La dernière que j'ai appris, c'est les aquariums ! Des tests sont fais sur l'eau et les résultats sont remontés sur un monitoring. Tests ph etc...

    J'ai visité une entreprise d'oeufs, leur chaine de production fonctionnait grâce à un outil de monitoring. L'ensemble des machines étaient dirigées depuis la plateforme de Supervision.

    Dernièrement j'ai entendu à la radio, une voiture électrique qui allait bientôt sortir, il était possible d'acheter un boitier (400€) destiné à être branché dans la voiture et offrirait la possibilité d'installer des applications afin de superviser les services de la voiture.

    Certains frigo sont connectés (genre montre samsung - apple watch), ils sont capables d'indiquer ce qu'il reste dans le frigo après avoir configuré une liste d'aliments que la personne souhaite avoir en "permanence". C'est un aspect de la supervision également.

    Ce sont des exemples parmi tant d'autre. Tout ça pour dire, que notre environnement évolue et qu'il va être nécessaire de pousser la supervision plus loin que l'utilisation actuelle.
    Dernière modification par ZarL, 03 octobre 2014, 19h28.

    Commentaire

    • #3
      Bonjour à tous,

      Mes connaissances en réseaux, et surtout en sécurité n'étant pas encore très poussées je n'ai pu suivre qu'une partie de vos exposés.

      Étant étudiant en 1ére année au DUT informatique de Toulouse, je suis surpris de voir que nous n'avons aucuns modules traitants de la

      sécurité informatique au cours de notre formation, étant donné l'importance que vous donnez à la surveillance des flux d'informations.

      Les notions de :Supervision Réseau/Supervision Système (Software)/Supervision Système (Hardware) (source : Zarl)

      sont elles enseignées dans des formations à parts (écoles d'ingénieur/licences ?) ou faut-il se formé sur le tas ?
      deux et deux font cinq

      Commentaire

      • #4
        Salut,

        Pour ma part je me suis formé sur le tas dans le cadre de mon projet de fin d'études. Il me semble que cette année nous avons de la supervision au programe.

        Cdt.

        Commentaire

        Précédent template Suivante
        Projets
        Cyprium
        Blog
        CTF Hackademics
        Discord
        Status
        Mentions légales
        Politique de confidentialité
        Conditions générales d'utilisation (CGU)
        Chargement...
        X