L’importance des mises à jour

Définition d’une signature

Une signature en sécurité informatique est un processus qui permet de vérifier l’authentification de l’émetteur et de contrôler l’intégrité du message.

La signature représente une méthode cryptographique élaborée pour attester l’intégrité et l’authenticité d’un document, d’un fichier ou d’un courriel. Elle assure à l’expéditeur et au destinataire que les données associées sont fiables, sécurisées, et n’ont pas subi de modifications. Elle fonctionne avec une clé privée et une clé publique.

Le rôle des IDS IPS

Dans la vidéo ci-dessous, nous (re)verrons ce qu’est un IDS, ce qu’est un IPS et le rôle qu’ils jouent chacun dans un réseau informatique.

Le rôle des IDS et IPS

0 seconds of 1 minute, 54 secondsVolume 100%

 

Pour compléter ces notions de rappel, voici ci-dessous un schéma qui nous permettra de bien noter la différence de positionnement entre IDS et IPS.

La récurrence des mises à jour

En fonction des solutions de supervision de sécurité réseau utilisées, les manipulations ne seront pas les mêmes. Il conviendra de se référer à la documentation technique du logiciel utilisé pour superviser la sécurité.

La plupart des solutions de supervision de sécurité réseau mettent à disposition les nouvelles versions de mises à jour signatures. Il est fortement recommandé d’automatiser ses mises à jour afin de bénéficier des dernières versions de signature sur le système.

L’importance des signatures mises à jour

Afin de bien comprendre le rôle et l’importance des signatures dans le cadre d’un IDS et/ou d’un IPS, il nous semble important de rappeler et de développer le rôle de la signature.

Dans le cadre du processus de signature, une signature numérique est générée à partir du hash d’un message spécifique (pour rappel, une fonction de hachage est une fonction cryptographique). Cette signature est liée à l’entité effectuant la signature (émetteur) et est créée en utilisant la clé privée de cette entité.

Lors de la réception du message, le processus de vérification de signature accomplit deux tâches essentielles :

Le système échoue si la clé privée est compromise ou si le destinataire fournit de manière trompeuse une fausse clé publique.

Les concepts de signature numérique sont basés sur la cryptographie asymétrique.

Les IDS et les IPS comparent, dans une base de données dédiées au recensement des menaces informatiques, les signatures qui sont connues en lien avec des cyberattaques. Cette base est mise à jour régulièrement en fonction des nouvelles signatures recensées.

Comment mettre à jour les signatures

Vérifier les mises à jour fournies par les solutions utilisées sur l’infrastructure réseau

Comme nous l’avons vu précédemment, certaines solutions de surveillance réseau proposent de mettre automatiquement à jour les bases de données afin de pouvoir automatiser cette tâche. Cela permet de gagner un temps non négligeable et d’éviter certaines interventions manuelles.

Il est fortement recommandé d’activer les mises à jour automatique pour éviter tout souci. Pour ce faire, il faut se référer à la documentation technique du logiciel de supervision de sécurité qui permet de gérer l’IDS et/ou l’IPS mis en place sur le réseau.

Attention

Malgré le fait que les mises à jour automatiques soient activées, il est également recommandé de vérifier manuellement que les mises à jour s’effectuent correctement à la fréquence définie et recommandée.

Utiliser des logiciels IDS et IPS basé sur les signatures

Il existe différentes solutions permettant d’utiliser des IDS et IPS basés sur les signatures. Dans ce cours nous prendrons l’exemple de Suricata.

Suricata est un logiciel open source de système de détection et de prévention qui est basé sur des signatures. Ce projet a été lancé en 2008 et la première version stable du logiciel a vu le jour en 2010. Suricata peut autant être utilisé en dispositif de prévention lorsqu’il est configuré pour, mais également en tant que dispositif de détection en mode IDS.

Il est possible de se fournir la solution grâce à ce lien : SURICATA. Attention à bien télécharger la dernière version stable.

Une fois le dossier téléchargé, il est nécessaire d’ouvrir le fichier README.md qui permettra de retrouver l’ensemble des informations nécessaires pour une bonne installation. En fonction de la solution choisie, il conviendra de se référencer à la documentation technique d’installation.

Comme par exemple, les liens pour accéder au guide d’information :

Source : Suricata

Dans le dossier de la dernière version de Suricata téléchargé, nous allons y trouver plusieurs dossiers et fichiers qui vont servir à l’installation.

Pour commencer, il faudra effectuer la commande suivante :

tar xzvf suricata-6.0.0.tar.gz

cd suricata-6.0.0

./configure

make

make install

Cette commande permettra d’installer Suricata dans/usr/loca/bin/.

Ensuite, il sera possible de paramétrer certaines options de configuration en installant certains fichiers mis à disposition dans le dossier en fonction des besoins en suivant les indications de la documentation de la solution.

Une fois bien installée et configurée, il est alors possible d’accéder au tableau de bord de la solution. Voici un exemple de l’interface ci-dessous, il est tout à fait possible de personnaliser l’interface :

Source : flickr

Lors de l’installation de Suricata, l’ensemble des règles sont installées par défaut. Il faut faire attention à bien les configurer en fonction du besoin sur le réseau, car cela va engendrer un grand nombre d’alertes si les éléments ne sont pas triés (et donc augmenter les faux positifs et les alertes non importantes). Pour cela, il faut définir les règles et les niveaux d’alerte souhaités pour être notifié. Concernant les règles, il est possible d’ajouter ses propres règles et de mettre à jour l’ensemble des règles grâce à la commande « suricata-update ».

Nous aborderons le point des seuils d’alertes un peu plus tard dans ce cours.

Les paramètres manuels en cas d’une signature inconnue

Dans le cas où les mises à jour automatiques ne seraient pas configurées alors il faudra faire les manipulations manuelles pour configurer les alertes et les rejets de certaines signatures. Pour cela, il faut se référer à la documentation technique de la solution sélectionnée pour gérer les IDS et IPS pour ajouter une signature qui permettra de faire déclarer une exception dans les systèmes.

Cela permettra lors d’une récidive de permettre au système IDS ou IPS de prendre en compte cette signature et de déclencher une alerte et une action pour l’IPS.

Une fois que les paramètres manuels sont faits, il convient de lancer une attaque de test pour s’assurer que la signature a bien été bloquée.

Comment surveiller et analyser les alertes IDS/IPS ?

La configuration des notifications d’alertes

Pour surveiller et analyser les alertes IDS/IPS, il convient de faire quelques paramétrages pour définir les notifications d’alertes. L’administrateur pourra savoir s’il s’agit d’alerte provenant de l’IDS ou de l’IPS. Ce qui permet de savoir si des actions doivent être menées ou si des actions ont été enclenchées par le système.

Rappelons que les IDS et les IPS ne sont pas semblables. Les IDS détectent, les IPS contrôlent en acceptant ou en rejetant des paquets.

Un IDS déclenche automatiquement une alerte lorsqu’il détecte une faille de sécurité et toute activité jugée suspecte sur le réseau. Un IPS, quant à lui, émet une notification pour informer des actions enclenchées et parfois a besoin d’une validation manuelle pour effectuer une action.

Il est possible de configurer les notifications en fonction des besoins avec notification par mail, par SMS ou encore, une notification sur le logiciel de supervision de sécurité utilisé. Il est également possible de définir et de personnaliser les utilisateurs qui recevront les alertes.

Ces notifications d’alerte sont importantes notamment en cas de faux positifs déclenchés par un IPS. La notification permet d’aller vérifier manuellement avant que l’IPS ne bloque un paquet qui ne serait pas malveillant.

Consulter les fichiers de logs

Pour commencer, rappelons ce qu’est un fichier de log. Également appelés fichiers journaux, ce sont des fichiers qui recensent l’ensemble des événements et activités sur un réseau informatique. Dans les fichiers de logs, nous pouvons retrouver par exemple les informations suivantes :

Consulter les fichiers de logs permet de vérifier tout l’historique et les actions d’une attaque. Il est important de gérer la collecte des logs afin d’avoir une journalisation et une centralisation. Cela permet de conserver un historique et de pouvoir s’y référer en cas d’attaque, mais, également, de détecter des intrusions qui n’auraient pas été notifiées.

Les logs peuvent se présenter de différentes manières. Ils peuvent être structurés ou semi structurés. Ci-dessous un exemple d’un log structuré :

Source : CROWDSRIKE

Il convient ici d’insister sur l’importance de la sécurité de conservation de fichiers de logs. En effet, ces fichiers contiennent la totalité des événements sur un réseau et donc contiennent des données sensibles.

Pour l’analyse des fichiers de log, il est intéressant de s’appuyer sur des SIEM (systèmes de gestion des événements et des informations de sécurité) qui permettent l’analyse de log. Ces systèmes permettent de collecter, de consulter et de catégoriser les données recensées pour ensuite les analyser et produire un rapport. Il convient de noter ici que l’interface de Suricata (solution que nous avons vue précédemment dans le cours) propose un SIEM.

Certains outils de monitoring permettent également l’analyse des fichiers de logs, mais il convient de préciser que les outils de monitoring se concentrent sur les données du réseau tandis que les SIEM analysent l’ensemble des données du réseau, mais également des périphériques.

Il existe diverses méthodes de collecte de logs. Le choix de la solution pour collecter et gérer les logs doit être compatible avec les techniques et plateformes utilisées par l’entreprise. En termes de sécurité, il convient de faire en sorte dans la mesure du possible de ne pas stocker des informations sensibles dans les logs tels que des mots de passe par exemple.

Pour stocker et conserver les logs, il convient de se poser les questions suivantes :

Pour finir, l’automatisation des analyses de logs permet d’agir plus rapidement en cas d’incident. En configurant les alertes et les notifications par niveau de gravité permet également de renforcer et d’exploiter pleinement les logs dans le cadre d’une surveillance informatique.

Trier, hiérarchiser et traiter une alerte

Définir un seuil d’alerte

Pour commencer, il est nécessaire de définir et de rappeler ce qu’est une alerte en informatique. Il s’agit d’une notification qui permet d’informer les personnes identifiées d’événements définis comme à risque pour l’environnement informatique.

Ces alertes permettent d’agir rapidement. Pour qu’elles soient efficaces et bien configurées, il est nécessaire de définir correctement le seuil d’alerte. Voici quelques exemples d’alertes qu’il convient de notifier avec un seuil de gravité urgent :

Une alerte de mise à jour par exemple ne sera, quant à elle, pas paramétrée avec un seuil de gravité urgent.

En fonction des solutions utilisées, il va donc falloir définir les métriques de seuil d’alerte. Cela permettra d’enclencher une alerte uniquement si le seuil est égal ou supérieur à celui renseigné. Une fois défini, il est nécessaire de tester régulièrement les notifications d’alertes pour vérifier le bon fonctionnement et la bonne efficacité des seuils définis. Pour cela, il faudra simuler éventuellement des attaques/tentatives d’intrusion sur le réseau.

Définir les niveaux de gravité et d’urgence

Une fois que le seuil des alertes a été défini, il convient de définir ensuite des niveaux de gravité et de priorité. Ces niveaux vont permettre à l’administrateur et à ses équipes de jauger si elle doit être traitée immédiatement ou plus tard.

Pour cela, il est intéressant de définir des niveaux de gravité. Prenons l’exemple suivant :

Le fait de définir le niveau de gravité va permettre d’établir une hiérarchie des tickets à traiter. Dans le cadre d’une alerte provenant d’un IPS ou d’un IDS, il est important de définir correctement ses niveaux de gravité, car, en lien direct avec la sécurité d’un réseau, il est nécessaire de traiter ses événements très rapidement.

En fonction des niveaux de gravité déclarés, cela permettra aux personnes dédiées de définir le niveau d’urgence et d’enclencher les processus d’action adéquats pour maintenir la sécurité d’un réseau.

En effet, il est important ici de bien faire la différence entre le niveau de gravité et le niveau de priorité. Le niveau de gravité va être défini en fonction de l’impact de l’incident. Le niveau de priorité quant à lui va être défini en fonction du délai d’intervention nécessaire par rapport au niveau de gravité.

Si alerte IPS vérifier les actions

Pour rappel, les deux systèmes IPS et IDS permettent la notification d’alerte.

Dans le cas d’une alerte IPS qui est, contrairement aux alertes IDS, axée sur de l’opérationnel, certaines actions auront été mises en place automatiquement en fonction de l’alerte. Il convient de vérifier quelles actions ont été prises et s’assurer qu’elles soient bien fonctionnelles. Par ailleurs, en fonction des règles configurées dans la solution de sécurité, il peut arriver que l’IPS n’enclenche pas d’action sans validation manuelle. La notification d’alerte de l’IPS permettra d’informer la personne désignée.

Une fois qu’une alerte IPS a été traitée et que les actions recommandées ont été validées manuellement, il convient d’ajouter et d’enregistrer cette action dans les règles de la solution afin que le système IPS, en cas de récidive, puisse renouveler l’opération.

Si alerte IDS traitement de l’alerte et intervention

Dans le cas d’une alerte IDS, les notifications d’alertes vont concerner uniquement la détection de failles de sécurité, de logiciels malveillants, d’anomalie ou encore d’activités suspectes en temps réel. Cela permet d’être notifié très rapidement.

Une fois notifiée, la personne désignée peut se connecter à son outil IDS et consulter le tableau de bord pour afficher le détail de l’alerte. Cela va lui permettre de connaitre potentiellement la nature de l’alerte et le type de menace et de pouvoir lui assigner un seuil de gravité.

En fonction de la priorisation de l’alerte, l’administrateur devra intervenir pour potentiellement bloquer la signature.

Une fois que cela est fait, il est important d’enregistrer l’ensemble des données liées à l’alerte et les actions mises en place à la suite de son apparition.

À la suite d’un incident, il est vivement conseillé d’analyser les alertes IDS dans le cadre du post-mortem afin de comprendre ce qu’il s’est passé et de pouvoir mettre en place des mesures d’optimisations de sécurité.

La journalisation des événements et les rapports

Qu’est-ce que la journalisation ?

La journalisation en informatique correspond à la collecte de données de l’ensemble des opérations et événements qui sont effectués dans un système. La journalisation doit être centralisée afin de pouvoir retracer tous les événements dans un seul et même fichier. Cela permet à la personne en charge de la sécurité de pouvoir consulter l’ensemble des événements d’un coup. La centralisation est essentielle pour optimiser ses performances avec un gain de temps, ce qui permet une gestion efficace des événements. Elle contribue ainsi à renforcer de manière significative la gestion de la sécurité informatique.

Pourquoi la journalisation est-elle importante ?

La journalisation sert à consigner des événements spécifiques en vue de vérifications ultérieures. Elle offre également la possibilité de reconstituer des informations et des processus lors de la phase de restauration, généralement entreprise après une intrusion.

Il convient également de préciser que certains IDS se basent sur les logs pour identifier et surveiller l’activité.

Lorsqu’une alerte de sécurité est déclenchée, les développeurs se doivent d’aller vérifier l’historique de l’activité sur le réseau. La journalisation permet de le faire facilement et leur permet d’enquêter pour identifier la cause de l’alerte, mais, également, de comparer les différentes versions de code qui ont été générées.

À quoi sert la génération de rapport ?

La génération de rapport permet de créer des rapports concernant les logs sur une période donnée. Cela vise à conserver un historique et à pouvoir consulter toutes les notifications d’événements et d’alerte du système.

Ces rapports sont ensuite conservés et archivés de manière sécurisée. Ils permettent aux entreprises :

La conformité en termes de sécurité

Il convient ici de rappeler l’importance de l’utilisation des IDS et des IPS dans le cadre de la protection des données.

En matière de conformité avec la sécurité informatique, la responsabilité incombe à l’entreprise de fournir des preuves concernant la protection des données au sein du réseau. À cet égard, l’utilisation et la mise en œuvre de systèmes IDS et IPS s’avèrent essentielles pour satisfaire aux divers critères de sécurité obligatoires en informatique. Il est important de souligner qu’une entreprise peut être sujette à un contrôle, nécessitant ainsi la démonstration de sa conformité à un ensemble de critères définis en sécurité informatique. Ces critères, désignés sous le terme de CIS (Critères du Centre pour la Sécurité Internet), représentent le référentiel des normes de sécurité pour la protection des systèmes informatiques et des données. Ces critères sont subdivisés en deux niveaux distincts :



Introduction à l’analyse post-mortem

Qu’est-ce qu’une analyse post-mortem ?

Une analyse post-mortem est une analyse qui survient après un incident. Elle permet de faire un point après et de faire un bilan du pourquoi et comment. Les analyses post-mortem permettent de mettre en place des mesures correctives pour éviter qu’un incident ne se reproduise.