Transcription
Protection contre les menaces – DétectionJean-Marc RobertGénie logiciel et des TI
Plan de la présentation IntroductionDétection Systèmes de détection d’intrusionAnti-virusConclusionsJean-Marc Robert, ETSProtection contre les menaces - Détection2
Introduction La sécurité informatique repose sur deux grands principes: Veille technologiqueAnalyse des besoins Connaissez bien vos ennemis. Connaissez-vous vous-même.Connais ton ennemi et connais-toi toi-même; eussiez-vous centguerres à soutenir, cent fois vous serez victorieux.Sun Tzu, 4ième siècle av.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A083
Analyse des besoins La politique de sécurité est la pierre angulaire de la sécurité d’unsystème informatique. Détermine les actifs à protéger et les objectifs à atteindre.L’atteinte de ces objectifs repose sur les trois grands piliers de lasécurité informatique: PréventionDétectionRéaction Defence-in-depth: Utilisation de plusieurs moyens (parfois redondants) afinde protéger les actifs et de réduire les risques auxquels ils sont exposés.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A084
Détection Détecter l’occurrence d’une attaque. Identifier tout trafic ou logiciel malveillant. Reconnaissance basée sur des signatures d’attaques.Reconnaissance basée sur la détection d’anomalie.Identifier toute modification aux informations sensibles. Système d’exploitation: processus, fichiers, outils, Jean-Marc Robert, ETSProtection contre les menaces - Détection - A085
Système de détection d’intrusions (IDS) Système combinant logiciel et matériel, qui permet de détecteren temps réel les tentatives d'intrusion sur un réseau interneou sur un seul ordinateur hôte, de neutraliser ces attaquesréseaux ou systèmes et d'assurer ainsi la sécurité du réseaud'entreprise.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A086
IDS – architecture schématique Composante Évènement (E-box) Génération des évènements à partir des données brutes. Paramètres caractérisant le trafic durant une période d’observation. Information provenant du système d’exploitation ou des diverses applications Analyse des évènements afin d’en détecter les activités malveillantes. Filtration, agrégation, corrélationComposante Base de données (BD-box) Syslog, EventLogComposante Analyse (A-box) NetflowConservation des évènements afin d’en faire une analyse post-mortem.Composante Réaction (R-box) Génération des réponses aux activités malveillantes détectées.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A087
IDS – types IDS réseau (NIDS) – p.e. SNORT, BRO IDS ordinateur hôte (HIDS) – p.e. OSSEC Détection des activités malveillantes en analysant les flots d’informationéchangés sur un réseau.Détection des activités malveillantes en analysant les évènements observéspar un ordinateur hôte.IDS application Détection des activités malveillantes en analysant les évènements observéspar une application.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A089
IDS – méthodes de détection Deux approches complémentaires: La détection d’utilisations malveillantes. Base de données de signatures d’attaques devant être continuellement mise à jour. Ne peut pas détecter les nouvelles attaques ou les variantes d’anciennes attaques dont lescaractéristiques sont drastiquement modifiées.La détection d’anomalies. *LaCaractérisation du comportement « normal ».Tout trafic déviant des caractéristiques normales est supposé malveillant*.Peut détecter les nouvelles attaques dont les caractéristiques ne correspondent pas auxcaractéristiques normales.contraposée n’est pas vraie. Un trafic malveillant peut ne pas dévier descaractéristiques normales.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A0810
IDS – Détection d’anomalies Qu’est ce qui caractérise essentiellement un ver? Son mode de propagation TCP/UDP, SMTP, IM, Indépendant du ver ou de la vulnérabilité exploitée.Qu’est ce qui caractérise un ordinateur contrôlant un ensemblede bots ou zombies? Un grand nombre de connexions vers un ensemble d’adresses IP nesemblant pas reliées.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A0811
IDS – false negative vs. false positive False positive alarms Détection d’une activité légitime comme une activité malveillante.False negative alarms Activité malveillante acceptée comme une activité légitime.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A0812
IDS – false negative vs. false positiveTaux d’erreurFalse negative alarms(Activité malveillante acceptée comme une activité légitime.)False positive alarms(Détection d’une activité légitime comme une activité malveillante.)Peu préciseTrès préciseCaractéristique (signature ou modèle de trafic normal)Jean-Marc Robert, ETSProtection contre les menaces - Détection - A0813
Faux négatif ou faux positif ? Un comportement anormal dans un secteur d'une organisationpeut être acceptable alors que très suspect dans un autre. Parexemple, le trafic Netbios est normal dans un environnementWindows LAN, mais il n'est généralement pas attendu surInternet.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A0814
Faux négatif ou faux positif ? Dans un environnement reposant sur la détection d'uneanomalie ou un système de détection d'intrusion basé sur l'hôte(HIDS) s'appuyant sur des changements de fichiers,l'hypothèse doit être que, au moment de la formation, le réseauou le système n'a pas été compromis. Si ce n'est pas vrai, il yaura de faux ? pour toutes les conditions déjà exploitées.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A0815
Faux négatif ou faux positif ? Dans un système basé sur une signature, il y aura unepériode où les nouvelles attaques ne seront pasreconnues.Jean-Marc Robert, ETSProtection contre les menaces - Détection - A0816
Et ensuite avec tous ces journaux Security Information and Event Management (SIEM), Acquisition (définir les besoins) Capacité (p.ex EPS ou stockage) Installation (formation) Opération (ajustement, nouveaux événements à analyser) Nouveau connecteur Épuration du bruit Qualité des journaux (collecte et “parsing”) Bien définir les cas d’utilisations Le suivi et la prise en charge des alertes Définir des SLA Exemple de produits : qRadar - IBM ArcSight – HP Mc Afee Enterprise security manager (Nitro) LogRhythm AlienVault SplunkJean-Marc Robert, ETSProtection contre les menaces - Détection - A0817
Conclusions Nombreux dispositifs existent afin d’offrir une solutiontechnologique sécurisée. Afin de déterminer la solution la plus adéquate, il fautabsolument Connaître ses besoins. Politique de sécurité détaillant les objectifs pour les divers actifs.Connaître ses ennemis Veille technologique vulnérabilité, menaces, Jean-Marc Robert, ETSProtection contre les menaces - Détection - A0822
Terminologie et définitionsLes définitions en italique ainsi que les termes françaisproviennent de grand dictionnaire terminologique del’Office de la langue française du .html)Jean-Marc Robert, ETSProtection contre les menaces - Détection - A0823
Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 7 IDS -architecture schématique Composante Évènement (E-box) Génération des évènements à partir des données brutes. Paramètres caractérisant le trafic durant une période d'observation. Netflow Information provenant du système d'exploitation ou des diverses applications
