Identifier les signes précurseurs d’une intrusion réseau
Détecter les intrusions réseau nécessite une pléthore d’information. L’expert Kevin Beaver explique pourquoi les équipes de sécurité ont besoin d’une vue d’ensemble du réseau.
« Avez-vous été compromis ? » C’est la grosse question à laquelle personne ne semble avoir de bonne réponse. Souvent, et en particulier pour les dirigeants non-techniques, un incident de sécurité sera l’un de ces événements très très visibles dont tout le monde est informé. Cela peut être le cas, en particulier lorsque les attaquants font tomber des systèmes, exposent des données ou demandent des rançons. Mais dans de nombreuses autres situations – et probablement la majorité des intrusions réseau –, les incidents sont difficiles à détecter. Dès lors, les pirates et cyber-délinquants peuvent rester sur le réseau durant des mois, voire des années, sans être remarqués. Et c’est pourquoi ces événements sont difficiles à gérer.
Pourquoi les intrusions réseau sont difficiles à repérer
Dans un monde où les attaquants ont tout le temps du monde, et où de nombreuses brèches sont découvertes par des tiers, les entreprises sont clairement des cibles faciles. L’un des éléments les plus importants pour déterminer si une intrusion réseau est survenue ou pas, est de savori ce qui est « normal ». Bizarrement, ce point est souvent négligé, ou seulement pris en compte après une brèche.
Mais le fait est qu’il y a tellement de bruit sur un réseau et de trafic, qu’il peut être difficile de faire la différence entre des événements légitimes tels que des requêtes DNS et des infections par maliciels avancés, ou encore des attaques en déni de service, des opérations de reconnaissance, ou une utilisation inappropriée de privilèges. Dans un tel contexte, déterminer ce qui est normal sur son réseau n’est pas simple.
Qui plus est, chacun est prisonnier de ses activités quotidiennes et des spécificités propres à ses fonctions ; chacun a donc une perception différente de ce qui est normal pour sa fonction. Et si tout change rapidement, cela vaut aussi pour ces perceptions.
Certains jeunes clients, qui n’ont jamais procédé à un audit de sécurité ou activement supervisé leurs réseaux, peuvent être tentés d’estimer que, puisque rien n’est « vu », rien de méchant ne se passe sur leur infrastructure. Ils n’ont aucune idée de ce à quoi s’attendre, parce que c’est tout ce qu’ils connaissent. Leur perception de la réalité est différente de la réalité…
Lire les signes avant-coureurs
Malheureusement, il n’y a pas un signe avant-coureur précis pour les intrusions réseau. Détecter ces intrusions nécessite de rassembler beaucoup de petits éléments isolés. Et c’est toute la difficulté. Il n’y a pas d’idée correcte de que ce qui est bon ou mauvais compte tenu de tous les éléments impliqués.
A moins que les administrateurs réseau et sécurité ne soient intimement familiers de la manière dont les choses sont censées se présenter, il n’y a pas de bonne manière d’obtenir la visibilité et les informations nécessaires pour garder les choses sous contrôle. C’est là que les technologies de sécurité entrent en jeu. Les journaux d’activité traditionnels des pare-feu, ainsi que des IPS/IDS, tendent, dans une certaine mesure, à créer plus de problèmes qu’ils n’en résolvent. Non pas qu’ils soient inutiles, mais ils contribuent à créer un faux sens de sécurité, quand ils ne noient pas les équipes sous les alertes.
A l’inverse, des outils plus récents tels que les systèmes de gestion de terminaux mobiles (MDM), de prévention des fuites de données (DLP), de gestion des informations et des événements de sécurité (SIEM), de passerelle d’accès cloud sécurisé (CASB), ou encore les technologies d’analyse de sécurité, peuvent être mis à profit pour dresser un tableau complet de ce qui se passe dans l’environnement et de ce qui pourrait être anormal.
Même les outils de surveillance du trafic traditionnels tels qu’OmniPeel et Wireshark sont positionnés comme des outils pouvant aider à gagner en visibilité sur ce qui se passe sur le réseau, et à obtenir un profil de base d’une norme d’activité sur le réseau.
C’est ce niveau de visibilité qui est nécessaire, non seulement relever les plus petites anomalies, mais aussi pour être capable d’appréhender la situation plus largement pour savoir ce qui se passe réellement sur le réseau.
Nous savons tous ce qui se passe lorsque survient une brèche : l’information sort pour toujours et ne revient pas. Les entreprises peuvent ne pas savoir exactement quoi chercher pour repérer des intrusions réseau, mais une chose est sûre : si elles n’ont pas un bon profil nominal de leur environnement et un éventail de technologies raisonnable pour la détection et la réponse, elles n’ont aucune chance contre ces attaques.
Les entreprises doivent connaître leurs systèmes, leurs réseaux et leurs risques – pas parfaitement, mais aussi bien que possible – avant de pouvoir être prêtes à répondre efficacement et, éventuellement, prévenir les intrusions réseau.