Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersurveillance #nobullshit

octobre 2014 par Emmanuelle Lamandé

La cybersurveillance est un terme particulièrement à la mode cette année. Mais, au final, beaucoup de bullshit et peu de concret, même si les besoins sont, eux, bien réels. A l’occasion des Assises de la Sécurité, Pierre Texier, Consultant Sécurité / Tests D’Intrusion, et Marc Behar, PDG d’XMCO, décrivent comment mettre en œuvre une cybersurveillance de façon efficace et pragmatique.

Souvent, on observe une volonté de driver la cybersurveillance via la corrélation de logs ou l’e-réputation, expliquent-ils. Cependant, l’anticipation perd tout son sens quand on ne s’en tient qu’à de la corrélation de logs. L’e-réputation ne permet pas, quant à elle, d’analyser les attaques et les attaquants.

Une entreprise doit être capable de détecter les attaques avant qu’elles n’arrivent et d’analyser les comportements des personnes malveillantes. En effet, un attaquant va le plus souvent laisser des traces montrant qu’il s’intéresse à votre entreprise et à votre SI. C’est sur ces traces que doit reposer, pour XMCO, le processus de cybersurveillance.

Un cybersurveillance efficiente et pragmatique s’articule, selon eux, autour des phases suivantes : déterminer sa surface d’attaque, définir les vecteurs de recherche, choisir les bons outils, identifier les scénarios à détecter et consolider toutes les mesures de protection pour anticiper les intrusions.

Pour ce faire, il est également essentiel de couvrir l’ensemble du spectre, c’est-à-dire le périmètre maîtrisé (sites Web, adresse IP, domaines…), le Web non maîtrisé (sites publiés hors process, Cloud, SaaS…) et les Web inconnus (forum, greyweb, darkweb…). La cybersurveillance doit, de plus, prendre en compte les problématiques suivantes :

- DNS, Noms de domaines, adresses IP : surveillance des noms de domaine déposés. Il est important de détecter les alertes si une tierce partie utilise votre nom de domaine, adresse IP…

- Exposition : détecter les services sensibles sur Internet. Il peut s’agir de la publication d’interfaces de type Wordpress sur Internet, de versions de logiciels obsolètes… L’objectif d’un service de cybersurveillance est aussi de capter ce type d’informations et d’être capable de les remonter rapidement.

- Publications d’informations sur Internet : il peut s’agir de publications techniques, telles que des informations de configuration FTP, de bases de données dérobées (exemple d’Adobe et de la publication des mots de passe associés, qui ne sont pas en clair mais chiffrés en 3DES avec un indice) ou de bases clients. Ces informations, même si elles restent dans l’entreprise, vont se retrouver ponctuellement publiées sur Internet suite à une erreur humaine...

- Intégrité : la cybersurveillance doit également permettre de détecter toute atteinte à l’intégrité des systèmes, des sites Web…, par exemple via l’injection d’iframe pour amener un utilisateur légitime vers un site pirate (ex. : piratage du site de Metro.us).

La cybersurveillance se doit d’adresser l’ensemble de ces axes de contrôles. Pour cela, il faut avoir les bons vecteurs de récupération d’informations et d’alertes. De plus, la détection des attaques doit se faire à différents stades et à chaque étape de l’attaque. Par exemple, cela peut consister à détecter les comportements suivants :
- Détection du dépôt d’un nom de domaine utilisant le nom de l’entreprise ;
- Détection de la mise en ligne de sites Web pirates ;
- En cas de construction du site de phishing par duplication des pages du site Web légitime, détection de contenus illicites sur le site Web pirate.

L’objectif d’un système de cybersurveillance est de pouvoir détecter dès que possible tout comportement anormal et les vecteurs utilisés. Il faut s’intéresser tout d’abord à détecter tous les endroits où les attaquants pourraient rentrer le plus rapidement possible dans le SI et s’assurer que le service de surveillance et de détection est suffisamment fiable.

Enfin, une entreprise ne doit pas oublier que la cybersurveillance seule ne suffit pas. Elle est une brique qui vient s’intégrer dans tous les outils nécessaires aux RSSI : antivirus, firewalls, tests d’intrusion, scans de vulnérabilités, CERT, sécurisation du développement Web, Forensics…


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants