« Le plus grand risque dans l’IT est le risque humain et évidement plus les employés ont de privilèges plus ce risque est grand » explique Marton Illes le CTO de BalaBit IT Security. Aujourd’hui dans une entreprise différents acteurs peuvent avoir un accès au SI quel qu’en soit la raison. Pour tenter d’être exhaustif sur ce problème, je commencerais par lister : les invités, les clients pour qui le risque est différent de celui des invités car on les connait mieux et donc ont leur offre des accès élargis. Dans cette liste vient les employés qui ont des droits d’accès aux applications. Il faut aussi compter avec les sous-traitants qui ont des accès de fait au SI. Il faut rajouter à cela les managers qui ont des droits élargis du fait de leur fonction. Enfin, il y a le dernier groupe est celui des administrateurs qui ont des relations très spéciales avec l’IT avec des accès en tant que Super-utilisateurs. Il est donc nécessaire de pouvoir administrer tous ces groupes de façon adaptée.

Pour cela, un ensemble d’actions doit être mené. En premier lieu, il faut collecter les données de connexion, contrôler els les accès de façon rigoureuse et conserver ces informations. Ainsi, en cas d’incident, il sera possible d’analyser les informations afin de pouvoir les comprendre et fournir des réponses appropriées. Cependant, en général dans les entreprises, on n’a pas suffisamment de ressources pour réaliser tout ce travail. C’est pour cela qu’il faut déployer des systèmes de monitoring tout d’abord pour mieux protéger son SI en réduisant les risques mais aussi afin de répondre aux problématiques de conformité et enfin faire de la prévention. En résumé, il est important pour les entreprises de se concentrer sur les utilisateurs, les usages et les autorisations.

Effectivement, reprend Ferenc Sipos, Pre-Sales Manager de BalaBit, « les pressions règlementaires sont nombreuses. Je citerais par exemple SoX, PCI DSS, ISO 27002 (où il y a le monitoring des activités), Bâle I,II… et elles sont de plus en plus présentes dans les entreprises. Elles comprennent toutes un volet concernant les accès à privilèges. Le challenge est donc aujourd’hui de contrôler les activités des « super utilisateurs ». Ce contrôle est d’autant plus important qu’une étude que nous avons publiée en 2011, montre entre autre que 54% des administrateurs auraient changé des données sensibles au moins une fois dans leur carrière...
En fait, les motivations pour déployer une solution comme Shell Control Box sont nombreuses : la conformité, l’outsourcing, le contrôle sur les utilisateurs à hauts privilèges et pas seulement les administrateurs mais cela peut être certains managers comme ceux des services financiers ou encore des dirigeants. Il est aussi important d’avoir une solution pour pouvoir donner des preuves en cas de problèmes ou d’audit et donc d’enquêtes forensic.

Ainsi, reprend Marton Illes, c’est pour cela qu’en premier lieu il faut collecter et filtrer les logs afin de n’en garder que l’essentiel et les conserver de façon sécurisée avec un outil comme syslog-ng Store Box. Cette solution doit être bien sûr connectée avec un outil de SIEM pour obtenir de la corrélation de logs approfondie. Toutefois, il faut savoir que l’on peut perdre des logs mais aussi que les administrateurs à privilèges peuvent aussi modifier les logs… Il est donc nécessaire de pouvoir contrôler l’activité de cette population. En effet, il faut se rappeler que plus un utilisateur à de privilège plus il a d’opportunités pour agir mais aussi, plus il est difficile d’avoir une traçabilité sur ses activités.

Ainsi, BalaBit IT Security a lancé depuis plusieurs années la solution Shell Control Box (SCB) qui permet d’obtenir une authentification via l’appliance afin de repérer qui se connecte au serveur ou à l’équipement réseau sécurité. De ce fait, en cas de problème nous pouvons obtenir une traçabilité sur toutes les actions de l’administrateur. Nous utilisons un proxy qui collecte réellement tous les logs y compris l’activité réputée « invisible ». En fait, c’est parce que la reconstitution des sessions est faite à la volée et au niveau protocolaire.

Au niveau technique, SCB propose de nombreuses fonctionnalités reprend Ferenc Sipos : Elle peut manager les accès à haut privilège pour vulgariser « un système de caméra qui enregistre » toutes les actions des administrateurs en toute transparence pour les utilisateurs. Elle est livrée sous forme d’appliance, mais aussi en mode virtuel. En fait, SCB enregistre les sessions, les analyses, envoie des alertes et est capable aussi de rejouer les sessions. Elle s’interface avec tous les systèmes d’annuaire du marché comme AD, LDAP… Elle fonctionne via une connexion SSH.

En premier lieu, l’utilisateur doit se connecter via un Proxy sur notre appliance pour s’authentifier. SCB propose un système d’authentification indépendant qui permet de limiter les accès. En termes de sécurité et de conformité, notre solution offre la possibilité d’avoir un contrôle d’accès via une gateway. Elle est multi-protocole : SSH, RDP, HTTP, VNC, Telnet, Citrix…

Un système d’alerte a été aussi mis en place. Ainsi, en cas d’action inappropriée, une alerte est adressée par mail ou via SNMP à un groupe d’utilisateur défini afin de pouvoir le cas échéant la bloquer en temps réel. Il est aussi possible d’analyser les connections et de vérifier quelles commandes sont saisies et valider la conformité de l’action (système de black list). Dans le cas contraire, il est possible d’arrêter ces actions immédiatement en bloquant l’administrateur. Notre solution permet donc de détecter et prévenir les erreurs de manipulations, ou les actions volontaires, la fuite de données.. Elle détecte aussi le vol d’informations comme par exemple de carte de crédit… : le système permet de bloquer l’administrateur au cas où il visionne sur son écran plus d’un certain nombre de cartes bancaires en même temps. Ce nombre est personnalisable en fonction de la politique de sécurité de l’entreprise.

Enfin, au niveau de l’audit et du forensic, un audit en temps réel est proposé. Il est possible de trouver toutes les sessions de façon très facile même s’il s’agit d’une session graphique. Notre système enregistre toutes les sessions et est capable de les rejouer. De plus, il est possible de retrouver dans les sessions les contenus des commandes, ou des icônes affichées à partir de mots clés grâce à notre technologie OCR. Ainsi, SCB est à la fois transparent et indépendant de tout système ou applications ce qui est important en matière de forensic.

En tout dernier lieu, nous pouvons générer automatiquement des rapports de l’activité des utilisateurs à haut privilèges.
Bien sûr, Shell Control Box s’intègre directement au cœur de l’IT et s’interface avec les outils de SIEM, les annuaires et tous les systèmes de management du marché.

Notre solution est proposée en appliance de différentes tailles en fonction du SI mais aussi sous forme virtuelle. L’implémentation peut se faire en quelques jours en fonction de la taille de l’entreprise et en incluant la formation. Nous proposons aussi un service de support en 24/7.

Selon Marton Illes, une nouvelle version de Shell Control Box sera annoncée dans quelques jours.