PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en france, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
vendredi, 23 mars 2012 14:34

Atteintes à la sécurité du réseau - Que faire après ?

Évaluer cet élément
(0 Votes)

logoLa disponibilité et les performances du réseau vont de pair pour les entreprises dépendantes de la vente en ligne. Selon un calculateur en ligne de coûts d’une attaque DoS1, une entreprise ayant des revenus annuels de 10 millions de dollars, dont au moins 10% provient de la vente en ligne, peut perdre jusqu'à 100 000 dollars par attaque de type DoS!

L'année 2011 restera connue comme « l'Année du Piratage », durant laquelle nous avons vu de petites et de grandes entreprises être les victimes d'atteintes à la sécurité deleur réseau, l’apparition de malwares industriels comme Duqu (basé sur Stuxnet) qui peut rester dormant pendant des mois avant d’attaquer en cas de besoin (ce qui n’est pas le scénario d'un film d'invasion extra-terrestre), des malwares zeroday, l’augmentation des attaques DoS et bien d’autres choses.

Comme l’indique certains rapports, on estime que près d'un millier d’attaques DoS sont lancées2 chaque jour et il yaurait environ trois mille Commandes et Contrôles actifs3(C&C) pouvant effectuer des attaques DoS. En considérant le fait qu’il existe beaucoup d’autres types d’attaques possibles, en plus des attaques DoS, la probabilité pour qu’une entreprise subisse une attaque ou tombe sur un malware est élevée.

Voici donc un article (en anglais) très intéressant qui vous informe sur ce qu’il faut faire suite à une atteinte à la sécurité de votre réseau :
http://www.eweek.com/c/a/Enterprise-Networking/Network-Security-Breaches-10-Things-to-Do-Immediately-After-414421/

Les différents points mentionnés dans l'article nous explique comment atténuer l'effet d'une attaqueen voyant au-delà de vos systèmes IDS/IPS, du profilage et de l’analyse du trafic, du Qui, Quoi, Quand et Où du trafic et de la conformité. Donc, la question suivante est de savoir comment atteindre cet objectif.

L’une des réponses à cette question est NetFlow de Cisco. Ce dernier est désormais la technologie la plus utilisée pour la surveillance réseauet ce dans les petites, moyennes et grandes entreprises. NetFlow recueille des informations pertinentes sur le trafic passant par vos interfaces de routage et de commutation qui peuvent ensuite être utilisées pour l'analyse et la criminalistique réseau. Les fournisseurs de dispositifs Non-Cisco pour entreprises comme Juniper, HP, Alcatel, Enterasys, Huawei, Dell, Force10, etc…exportent NetFlow ou des logiciels similaires comme IPFIX, J-Flow, sFlow, NetStream, Appflow, etc...

Mais NetFlow seul n’est pas suffisant. Vous avez également besoin d'un outil sur lequel peut s’appuyer NetFlow et qui vous aide pour la surveillance de la bande passante,pour l’analyse du réseau et pour la détection d'anomaliessur le réseau. NetFlow Analyzer de ManageEngine est cet outil.

NetFlow Analyzer de ManageEngine possède un module d’analyseécurité avancé(ASAM), qui s'appuie sur les données de NetFlow pour constituer des rapports sur d'éventuelles anomalies dansle comportement du réseau comme des attaques DoS, un trafic provenant d’une source ou d’une IP inconnue, une brusque augmentation du trafic, la violation de paquets TCP et UDP, des scans réseau , etc… ASAM n'est pas basé sur la détection de signature mais sur les comportements anormaux, ainsi les malwares zerodayqui sont passés inaperçus pour les systèmes IDS/IPS seront capturés.

Pour être préparé et savoir ce qui se passe, une surveillance continue est une nécessité. NetFlow est une technologie à faible impact qui est une excellente solution pour cela. En consommant très peu de bande passante ou de ressources d'un dispositif, vous pouvez laisser NetFlow fonctionner en permanence. Stocker les données NetFlow aussi longtemps que possible et profilerle comportement de votre réseau en utilisant un bon outil graphique. NetFlow Analyzer de ManageEngine est capable de stocker des données brutes NetFlow pendant un mois et les flux agrégés basé sur un top N peuvent être stockés indéfiniment. Avec des informations sur tout le trafic qui passepar votre réseau, si un problème survient, il suffit de remonter dans le temps pour savoir exactement ce qui s'est passé.

Une fois que vous êtes prêt et que tout est enregistré, vous pouvez utiliser ces informations pour la criminalistique réseau (network forensics) qui nécessite des informations détaillées sur le trafic de votre réseau, à la fois à partir du WAN et du LAN mais aussi à l’intérieur du LAN. NetFlow Analyzer de ManageEngine collecte et propose des rapports sur la source et la destination des IP, des ports, des interfaces, du protocole, des champs ToS et DSCP, du saut suivant, des drapeaux TCP et bien d’autres. Et c'est exactement ce dont vous avez besoin pour la criminalistique réseau et pour répondre aux questions Qui, Quoi, Quand et Où du trafic IP.

Les informations obtenues de NetFlow vous aident également pour les rapports de conformité. Par exemple, la conformité PCI DSS4, «Suivre et surveiller tous les accès aux ressources réseau et aux données duporteur de la carte» est une obligation et c'est exactement ce que NetFlow peut fournir, car il suit chaque transaction en se basant sur une adresse IP, une IP réseau ou une plage d'adresses IP vous informant ainsi sur les l'accès à tout système de stockage de données.

Pour le voir en action, essayez NetFlow Analyzer de ManageEngine.

Téléchargez notre version d’essai 30 jours ou testez notre démo live en ligne.

Informations supplémentaires :

Si vous aimez les romans d’espionnage, lisez cet article (en anglais) de wired.com à propos de la découverte de Stuxnet. Vous en saurez plus sur l’évolution et la complexité des malwares. Voici le lien :
http://www.wired.com/threatlevel/2011/07/how-digital-detectives-deciphered-stuxnet/all/1

Pour en savoir plus sur Duqu (en anglais) :
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf

Jetez un œil au webinar de ManageEngine sur la sécurité réseau (en anglais) :
http://www.manageengine.com/products/netflow/plugging-network-security-holes-using-netflow.html

Références :

1) Calculateur en ligne de coûts d’une attaque DoS :
http://www.ultradns.com/ddos-protection/siteprotect/resources/ddos-cost-calculator/calculate-your-costs

2) Nombre d’attaques DoS :
http://www.team-cymru.org/Monitoring/Graphs/
http://atlas.arbor.net/summary/dos
http://www.shadowserver.org/wiki/pmwiki.php/Stats/DDoSCharts

3) Nombre de C&C actifs :
http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts

4) Conformité PCI DSS
https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf

Lu 3644 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.

Cache hits : 641 [96%]
Cache misses : 20 [3%]
Cache total : 661
Url added to cache : 842



Misses list
index.php?option=com_k2&Itemid=278&id=69&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=69&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&lang=fr&tag=DoS&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=malware&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&id=581&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=555&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=555&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=554&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=554&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=553&lang=fr&view=item

index.php?option=com_k2&Itemid=278&id=553&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=552&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=55&lang=fr&view=item

index.php?option=com_mailto&lang=fr&link=70ee13320d0a5115e0f0cc5538947a8e7aa22290&template=rt_hadron&tmpl=component

index.php?option=com_content&Itemid=2456&id=1477&lang=fr&view=article

index.php?option=com_blankcomponent&Itemid=1799&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=1797&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=2106&lang=fr&view=default

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&tmpl=component&view=user

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&view=user

In memory, waiting to be written : 7
Ram used : 42232