Comment améliorer vos capacités de supervision réseau sans disposer de la détection de codes malveillants | enterprise.netscout.com

Comment améliorer vos capacités de supervision réseau sans disposer de la détection de codes malveillants

12 janvier 2016

Les logiciels antivirus et de protection contre les programmes malveillants ont longtemps été la mesure de protection standard utilisée par les spécialistes de la sécurité réseau pour détecter et contrer les assaillants. Malheureusement, il y a quelques problèmes avec cette méthode, tant du point de vue du pirate que celui de l’administrateur. Alors que le logiciel antivirus est exceptionnellement bon pour détecter et bloquer les logiciels malveillants connus, de nouvelles menaces qui n’ont pas encore été identifiées par les développeurs de logiciels antivirus ne sont pas généralement reconnues et ont tendance à glisser à travers les mailles de son filet, non détectées et toujours aussi néfastes.

Les administrateurs réseau sont confrontés à un nombre croissant d’utilisateurs et de périphériques. Ils ont besoin d’un moyen de détecter les intrus même sans la présence de logiciels de détection de programmes malveillants.

Des outils légitimes remplacent un programme malveillant pour accéder au réseau

Du point de vue du pirate informatique, il est insensé de développer et de compter sur un outil qui a une durée de vie très courte. Tout comme le développeur de logiciel légitime, le pirate doit pouvoir exploiter ses outils dans la durée pour rendre ses efforts valables. Cela signifie que les pirates les plus sophistiqués et les plus sérieux abandonnent complètement le concept de programme malveillant. Par conséquent, il n’est plus nécessaire de dépendre d’un logiciel antivirus et de protection contre les programmes malveillants pour détecter et contrer les menaces entrantes.

Au lieu du néfaste virus, cheval de Troie ou ver, les pirates informatiques avancés d’aujourd’hui utilisent des outils légitimes que les logiciels antivirus pensent être d’autres logiciels anodins fonctionnant sans danger sur le réseau. Tout comme pour les logiciels malveillants, les pirates utilisent des outils légitimes comme des applications de gestion à distance et moteurs de script afin d’accomplir les mêmes choses pour lesquelles ils avaient l’habitude d’utiliser des logiciels malveillants : obtenir un accès et voler des informations d’identification de l’utilisateur, casser des mots de passe, vider les hachages de mot de passe et utiliser les outils de bureau distants pour passer d’un système à l’autre, en se propageant pour voler et semer la pagaille. La plupart des pirates comprennent que leur attaque va éventuellement être interceptée et arrêtée ; ils veulent simplement utiliser les outils qui leur permettront de continuer leurs activités le plus longtemps possible.

Des comptes avec un accès de niveau supérieur doivent être surveillés plus strictement que les utilisateurs moyens, mais il faudrait mettre au point un référentiel d’un comportement normal sur le réseau.

Protéger les nouvelles attaques ne se servant pas de programmes malveillants

Comment les services informatiques des entreprises peuventidentifier et se protéger contre ces nouveaux types d’attaques « légitimes » ? Tout d’abord, ils doivent cesser de dépendre uniquement de logiciels de protection contre les programmes malveillants et antivirus. Ces outils sont des moyens qui peuvent faire faussement croire aux administrateurs réseau que tout va bien, étant donné que le logiciel antivirus n’a pas signalé d’attaque.

Au lieu de cela, la sécurité devrait impliquer une surveillance des performances du réseau intelligente et rigoureuse. Cette méthode consiste à établir une base de référence de ce qui est considéré comme une activité réseau normale et vient déclencher ensuite des alertes pour indiquer quand les normes sont dépassées, ce qui pourrait signifier une attaque.

Plus l’établissement de vos bases de référence est étalé dans le temps, plus votre nouveau système de détection des attaques provenant de sources légitimes sera performant. Il est conseillé d’inclure plusieurs semaines ou plusieurs mois de suivi afin d’établir une bonne base pour les week-ends, soirées et journées de travail normales, et même à quoi ressemble l’activité réseau durant les vacances. La solution de suivi des performances de réseau doit rechercher des anomalies telles que des tentatives multiples avec des mots de passe non valides ou une activité inhabituelle impliquant des fichiers et des dossiers très sensibles et/ou auxquels on accède rarement. Plus le niveau de l’utilisateur est élevé et si l’actif impliqué par cette anomalie est important, plus le seuil d’alerte d’une menace potentielle devrait être bas. En d’autres termes, ne laissez pas passer des signaux d’alerte tels qu’un compte de niveau administrateur affichant 3 tentatives de mot de passe incorrect, même si votre seuil pour un compte d’utilisateur moyen est de 5 ou 6 tentatives.

Si aucun utilisateur ne devrait avoir accès aux données de l’autre côté du monde à quatre heures du matin, même une tentative d’accès dans ces circonstances devrait activer une alerte.

Quels sont les éléments qui font qu’une solution de supervision réseau pour se protéger contre les pirates est adéquate ?

Voici les facteurs qui devraient figurer dans la définition de bases de référence et des seuils d’alerte avertissant les équipes informatiques de la présence d’anomalies :

  • L’origine de la tentative d’accès. Un seuil plus bas doit être établi pour les zones à haut risque. Si vous n’avez aucun intérêt dans les zones à haut risque, un seuil de 1 est recommandé.
  • Combien de fois l’anomalie se produit. Est-ce que cela s’apparente à un utilisateur frustré ou quelque chose de plus sinistre ?
  • Le moment où l’anomalie se produit. Si elle se produit au milieu de la nuit quand aucun ou très peu d’utilisateurs devraient tenter d’accéder au réseau, c’est plus suspect qu’une violation plus grave de l’activité de seuil au milieu de la journée.
  • La durée de l’anomalie. Est-ce que les tentatives d’accès excèdent ce à quoi vous vous attendez de voir d’un utilisateur qui a tout simplement oublié son mot de passe ?
  • La source de l’anomalie. Est-ce un utilisateur de haut niveau ayant accès à des choses ultras confidentielles ? Est-ce un utilisateur avancé qui ne devrait pas oublier ou mal saisir son mot de passe plusieurs fois ?
  • Le modèle de l’anomalie. Un utilisateur viendra généralement directement effectuer ce pour quoi il s’est connecté. Un attaquant se déplace systématiquement à travers le réseau d’une certaine manière, un utilisateur normal n’aurait aucune raison d’effectuer ces actions.

De toute évidence, l’environnement de la sécurité réseau évolue, et vos équipes techniques et responsable des technologies de l’information doivent être préparés. Pour plus d’idées novatrices, consultez le dossier technique du responsable des technologies de l’information pour en savoir plus sur les performances réseau, la sécurité, les tendances et technologies et plus encore.

 
 
Powered By OneLink