Étape n° 2 : Suivez la menace jusqu’à sa source Lorsqu’une alerte s’affiche sur la console d’un responsable de la sécurité, c’est comme si quelqu’un déclenchait une alarme, explique Morrow, responsable de la sécurité et de la confidentialité chez Electronic Data Systems Corp. La première question du groupe de sécurité est évident : Où est le problème ? Mais trouver la réponse demande de l’ingéniosité. Il n’y a pas de méthode infaillible pour trouver une faille de sécurité et déterminer sa portée.
La tâche est encore plus artistique que scientifique. Les journaux d’événements générés par les pare-feux et les systèmes de détection/prévention des intrusions à alerte précoce offrent aux analystes de la sécurité une voie d’interrogation unique. Et la demande d’outils permettant de corréler la masse de données de sécurité détenues par les différents systèmes ne cesse de croître. Les experts en sécurité conseillent de consulter les informations de sécurité et les logiciels de gestion des événements, qui aident les responsables de la sécurité à détecter les incidents, pour trouver des indices qui peuvent également aider à identifier la source de l’attaque.
Les logiciels de gestion des informations et des événements de sécurité regroupent les alertes des pare-feu et des systèmes de détection/protection contre les intrusions, ainsi que les données d’événement des produits antivirus, des bases de données, des serveurs Web et d’autres sources. Il propose deux pistes pour se rendre à la source. L’une est sa partie visualisation, qui ressemble à une grande feuille de calcul défilant en continu et fournit une certaine quantité de détails sur une attaque réseau, un virus détecté ou un autre événement, y compris l’adresse de protocole Internet de l’équipement affecté et le nom de l’appareil.
L’information initiale donne une esquisse de base du problème et où il peut exister. Chaque appareil connecté à un réseau est identifié par une adresse de protocole Internet, par exemple, qui peut guider le personnel de sécurité vers les zones générales nécessitant une enquête. Cependant, il y a des limites à cette ligne d’enquête; l’un est un manque de contexte. Que signifie l’adresse IP ? Où se trouve-t-il et qui l’utilise ? L’autre limitation est qu’une attaque peut usurper l’adresse IP. Les analystes de la sécurité doivent donc approfondir la deuxième source, les journaux d’événements, qui contiennent des détails plus fins. Ils rechercheront des adresses de contrôle d’accès aux médias, qui identifient les nœuds du réseau, pour voir si une adresse IP donnée est correcte et valide, explique Lawson. Les journaux fourniront également des détails sur la progression d’une attaque sur un réseau. En examinant les pare-feu, les routeurs et les systèmes d’exploitation, les analystes peuvent reconstituer le nombre d’adresses de contrôle d’accès aux médias, d’adresses de protocole Internet et de routeurs ciblés dans un incident donné, explique Lawson. Le personnel de sécurité a besoin d’informations au-delà de l’alerte elle-même. Un bon système de gestion des informations et des événements de sécurité archivera les journaux de différents dispositifs de sécurité, routeurs et systèmes d’exploitation. Les données d’un système de gestion des informations et des événements de sécurité orientent l’équipe de sécurité ; après cela, ils doivent toujours trouver physiquement le système affecté. Une base de données de gestion de la configuration, qui contient des informations sur les composants de l’infrastructure informatique d’une organisation, peut être utile. En identifiant les composants et leur état, la base de données aide les responsables de la sécurité à se concentrer sur la source du problème, bien que cela ne signifie pas que tous les périphériques sont faciles à trouver ; un ordinateur portable branché au réseau de l’entreprise par un travailleur temporaire ou un autre visiteur sera insaisissable. Pour tous les détectives automatisés, un certain pourcentage d’appareils ne seront découverts que par une simple exploration manuelle des bureaux, en branchant et en débranchant des choses. Lorsqu’il s’agit de détecter une attaque, l’intelligence humaine doit aider les systèmes automatisés à déterminer l’étendue et la gravité d’une attaque. Les responsables de la sécurité disent rechercher le propriétaire de l’actif concerné.
Déterminer la réponse appropriée signifie prendre en compte le venin de l’attaque. En plus de vouloir savoir combien de systèmes sont touchés et le lieu de l’attaque, le personnel de sécurité cherche également à déterminer le caractère insidieux de l’attaque. Ils voudront savoir s’il s’agit d’un exploit aléatoire ou d’un botnet se propageant sur le réseau et rapportant des informations à quelqu’un ou à une organisation via un canal IRC [Internet Relay Chat]. Quelque chose comme ça a beaucoup plus d’impact.” domotique