Académique Documents
Professionnel Documents
Culture Documents
22
Échecs d'authentification ou d'autorisation sur le serveur secret, ce qui peut indiquer une
attaque
Une quantité inhabituelle d'activité pour la récupération des secrets
L'utilisation des informations d'identification administratives
Etapes de détection des incidents de
sécurité
Une fois les événements et le métriques utiles collectées, Il est nécessaire de les
utiliser efficacement pour détecter et réagir aux intrusions. La figure ci-dessous
montre les différentes étapes de ce processus. Ces étapes peuvent toutes être
effectuées par un seul produit ou service, tel qu'un SIEM (Security Information and
Event Management) ou par plusieurs produits et services agissant ensemble.
agréger les
rechercher et alerter ou
journaux à un analyser les
corréler éventuellement
emplacement journaux pour
efficacement répondre à des
central et les extraire des
entre plusieurs événements
conserver (par informations
sources de importants
exemple importantes
journaux
pendant un an)
Assurez-vous que l'heure est synchronisée sur tous vos systèmes, généralement en utilisant le
Network Time Protocol (NTP)
Security Information and Event Managers
Les règles d’intelligence d’un SIEM peuvent être utilisées pour détecter un
mauvais comportement potentiel, parfois en corrélant des événements
survenus à deux endroits différents ou en comparant des données actuelles
et historiques.
Exemples:
o Le trafic de base de données a augmenté de 200% par rapport à la moyenne mensuelle. Peut-
être que l'application est vraiment très populaire en ce moment, mais quelqu'un vole-t-il
systématiquement nos données?
o Il y a eu 150 tentatives de connexion infructueuses sur un compte, suivies d'un succès. Est-ce une
attaque réussie par force brute?
o Nous avons vu une seule tentative de connexion échouée sur 300 comptes différents, suivie d'un
succès sur le compte # 301. Est-ce une attaque par pulvérisation de mots de passe réussie?
o John ne se connecte pas normalement à 3 h 00 HE, ni depuis ce pays. Peut-être que ce n'est pas
vraiment John?
o Trois comptes différents se sont connectés à partir du même système en 30 minutes. Il semble
peu probable que toutes ces personnes utilisent réellement ce système, alors peut-être que le
système et ces comptes sont compromis? »
o Un nouveau compte administratif vient d'être créé en dehors des heures normales de bureau.
Peut-être que quelqu'un travaille tard, mais peut-être qu'il y a un problème?
Exemples d'outils de détection, de réponse et
de récupération
Amazon GuardDuty peut rechercher une activité inhabituelle ou suspecte dans votre
compte ou vos systèmes AWS.
Amazon CloudWatch Logs, Azure Monitor, Google Stackdriver Logging et IBM Cloud Log
Analytics vous permettent tous de stocker et de rechercher dans vos journaux.
Amazon CloudWatch, Azure Monitor, Google Stackdriver Monitoring et IBM Cloud
Monitoring fournissent des mesures de performances.
AWS CloudTrail, Azure Monitor et IBM Cloud Activity Tracker peuvent surveiller l'activité
des utilisateurs privilégiés dans les comptes cloud.
Azure Security Center peut collecter des données de sécurité dans un emplacement
central, ainsi que la surveillance de l'intégrité des fichiers et d'autres fonctions de sécurité.
Cisco, McAfee et Snort sont des fournisseurs de services de détection d'intrusion réseau
populaires qui disposent d'appliances basées sur le cloud.
CloudFlare, Akamai et Signal Sciences fournissent des solutions de pare-feu d'applications
Web basées sur le cloud.
OSSEC, Tripwire, AIDE, NT Change Tracker, CloudPassage Halo, Qualys fournissent des
solutions de surveillance d'intégrité de fichiers traditionnelles ou basées sur le cloud.
Les SIEM tels qu'IBM QRadar, Splunk Security Intelligence Platform, LogRhythm collectent
les événements de journal, les analysent et déclenchent des alertes.
QRadar – User Bahavior Analytics
QRadar – Discovering Shadow IT
CASB (Cloud Access Security Broker)
En raison du risque de fuite de données dans le cloud, l'utilisation de CASB est
nécessaire afin de maintenir la visibilité sur les données qui ont dépassé la portée
des outils on-premise.
Journaux d'activité
En ce qui concerne les données sensibles, une organisation doit
avoir une visibilité et des connaissances complètes sur la façon
dont elles sont utilisées. Les CASB fournissent des journaux
détaillés sur toutes les transactions cloud, de sorte que toutes
les connexions ou téléchargements sont toujours enregistrés.
Les comportements spécifiques aux applications tels que le
partage de fichiers externes sont également consignés, aidant
les organisations à savoir où se trouvent les données si elles
sont partagées. Ces journaux permettent également aux
équipes informatiques de les filtrer afin d'avoir plus de visibilité
sur l'activité au sein de l'entreprise.
CASB (2)
Shadow IT
Egalement connu sous le nom « d'applications non sanctionnées», est classé en
fonction du risque - permettant aux organisations de décider ce qui doit être
bloqué. Certains CASB plus traditionnels concentrent leurs ressources sur la
détection et le catalogage manuels des applications cloud non autorisées. Cela se
fait généralement par le biais d'équipes de personnes qui parcourent Internet pour
évaluer de manière réactive les applications lorsqu'elles se présentent ou sont
mises à jour. D'autres CASB se concentrent sur la création d'un système qui
détecte, examine et classe automatiquement toute application. Ce système
automatisé, appelé Zero-day Shadow IT Discovery, utilise une approche
d'apprentissage automatique pour évaluer les applications à la volée.
CASB (3)
CSPM
la gestion de la posture de sécurité dans le cloud (CSPM: cloud security posture
management) détecte les mauvaises configurations IaaS, qui nécessitent souvent des
configurations étendues afin de s'assurer qu'elles fonctionnent correctement. Avoir
une posture de sécurité cloud solide sur ces plateformes est une étape critique
pour éviter les fuites de données. Les solutions de stockage, comme AWS par
exemple, doivent être configurées correctement, sinon elles peuvent rendre les
données sensibles accessibles au public. C'est précisément ce qui s'est produit lors
de la violation de Capital One.