Etude de solutions Sonde d’analyse détaillée de trafic réseau NetFlow

Nagios Network Analyzer 

Nagios, avec Network Analyzer, propose une solution dédiée à l’analyse et la surveillance de l’utilisation de la bande passante.
En complément de Nagios XI avec qui elle s’intègre parfaitement, la solution Network Analyzer vient fournir un aperçu approfondi de toutes les sources de trafic réseau et des menaces potentielles pour la sécurité. Network Analyzer permet une visualisation avancée fournit des informations rapides et approfondies sur le trafic, la bande passante et l’état général du réseau. Il est capable d’alerter les utilisateurs lorsqu’une activité suspecte a lieu sur le réseau. Il met à votre disposition des requêtes, des vues et des rapports personnalisables vous permettent de surveiller l’utilisation du réseau pour des applications spécifiques. Une intégration avec Nagios XI pour voir les rapports de l’analyseur de réseau et qui communique avec n’importe quel serveur de votre réseau depuis le système XI.

Nagios Network Analyzer 

Nagios, avec Network Analyzer, propose une solution dédiée à l’analyse et la surveillance de l’utilisation de la bande passante.
En complément de Nagios XI avec qui elle s’intègre parfaitement, la solution Network Analyzer vient fournir un aperçu approfondi de toutes les sources de trafic réseau et des menaces potentielles pour la sécurité.
Network Analyzer permet une visualisation avancée fournit des informations rapides et approfondies sur le trafic, la bande passante et l’état général du réseau. Il est capable d’alerter les utilisateurs lorsqu’une activité suspecte a lieu sur le réseau. Il met à votre disposition des requêtes, des vues et des rapports personnalisables vous permettent de surveiller l’utilisation du réseau pour des applications spécifiques. Une intégration avec Nagios XI pour voir les rapports de l’analyseur de réseau et qui communique avec n’importe quel serveur de votre réseau depuis le système XI.

Interface graphique 

Cacti permet aux utilisateurs de consulter les graphes à travers une interface web écrite en PHP. Mais elle permet aussi d’effectuer très simplement toute la configuration de l’outil. De plus, afin de permettre une délégation des taches, Cacti propose une gestion des accès très fine.

Qu’est-ce qu’une CVE ?

L’acronyme CVE, pour Common Vulnerabilities and Exposures en anglais, désigne une liste publique de failles de sécurité informatique. Lorsque l’on parle d’une CVE, on fait généralement référence à l’identifiant d’une faille de sécurité répertoriée dans cette liste. Les CVE aident les professionnels à coordonner leurs efforts visant à hiérarchiser et résoudre les vulnérabilités, et ainsi renforcer la sécurité des systèmes informatiques.
Chaque CVE se voit attribuer un numéro appelé identifiant CVE. Les identifiants CVE sont attribués par l’une des quelque 100 autorités de numérotation CVE (CNA). Les CNA comprennent des fournisseurs informatiques, des organismes de recherche tels que des universités, des sociétés de sécurité et même MITRE eux-mêmes. Un identifiant CVE prend la forme de CVE- [Année] – [Numéro]. L’année représente l’année au cours de laquelle la vulnérabilité a été signalée. Le numéro est un numéro séquentiel. Par exemple, CVE-2019- 0708, correspond à une faille dans l’implémentation du protocole RDP (Remote Desktop Protocol) de Microsoft.
CVE est la base de données des vulnérabilités et expositions connues. Chaque entrée de cette base de données à un score CVSS correspondant. Le score CVSS évalue la gravité de la CVE.

Qu’est-ce que le CVSS (Common Vulnerability Scoring System) ?

Plusieurs systèmes permettent d’évaluer la gravité d’une vulnérabilité. Il existe notamment le système CVSS (Common Vulnerability Scoring System), un ensemble de normes ouvertes utilisées pour attribuer un nombre à une vulnérabilité afin d’en évaluer la gravité. Les scores sont compris entre 0.0 et 10.0, et les nombres les plus élevés correspondent au plus haut degré de gravité pour une vulnérabilité. De nombreux fournisseurs de solutions de sécurité ont également créé leurs propres systèmes d’évaluation.

OpenVAS (Open Vulnerability Assessment Scanner) 

OpenVAS est un logiciel Open Source de sécurité informatique. C’est un scanner de vulnérabilités. Il se présente sous la forme d’un client/serveur. C’est un fork de Nessus, développé par Tenable Network Security.

Nessus 

Nessus est la solution d’analyse des vulnérabilités la plus largement déployée sur le marché. Elle identifie les vulnérabilités, réduit le risque et assure la conformité dans les environnements physiques, virtuels, mobiles et cloud. Elle offre de multiples fonctionnalités : recherche rapide des ressources, audit de configuration, profilage cible, détection de malware, examen des données sensibles, intégration de la gestion des correctifs et analyse des vulnérabilités. Avec la plus vaste bibliothèque de contrôles de vulnérabilité et de configuration, actualisée en permanence. La solution Nessus assure une intégration étroite et une extensibilité par API à d’autres produits de sécurité de type SEIM, dispositifs de défense antimalware, outils de gestion des correctifs, systèmes de protection des appareils mobiles, pare-feu et plateformes de virtualisation.

Centralisation et analyse des événements (SIEM)

Une solution de SIEM (Security Information and Event Management) a pour objectif de répondre au besoin des entreprises d’analyser les événements de sécurité en temps réel, au regard de la gestion interne et externe des menaces. Cette solution permet de surveiller des applications, des comportements utilisateurs et des accès aux données. A travers les fonctionnalités fournis par la solution, il est donc possible de collecter, normaliser, agréger, corréler et analyser les données des événements issus des machines, systèmes et applications (pare-feu, IDS/ISP, Machines réseau, Machines de sécurité, Applications, bases de données, serveurs, annuaires, IAM).
Une solution SIEM assure la gestion, l’intégration, la corrélation et l’analyse en un seul endroit, ce qui facilite la surveillance et la résolution des problèmes dans une infrastructure informatique en temps réel. Sans SIEM, un analyste de sécurité doit passer en revue des millions de données non comparables, stockées dans des « silos » pour chaque matériel, chaque logiciel et chaque source de sécurité. En bref, SIEM est synonyme de simplicité.

Détection proactive d’incidents

Un SIEM s’avère capable de détecter des incidents de sécurité qui seraient passés inaperçus.
Pour une raison simple : les nombreux hôtes qui enregistrent des événements de sécurité ne disposent pas de fonctions de détection d’incidents.
Le SIEM dispose de cette faculté de détection grâce à sa capacité de corrélation des événements. Contrairement à un système de prévention d’intrusion qui identifie une attaque isolée, le SIEM regarde au-delà. Les règles de corrélations lui permettent d’identifier un événement ayant causé la génération de plusieurs autres (hack via le réseau, puis manipulation sur un équipement précis…).
Dans de tels cas de figure, la plupart des solutions ont la capacité d’agir indirectement sur la menace. Le SIEM communique avec d’autres outils de sécurité mis en place dans l’entreprise (ex : pare-feu) et pousse une modification afin de bloquer l’activité malveillante. Résultat, des attaques qui n’auraient même pas été remarquées dans l’entreprise sont contrecarrées.

LIRE AUSSI :  MODE D’ACCES A AN‐TANANA

Outil de gestion des incidents de sécurité 

Alors que les cyberattaques continuent de croître en volume, en diversité et en sophistication, en plus d’être de plus en plus perturbatrices et dommageables, les entreprises doivent être prêtes à les gérer efficacement. En plus de déployer des solutions et des pratiques de sécurité efficaces, ils doivent pouvoir identifier et traiter rapidement les attaques, garantissant ainsi un minimum de dommages, de perturbations et de coûts.
Chaque système informatique est une cible potentielle d’une cyber-attaque, et la plupart des gens conviennent qu’il ne s’agit pas de savoir si, mais quand cela se produira. Cependant, l’impact varie en fonction de la rapidité et de l’efficacité avec lesquelles vous abordez le problème, d’où la nécessité d’une préparation à la réponse aux incidents. Une réponse aux incidents de cybersécurité fait référence à une série de processus qu’une organisation prend pour faire face à une attaque contre ses  systèmes informatiques. Cela nécessite une combinaison des bons outils matériels et logiciels ainsi que des pratiques telles qu’une planification, des procédures, une formation et un soutien appropriés de la part de tous les membres de l’organisation.
Les outils de réponse aux incidents sont essentiels pour permettre aux organisations d’identifier et de traiter rapidement les cyberattaques, les exploits, les logiciels malveillants et autres menaces de sécurité internes et externes. Les outils aident à surveiller, identifier et résoudre automatiquement et rapidement un large éventail de problèmes de sécurité, rationalisant ainsi les processus et éliminant le besoin d’effectuer la plupart des tâches répétitives manuellement. La plupart des outils modernes peuvent fournir de multiples fonctionnalités, notamment la détection et le blocage automatiques des menaces et, en même temps, alerte les équipes de sécurité concernées pour des enquêtes plus avancés sur le problème.

Pourquoi gérer les incidents 

L’expérience a montré qu’aucun système informatique n’est sécurisé à 100%, ce qui signifie que des incidents de sécurité vont se produire tôt ou tard. L’utilisation croissante des technologies de l’information et de la communication (TIC) offre un champ d’attaque toujours plus grand aux criminels.
Le premier but de la gestion des incidents est de minimiser l’impact (l’envergure) de l’incident et de rétablir un fonctionnement normal dans les meilleurs délais. Dans le domaine professionnel, cela se traduit par la volonté de ne pas violer le contrat de niveau de service (Service Level Agreement (SLA)).
Le deuxième but de la gestion des incidents est d’analyser la situation afin de comprendre l’incident en détail et d’en tirer des conclusions qui permettront éventuellement de prévenir des incidents similaires dans le futur. La conservation des traces est un élément clé pour une gestion d’incidents réussie.
Enfin, il convient de collecter des informations sur les incidents afin de pouvoir établir des statistiques.

Cyphon 

Cyphon est une plateforme de réponse aux incidents qui reçoit, traite et trie les événements pour créer un flux de travail analytique plus efficace, regroupant et hiérarchisant les données et les alertes, et permettant aux analystes d’enquêter et de documenter les incidents.
De nombreuses organisations gèrent les événements de sécurité post-traités sous forme de notifications par e-mail, ce qui est incroyablement inefficace. Une boîte de réception inondée de notifications d’alerte crée un environnement dans lequel les problèmes critiques sont négligés et rarement étudiés.
Le Cyphon élimine ce problème en limitant les événements et en les hiérarchisant en fonction des règles définies par l’utilisateur. Les analystes peuvent rapidement enquêter sur les incidents en corrélant d’autres ensembles de données avec des indicateurs importants. Ils peuvent ensuite annoncer les alertes avec les résultats de leur analyse.

Architecture de Cyphon 

La plateforme Cyphon est composée d’un moteur de traitement de données backend (« Cyphon Engine ») et d’une interface utilisateur frontale d’opérations de sécurité pour la visualisation (« Cyclops »). Ils sont maintenus dans des projets séparés. Cyphon ingère, filtre, remodèle, améliore et stocke les données. Il peut également générer des alertes, récupérer des données liées au contexte d’une alerte et permettre aux utilisateurs de prendre des mesures sur les alertes.

Déploiement de Cyphon 

Cyphon travaille avec l’aide de plusieurs projets open source. Pour que Cyphon soit opérationnel, nous devons installer toutes ses dépendances. Ce processus à était simplifié en utilisant Docker, qui nous permet de déployer facilement une application sous la forme d’un ensemble de microservices. De plus, nous avons créé un ensemble de fichiers pour exécuter Cyphon dans les environnements de développement et de production. L’utilisation d’un fichier Docker Compose nous permet d’installer et d’exécuter rapidement Cyphon et les autres services qu’il utilise, notamment :
– Base de données relationnelle PostgreSQL
– Courtier de messages RabbitMQ
– Outil d’ingestion de données Logstash

TheHive / Cortex / MISP 

TheHive est une plate-forme de réponse aux incidents de sécurité évolutive, open source et gratuite, étroitement intégrée à MISP (Malware Information Sharing Platform), conçue pour faciliter la vie des SOC, CSIRT, CERT et de tout professionnel de la sécurité de l’information confronté à des incidents de sécurité qui doivent être étudiés et traités rapidement.

Formation et coursTélécharger le document complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *