Un hacker bien patient

Le par  |  7 commentaire(s)
Hacker

Une tribune de Bernard Montel, Directeur Technique de RSA (division sécurité d'EMC) pour la France, la Russie et l'Europe de l'Est.

Il n'y a pas si longtemps, pour réussir une attaque, il fallait opérer le plus rapidement possible. Les hackers identifiaient un ou plusieurs points faibles (vulnérabilités) dans les mécanismes de défense de leurs cibles et ils s'en servaient comme vecteur d'attaque, la plupart du temps sous la forme de campagnes de dénis de service. Le temps que les ressources de l'organisation s'organisent pour mettre au point une défense, le mal était fait. Si la phase de reconnaissance pouvait durer plusieurs jours ou semaines, l'attaque en elle-même et l'extorsion d'information prenaient quelques minutes seulement en moyenne.

Bernard-MontelA mesure que le marché de la sécurité a gagné en maturité et que des contre-mesures plus sophistiquées ont été déployées, une nouvelle méthodologie d'attaque est apparue, qui dépendait beaucoup moins cette fois du critère de rapidité. En effet, contrairement aux stratégies suivies jusque-là, les attaques de nouvelle génération s'étendent sur de plus longues périodes, l'idée étant qu'en procédant très lentement sur plusieurs semaines ou plusieurs mois, le trafic réseau paraîtrait normal et aucune alarme ne se déclencherait.

A présent, les changements intervenus au niveau des types et des flux des données font qu'il est plus compliqué encore de détecter ces attaques. Avec le Big Data, l'Internet des objets et autres réseaux virtualisés, l'efficacité d'une solution de sécurité dépend de sa capacité à passer au crible d'énormes quantités de données structurées et non structurées. Il faut aussi qu'elle piste les flux de données sur de longues périodes pour déceler les « signaux faibles » élaborées pour tromper les produits de sécurité ponctuels. Sachant qu'une voiture de Formule 1 typique embarque 240 capteurs qui génèrent 25 mégaoctets de données par tour, qu'un téléchargement de film HD fait entre 3 et 4,5 Go et qu'un salarié envoie et reçoit plus de 250 e-mails avec pièce jointe par jour en moyenne, il n'est pas surprenant qu'il soit aussi compliqué de repérer une attaque préparée sur des semaines ou des mois que de trouver une aiguille dans une botte de foin.

Les solutions de sécurité les plus efficaces aujourd'hui suivent une approche différente. En déployant des capteurs en plusieurs points du réseau distribué, il est possible de capturer les données en différentes positions et examiner les flux en circulation d'où que viennent les données et où qu'elles aillent. Des techniques avancées de corrélation de ces flux de données disparates aident à atténuer l'ampleur de la tâche ; la botte de foin est réduite à une poignée de brins, si bien que l'administrateur peut auditer plus facilement les données. Selon le type de violation détecté, il est possible de créer des règles de hiérarchisation des niveaux de réaction, bloquer le trafic nuisible, ou simplement déclencher une alarme. Le fait d'observer les données sur de longues périodes et en différents points permet aussi d'accélérer l'identification et de lutter plus efficacement contre ces attaques qui font des ravages dans les entreprises.

Nous avons longtemps pensé qu'un niveau minimum de sécurité « faisait l'affaire ». En compliquant la tâche au hacker, on le dissuadait de perpétrer une attaque qui lui prendrait trop de temps et d'énergie. Mais le hacker est bien plus patient aujourd'hui. S'il convoite quelque chose qui vous appartient, il ou elle prendra le temps qu'il faut pour contourner ou tromper votre ligne de défense. Il devient alors aussi difficile de le bloquer que de trouver cette fameuse aiguille dans une botte de foin. Par contre, si vous vous équipez d'outils de corrélation et analytiques avancés, vous pourrez réduire la taille de cette botte de foin de façon à analyser les attaques les plus virulentes.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1860851
Une mise sous surveillance s'impose ...
Le #1860864
Article intéressant, motivant et sérieux.
Le #1860874
NetworkActive a écrit :

Une mise sous surveillance s'impose ...


La NSA approuve ce message.
Le #1860877
Perso j'ai installé fail2ban sur mes serveurs, et je constate en effet que les essais de bruteforce se font avec environ 60mn entre chaque tentatives, et depuis différentes IP.
Idem pour les recherches de faille sur mes wordpress... je vois dans les logs des essais d'url espacées dans le temps, histoire de moins être vu (manque de bol pour les pirates, je reçois 1 mail d'alerte par 404 avec ban de l'IP dans 99.99% des cas)....

Le #1860879
Vikingfr a écrit :

Perso j'ai installé fail2ban sur mes serveurs, et je constate en effet que les essais de bruteforce se font avec environ 60mn entre chaque tentatives, et depuis différentes IP.
Idem pour les recherches de faille sur mes wordpress... je vois dans les logs des essais d'url espacées dans le temps, histoire de moins être vu (manque de bol pour les pirates, je reçois 1 mail d'alerte par 404 avec ban de l'IP dans 99.99% des cas)....


Perso, on a changé le port SSH de notre serveur.

Rien qu'avec ça, nettement moins d'attaque de petits chinois du FBI ...
Le #1860882
"'un salarié envoie et reçoit plus de 250 e-mails avec pièce jointe par jour en moyenne"

Personnellement, moi, au boulot, je travaille...
Le #1860927
Sicyons a écrit :

"'un salarié envoie et reçoit plus de 250 e-mails avec pièce jointe par jour en moyenne"

Personnellement, moi, au boulot, je travaille...


Suivant les boites, mais en général il y a une corrélation avec sa taille, les salariés occupent une bonne partie de leur temps à envoyer des mails...

P.S.: les commentaires sur GNT ça compte ?
Ah ben non, c'est le week-end et depuis une connexion personnelle !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]