dimanche 22 juillet 2018    || Inscription
 
 

Nous poursuivons notre découverte des techniques et outils à mettre en place pour détecter puis supprimer les menaces avancées. Dans cette 3ème partie, nous passons en revue la configuration des firewalls, les détections d’intrusion et la gestion des attaques par déni de service distribué (DDOS).

L’un des premiers composants réseaux à mettre à jour est le firewall. Les pare-feux de nouvelle génération (NGFW), les solutions UTM (Unified Threat Management) ainsi que les technologies de Deep Packet Inspection (DPI) permettent d’améliorer le contrôle des applications et la gestion des identités. La plupart des firewalls peuvent être mis à jour, ce à quoi il convient de procéder. Dès lors, il devient possible d'implémenter des fonctions comme le blocage du trafic sur la base d’informations provenant des centres de renseignement : flux de menaces,  listes de botnets, URLs malicieuses, signatures des centres de contrôle & commande, et tous les autres indicateurs relatifs aux menaces.

Une deuxième étape pour maintenir la sécurité opérationnelle consiste à mettre en place une séparation stricte entre les zones opérationnelles et celles relatives à la gestion du réseau. De même, il convient de favoriser des solutions de détection d’intrusions capables de bloquer des requêtes en provenance de DNS (Domain Name System) suspects comme par exemple ceux générés par les outils de Command & Control des botnets.

Enfin, l’une des caractéristiques les plus importantes de ces NGFW est la capacité à exécuter (dans le cloud ou sur une appliance dédiée) les applications suspectes dans un espace sécurisé en utilisant des techniques d’émulation ou de virtualisation (sandbox) afin de détecter les malwares polymorphiques au travers d’une analyse comportementale de l’application.

Défense contre les intrusions et attaques DDoS

Le second champ de défense concerne la prévention des intrusions et les attaques par déni de service distribué. La première mesure à mettre en place consiste à terminer toutes les sessions chiffrées entrantes afin que le contenu de la session puisse être inspecté ( à la condition que cette pratique soit autorisée par la politique interne ou les autorités de régulation).

Il convient ensuite de s’assurer que tous les segments de réseaux critiques soient vérifiés par des solutions de type IPS (Intrusion Prevention System) et soient configurés pour bloquer les signatures connues avec peu de faux positifs. Utiliser des outils de blocage et filtrage afin de réduire le bruit, ceci afin que les équipes de sécurité puissent se concentrer sur les véritables menaces persistantes avancées (APT) pendant que les attaques les plus communes sont prises en charge par les solutions IPS. Ces dernières solutions doivent être capables de prendre en charge les botnets les plus récents ainsi que leurs systèmes de commande & contrôle. Il en va de même pour les capacités de prévention, ou au minimum de détection d’alerte d’anormalité dans le trafic, les protocoles, les applications et les requêtes DNS autour du périmètre réseau. Il est important de noter que toutes ces mesures doivent être appliquées sur les infrastructures classiques mais également dans les environnements virtualisés ou les plates-formes de type cloud. Idéalement, les solutions cloud doivent provenir du même fournisseur que les solutions On Premises.

Enfin, dans le choix des solutions DDOS, il convient de privilégier les solutions capables de prendre en compte tous les types d’attaques : volumétrique, attaque par un état, attaque métier.