Guide de planification de la surveillance de la sécurité et de la détection des attaques

  • Article

Chapitre 3 - Questions et besoins

Dernière mise à jour le 23 mai 2005

Sur cette page

Introduction
Détection des violations de stratégies
Identification des attaques externes
Mise en œuvre d'analyses judiciaires
Résumé

Introduction

L'évaluation précise des menaces qui pèsent sur votre réseau est une étape importante dans l'élaboration d'une stratégie de sécurité efficace. Les entreprises n'ont pas toutes la même définition de ce qui constitue un risque pour leur sécurité physique. Il en va de même pour les risques qui concernent leurs données réseau. Ces divergences de vues dépendent de nombreux facteurs, comme le secteur industriel dans lequel l'entreprise évolue, la valeur de ses données, ou les attaques dont son réseau a été la cible par le passé. Pour plus d'informations sur la gestion des risques de sécurité, consultez le Guide gestion des risques de sécurité à l'adresse http://www.microsoft.com/france/securite/it/dossiers/procedures /guidance/default.mspx.

Selon les données provenant des partenaires, des clients et du réseau d'entreprise de Microsoft, une solution de surveillance de la sécurité et de détection des attaques peut être utile de trois façons :

  • détection des violations de stratégies ;

  • identification des attaques externes ;

  • mise en œuvre d'analyses judiciaires.

Ce chapitre décrit chacun de ces scénarios, tandis que le chapitre 4, « Conception de la solution » explique comment configurer la surveillance de la sécurité et l'archivage des informations pour contrer ces menaces.

Pour identifier une activité inhabituelle sur un réseau, il faut savoir ce qui est considéré comme habituel en fonction de l'environnement. Ce guide tente de distinguer les comportements habituels des comportements inhabituels.

L'identification d'anomalies requiert également la mise en œuvre d'une base sûre sur tous les ordinateurs. Sans cela, il est impossible d'identifier les ordinateurs qui ne respectent pas les exigences de base.

Haut de page

Détection des violations de stratégies

Les violations de stratégies constituent la première catégorie de menaces de sécurité auxquelles sont confrontées les entreprises. Les violations de stratégies englobent les actions suivantes :

  • création de comptes utilisateur au moyen de méthodes inhabituelles ;

  • utilisation des privilèges d'administrateur sans autorisation ;

  • utilisation de comptes de services pour des ouvertures de session interactives ;

  • tentatives d'accès à des fichiers non autorisés ;

  • suppression de fichiers auxquels les utilisateurs ont l'autorisation d'accéder ;

  • exécution de programmes non autorisés.

Le type de violation le plus fréquent parmi les utilisateurs est la tentative d'accès involontaire, par exemple le fait d'essayer d'ouvrir un répertoire pour lequel on ne dispose pas de l'autorisation nécessaire. Cela dit, les restrictions d'accès et de droits suffisent généralement à empêcher un utilisateur d'essayer de causer des dégâts importants. Les violations commises par des administrateurs, qu'elles soient délibérées ou accidentelles, sont en revanche beaucoup plus préoccupantes.

Un administrateur réseau non fiable représente une menace importante pour une entreprise. En effet, pour effectuer son travail, un administrateur a besoin de droits et de privilèges d'accès élevés au système. Un administrateur peut créer des comptes d'utilisateurs, réinitialiser des mots de passe et modifier le propriétaire des fichiers et des dossiers. Toutefois, ce n'est pas parce qu'un administrateur peut exécuter une procédure qu'il en a l'autorisation. Les droits d'administrateur permettent aussi aux administrateurs de voir des ressources réseau qui devraient leur être interdites, comme des données financières, par exemple.

Défis métier

La plupart des entreprises devraient considérer la détection des violations de stratégies comme une vraie priorité, vu leur probabilité et le potentiel de dégâts. Les défis qui se posent aux entreprises en matière de détection et de prévention des violations de stratégies sont les suivants :

  • Effectuer des vérifications très strictes avant l'embauche puis à intervalles réguliers pendant le contrat.

  • Assurer des contrôles de sécurité indépendants sur les actions des administrateurs.

  • Effectuer régulièrement des vérifications sur le système de surveillance de la sécurité.

  • Identifier rapidement les brèches de sécurité.

  • Déterminer avec certitude l'étendue des brèches de sécurité décelées.

  • Limiter les dégâts causés par les brèches de sécurité.

En règle générale, les entreprises effectuent suffisamment de vérifications de sécurité avant d'engager un nouveau salarié. Toutefois, nombreuses sont les entreprises qui, par la suite, ne surveillent pas leurs utilisateurs internes de façon continue.

Il est essentiel que vos utilisateurs internes signent des conditions générales d'utilisation du réseau qui stipulent clairement vos règles en matière de surveillance de la sécurité. Ils doivent comprendre que toute tentative d'ouverture d'un fichier ou d'accès à un partage non autorisé est enregistrée dans les journaux de sécurité. Les utilisateurs internes qui travaillent avec des fichiers sensibles doivent savoir que chaque tentative d'accès est enregistrée dans les journaux de sécurité.

Remarque : il devient de plus en plus difficile de poursuivre ou de licencier des salariés sans avoir la preuve qu'ils étaient pleinement conscients de l'existence d'un système de surveillance de la sécurité interne et des conséquences des tentatives délibérées d'accès ou de destruction de données confidentielles. Un consentement explicite peut également être nécessaire en vertu des besoins de protection des données et de législation sur les droits de l'Homme.

Séparation des tâches

Les entreprises doivent mettre en place une stricte séparation des tâches de façon à ce que certains particuliers ou groupes, comme le département de sécurité ou d'audit, soient responsables de l'inspection des actions des administrateurs. Le groupe d'inspection ne doit pas être autorisé à effectuer lui-même les actions administratives (pour éviter que les inspecteurs ne deviennent eux-mêmes des intrus).

Test des fonctions de surveillance

Les entreprises doivent tester régulièrement les fonctions de surveillance. Une méthode consiste à effectuer des tests de pénétration, ou à tester un compte d'administrateur pour s'assurer que les fonctions d'alerte fonctionnent correctement. Ces tests doivent avoir lieu à des intervalles irréguliers chaque semaine pour éviter qu'un attaquant profite du test de pénétration pour lancer une offensive.

Définition des processus de sécurité et des réponses

Pour identifier rapidement les brèches de sécurité, une entreprise doit s'armer de processus exhaustifs qui définissent l'exécution d'opérations réseau particulières. Par exemple, une entreprise pourrait utiliser un système de gestion des identités tel que Microsoft Identity Integration Server (MIIS) 2003 afin de créer (mettre en service) des comptes utilisateur. Bien que les administrateurs puissent créer des comptes directement, la stratégie de l'organisation stipulerait qu'ils n'y sont pas autorisés. Par conséquent, si le système de surveillance de la sécurité détecte un événement 624 (création d'un compte utilisateur), celui-ci doit être associé au compte de peuplement MIIS 2003 et pas à un compte administrateur individuel.

Pour limiter les dégâts causés par une brèche de sécurité, une entreprise doit définir des réponses adéquates à toute une série d'incidents susceptibles de survenir, telles que la mobilisation rapide du personnel de sécurité sur site. La vitesse et l'efficacité des réponses peuvent considérablement augmenter le profil de sécurité d'une entreprise. Si les utilisateurs ou les administrateurs savent que chaque incident débouche sur une enquête sérieuse, ils sont moins susceptibles de tenter de violer les stratégies de sécurité.

Les médias parlent abondamment des menaces, à l'encontre des réseaux, qui viennent de sources externes. Toutefois, l'expérience démontre que la probabilité d'une perte ou d'une mise en danger de données à la suite d'une attaque externe est considérablement inférieure à celle d'une perte de données entraînée par une configuration incorrecte mise en place par les administrateurs réseau. Certes, les menaces externes ne doivent pas être traitées avec complaisance. Mais il ne faut pas oublier que de nombreuses entreprises veulent vendre des solutions qui protègent leur réseau contre les intrus externes (parce que c'est relativement facile). En revanche, aucune société ne propose un progiciel qui empêche vos administrateurs de commettre des erreurs ou d'agir de façon malhonnête.

Défis techniques

Pour mettre en œuvre un système fonctionnel de surveillance de la sécurité et de détection des attaques basé sur l'enregistrement des événements de sécurité dans Windows, plusieurs défis techniques doivent être relevés :

  • Gérer des volumes importants d'événements de sécurité. Pour faire face à l'abondance d'événements enregistrés, vous devez soigneusement choisir les paramètres d'audit à activer, en particulier en ce qui concerne l'audit de l'accès aux fichiers et aux objets, capable de générer d'énormes quantités de données.

  • Stocker et gérer un grand nombre d'événements dans un référentiel central. Le stockage des événements peut supposer la gestion de téraoctets de données. Ce besoin technique étant plus important dans le cadre des analyses judiciaires, il fait l'objet d'une description plus détaillée dans la section « Mise en œuvre d'analyses judiciaires » plus loin dans ce chapitre.

  • Identifier les scénarios d'attaque. Pour identifier un type d'attaque, vous devez connaître l'enchaînement d'événements par lequel elle se manifeste. Dans le cas d'une intrusion, votre réponse doit toujours être prompte et adéquate.

  • Limiter la liberté d'action des administrateurs afin qu'ils ne puissent pas contourner les contrôles d'audit de sécurité. Pour empêcher les administrateurs de contourner les contrôles d'audit, vous devez compartimenter leurs responsabilités et constituer ou affecter un groupe d'experts en sécurité au contrôle des audits d'administrateurs.

Problèmes de sécurité

L'identification des problèmes de sécurité est le but premier d'un système de surveillance de la sécurité et de détection des attaques. Pour être efficace, un système de surveillance doit être capable d'identifier les occurrences suivantes :

  • tentatives d'accès aux ressources par la modification des autorisations d'accès aux fichiers ;

  • tentatives d'accès aux ressources par le biais de réinitialisations de mots de passe ;

  • création de nouveaux utilisateurs ;

  • affectation d'utilisateurs à des groupes ;

  • utilisation de comptes d'administration non autorisés ;

  • ouvertures de session sur la console au moyen des informations d'authentification du compte de service ;

  • exécution de programmes non autorisés ;

  • dégradation délibérée des fichiers (hormis les corruptions provoquées par des erreurs de disque) ;

  • introduction de systèmes d'exploitation non autorisés ;

  • création ou suppression de relations d'approbation ;

  • ouvertures de session avec le mauvais compte, tel qu'un compte d'administrateur général ;

  • modifications interdites d'une stratégie de sécurité.

Pour identifier correctement ces actions, vous devez connaître les séquences d'événements caractéristiques et pouvoir extraire celles-ci à partir d'autres événements de sécurité.

Conditions requises pour une solution efficace

Pour détecter les violations de stratégies d'organisation et de sécurité, votre solution doit être dotée :

  • de procédures de sécurité bien définies couvrant toutes les opérations réseau ;

  • de journaux d'audit de sécurité exhaustifs ;

  • d'un système fiable de collecte centralisée des journaux de sécurité à des fins d'analyse, basé sur des filtres adéquats ;

  • de niveaux d'audit de sécurité ajustables ;

  • d'un dispositif d'analyse des anomalies telles que les omissions, les enregistrements manquants, etc.

Pour identifier les erreurs de configuration, votre solution doit être dotée :

  • de procédures de gestion des modifications bien définies (avec validation) couvrant toutes les opérations réseau ;

  • de journaux d'audit de sécurité efficaces ;

  • d'un système fiable de collecte centralisée des journaux de sécurité ;

  • d'un dispositif automatisé d'analyse des journaux de sécurité pour l'identification des changements de configuration.

Pour plus d'informations sur la mise en œuvre d'une solution efficace, consultez le chapitre 4, « Conception de la solution ».

Haut de page

Identification des attaques externes

Il existe deux grands types d'attaques externes : les attaques perpétrées par des personnes et les attaques commises par des applications malveillantes. Ces deux schémas ont leurs propres caractéristiques et leur propre niveau de menace. Les attaquants humains sont capables de s'informer sur le réseau cible et de modifier leurs plans en conséquence, tandis que les applications malveillantes peuvent toucher plusieurs ordinateurs et provoquer des brèches que les attaquants peuvent exploiter par la suite.

Les applications malveillantes regroupent toute une série de menaces : virus, vers, chevaux de Troie, etc. Bien que ces applications puissent être gênantes et causer d'importantes perturbations, leurs attaques sont plus faciles à contrer que celles perpétrées par des personnes.

**Remarque : **ce guide ne contient aucune information sur les attaques impliquant des périphériques matériels, tels que les enregistreurs de frappes en ligne, en raison du fait que la surveillance de la sécurité n'est pas capable de les détecter.

Défis métier

Ce guide aborde les défis posés par les attaques externes qui visent à pénétrer le réseau et qui sont détectables au niveau de la couche application ou de la couche présentation. La surveillance de la sécurité n'est pas particulièrement utile pour identifier les dénis de service distribués (DDoS, distributed denial of service). Heureusement, d'autres mécanismes tels que les journaux Microsoft Internet Information Services (IIS) sont capables d'identifier la durée, le type de paquets, l'adresse IP apparente (peut-être usurpée) ainsi que d'autres détails propres à ce genre d'attaques.

L'identification des applications malveillantes revêt une importance considérable dans tous les secteurs, mais particulièrement pour les institutions financières ou les entreprises dont les activités sont fortement réglementées. Ces organisations sont davantage menacées par les logiciels espions, capables de résider sur un serveur ou une station de travail et de communiquer des informations confidentielles à des personnes externes.

Un des principaux défis posés par les applications malveillantes est leur difficulté de détection. Dans le pire des cas de figure, le composant malveillant est un rootkit ou un programme similaire qui prend totalement le contrôle d'un ordinateur en maquillant tout indice d'attaque. Il est donc difficile d'affirmer avec certitude qu'aucune de ces applications n'est active sur vos ordinateurs car leurs capacités de camouflage surpassent vos aptitudes de détection.

Défis techniques

Les nombreuses attaques subies par les entreprises aujourd'hui sont souvent le fait de pirates en herbe qui utilisent des scripts préconfigurés pour l'exploitation de vulnérabilités. Le vrai danger, lui, provient d'un petit groupe spécialisé de personnes hautement compétentes (et capables de collaborer) qui disposent d'une panoplie de techniques pour tenter de pénétrer dans un réseau.

Remarque : ce guide définit un attaquant comme une personne qui prépare délibérément une attaque. Un virus, un ver ou un cheval de Troie qui agit de façon autonome n'est pas considéré comme un attaquant.

La manière la plus directe d'identifier les applications malveillantes est de surveiller les processus. En effet, cette méthode vous permet de déceler chaque démarrage ou arrêt de programme sur une station de travail ou un serveur. Cependant, cette approche pose un inconvénient : elle génère un grand nombre d'événements, dont la majeure partie n'a aucun intérêt.

L'analyse des processus surveillés peut s'avérer difficile dans deux environnements bien spécifiques :

  • Les serveurs Web qui utilisent l'interface de passerelle commune (CGI, Common Gateway Interface). Chaque visite de page crée un nouveau processus.

  • Les stations de travail de développement. Les compilations d'applications créent de nombreux processus en très peu de temps.

Ces facteurs peuvent engendrer de très grands nombres d'événements en peu de temps ou créer de nombreux événements de façon continue. Quoi qu'il en soit, des filtres efficaces sont nécessaires pour distinguer les attaques des événements légitimes.

Problèmes de sécurité

Les problèmes de sécurité posés par les attaques externes sont considérables. En effet, les attaquants bénéficient d'une grande latitude au moment de choisir leur méthode d'intrusion. Voici les mécanismes dont ils disposent :

  • tentative de piratage de mots de passe ;

  • changement ou réinitialisation de mots de passe ;

  • exploitation des vulnérabilités ;

  • exécution d'une application malveillante par un utilisateur à son insu ;

  • utilisation de l'élévation des privilèges pour atteindre d'autres ordinateurs ;

  • installation d'un rootkit ou d'un cheval de Troie ;

  • utilisation d'une station de travail non autorisée ;

  • utilisation d'une attaque de type « phishing », avec des messages électroniques qui dirigent les utilisateurs vers un site Web malveillant.

La méthode principale qui permet de détecter des attaquants et des applications malveillantes est la surveillance des processus. Cette méthode doit être utilisée avec prudence et doit être intégrée aux stratégies de restriction logicielle de la stratégie de groupe. Vous devez définir des stratégies très strictes qui déterminent les programmes qui peuvent s'exécuter sur les ordinateurs de vos réseaux de périmètre.

Remarque : les stratégies de restriction logicielle peuvent avoir des effets non voulus sur les ordinateurs portables ou dans des environnements d'entreprise. Veillez à créer de nouveaux objets de stratégie de groupe (GPO, group policy object) pour gérer vos stratégies de restriction logicielle. N'utilisez pas la stratégie de domaine par défaut.

Pour plus d'informations sur l'utilisation de stratégies de restriction logicielle, consultez l'article Using Software Restriction Policies to Protect Against Unauthorized Software (Utilisation de stratégies de restriction logicielle pour se prémunir des logiciels non autorisés) à l'adresse http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx (en anglais)

Conditions requises pour une solution efficace

Pour identifier des attaquants externes, votre solution a besoin des mêmes outils que pour déceler les menaces internes, à savoir :

  • une approche de type « défense en profondeur » en matière de sécurité ;

  • des journaux d'audit de sécurité efficaces ;

  • un système fiable de collecte centralisée des journaux de sécurité ;

  • d'un dispositif automatisé d'analyse des journaux de sécurité pour l'identification des signatures d'attaques.

Pour détecter des applications malveillantes, votre solution utilise une partie des mécanismes d'identification des menaces internes, à savoir :

  • des procédures efficaces pour l'audit des logiciels non autorisés sur le réseau ;

  • des journaux d'audit de sécurité dûment configurés ;

  • un système fiable de collecte centralisée et de filtrage des journaux de sécurité ;

  • un dispositif automatisé d'analyse des journaux de sécurité pour l'identification des comportements suspects (avec l'aide de programmes tiers si nécessaire).

Pour plus d'informations sur la protection d'un réseau contre les virus, consultez le Guide de défense antivirus renforcée à l'adresse http://www.microsoft.com/france/technet/security/guidance/serversecurity/avdind\_0.mspx.

Haut de page

Mise en œuvre d'analyses judiciaires

Les analyses judiciaires vous permettent d'assurer le suivi du minutage, de la gravité et des conséquences d'une brèche de sécurité et d'identifier les systèmes que les attaquants ont mis en danger. Une analyse judiciaire doit enregistrer les données suivantes :

  • l'heure de l'attaque ;

  • la durée de l'attaque ;

  • les ordinateurs touchés ;

  • les changements que l'attaquant a apportés au réseau.

L'analyse judiciaire étant un sujet à part entière, ce guide ne peut couvrir la totalité de ses spécificités. En particulier, ce guide n'aborde pas les besoins en matière de gestion des preuves et se limite au journal des événements de sécurité comme source de données judiciaires.

Défis métier

L'analyse judiciaire se distingue des deux autres scénarios envisagés par le fait qu'elle est postérieure aux incidents. L'analyse judiciaire a pour but de fournir une liste complète de tous les événements pertinents qui se sont produits sur un ou plusieurs ordinateurs. Le système d'analyse doit être capable de gérer et d'archiver de grandes quantités de données dans une base de données bien structurée.

À ce niveau, une des décisions clé que l'entreprise est amenée à prendre est la période d'archivage des données judiciaires. L'entreprise doit déterminer l'âge maximal des données judiciaires, c'est-à-dire le moment à partir duquel elles deviennent obsolètes. Le tableau suivant indique les périodes de conservation par défaut.

Tableau 3.1 : périodes maximales de stockage des données judiciaires

Facteur Période maximale Commentaires
Stockage en ligne (base de données)   21 jours Permet un accès rapide aux événements récents.
Stockage hors connexion (sauvegarde) 180 jours Limite raisonnable pour la plupart des organisations.
Organes de réglementation     7 ans  
Services secrets Stockage permanent  
**Remarque** **:** certaines entreprises (ex. hôpitaux et organismes publics) fixent des limites à ne pas dépasser au lieu de périodes d'archivage obligatoires. Une possibilité consiste à utiliser des bases de données en ligne pour conserver les événements des trois dernières semaines, puis à les archiver dans un format hautement compressible (ex. fichiers texte CSV) pour leur stockage hors connexion. Si nécessaire, ces fichiers CSV peuvent être réimportés dans la base de données pour être analysés. Quel que soit le système utilisé, il doit satisfaire à vos besoins d'analyse rapide des événements récents et vous permettre de récupérer d'anciens événements si nécessaire. Laissez-vous guider par votre expérience personnelle pour définir la combinaison optimale de périodes de rétention pour le stockage en ligne et hors connexion. #### Défis techniques Pour permettre la conduite d'analyses judiciaires, un système de surveillance de sécurité doit être doté de mécanismes fiables de collecte et de stockage de grands volumes d'événements. Les besoins en surveillance de la sécurité sur le client sont semblables à ceux des autres scénarios. Cependant, le stockage en base de données doit être beaucoup plus important et la gestion des données très efficace. Les défis techniques englobent les facteurs suivants : - stockage fiable et sûr des données en ligne ; - allocation de grandes quantités d'espace disque haute performance pour le stockage en ligne ; - sauvegarde fiable des anciens événements sur des supports d'archivage ; - gestion du transfert des anciennes sauvegardes vers une banque d'archives adéquate si nécessaire ; - restauration des informations provenant d'anciennes sauvegardes. Ces défis ne sont pas spécifiques à la surveillance de la sécurité. En effet, les administrateurs de base de données ont des préoccupations similaires pour les applications telles que les bases de données de traitement des transactions en ligne (OLTP, online transaction processing). Toutefois, contrairement aux applications de bases de données OLTP et autres, les bases de données d'analyses judiciaires doivent faire face à beaucoup plus d'écritures que de lectures. #### Problèmes de sécurité En règle générale, les données collectées à des fins d'analyse judiciaire connaissent une croissance continue. Il arrive, mais très rarement, qu'une personne doive y accéder, par exemple l'administrateur de la sécurité d'une entreprise. Quoi qu'il en soit, personne d'autre ne doit pouvoir consulter ces informations, interrompre leur collecte, ou les modifier. La base de données doit être hautement sécurisée de façon à ce que seule(s) une ou deux personnes de confiance puissent y accéder. #### Conditions requises pour une solution efficace Pour être efficace, une solution de surveillance de la sécurité et de détection des attaques permettant la conduite d'analyses judiciaires doit être dotée : - d'un mécanisme d'enregistrement de sécurité dûment configuré ; - d'un système sûr de vérification des entrées dans les journaux de sécurité ; - d'un système fiable de collecte centralisée des journaux de sécurité ; - d'un stockage fiable des informations de surveillance de la sécurité ; - de mécanismes d'archivage efficaces. [](#mainsection)[Haut de page](#mainsection) ### Résumé Ce chapitre a expliqué les éléments et les conditions qu'une solution de surveillance de la sécurité et de détection des attaques doit réunir dans trois scénarios bien précis. Le chapitre 4, « Conception de la solution » explique comment incorporer ces éléments dans l'élaboration de votre plan de solution. ##### Téléchargez [![](images/Dd491950.icon_exe(fr-fr,TechNet.10).gif)Guide de planification de la surveillance de la sécurité et de la détection des attaques](http://go.microsoft.com/fwlink/?linkid=41310) [](#mainsection)[Haut de page](#mainsection)