Pour les nuls 

Types d'attaques sur les réseaux informatiques. Méthodes administratives de protection contre les attaques à distance sur Internet. Objectifs des attaques

En utilisant des programmes tels que WinNuke, Papa Smurf et Teardrop, les attaquants peuvent attaquer votre ordinateur et vous causer du tort. Selon une enquête du Computer Security Institute/FBI sur la criminalité informatique réalisée en 1999, 57 % des organisations interrogées ont déclaré qu'elles considéraient leurs connexions réseau à Internet comme un « lieu fréquent d'attaques ». 30 pour cent des personnes interrogées ont déclaré que leurs réseaux avaient été infiltrés et 26 pour cent ont déclaré que les attaques avaient entraîné le vol d'informations confidentielles. Le Centre fédéral de lutte contre la criminalité informatique aux États-Unis (FedCIRC) a signalé qu'en 1998, environ 130 000 réseaux gouvernementaux comprenant 1 100 000 ordinateurs avaient été attaqués. Classification des attaques informatiques Lorsque nous parlons d’« attaque informatique », nous entendons des personnes qui lancent des programmes pour obtenir un accès non autorisé à un ordinateur. Les formes d’organisation des attaques sont très diverses, mais en général elles appartiennent toutes à l’une des catégories suivantes : Intrusion informatique à distance : programmes qui obtiennent un accès non autorisé à un autre ordinateur via Internet (ou un réseau local) Intrusion informatique locale : programmes qui obtiennent un accès non autorisé à l'ordinateur sur lequel ils s'exécutent. Blocage d'un ordinateur distant : programmes qui, via Internet (ou réseau), bloquent le fonctionnement de l'intégralité d'un ordinateur distant ou d'un programme individuel sur celui-ci (pour restaurer la fonctionnalité, l'ordinateur doit le plus souvent être redémarré) Blocage de l'ordinateur local : programmes qui bloquent l'ordinateur sur lequel ils s'exécutent Scanners de réseau : programmes qui collectent des informations sur un réseau pour déterminer quels ordinateurs et les programmes qui s'y exécutent sont potentiellement vulnérables aux attaques. Crackers de mots de passe : programmes qui détectent les mots de passe faciles à deviner dans les fichiers de mots de passe cryptés. Les ordinateurs peuvent désormais deviner des mots de passe si rapidement que des mots de passe apparemment complexes peuvent être devinés. Analyseurs de réseau (renifleurs) : programmes qui écoutent le trafic réseau. Ils ont souvent la capacité d'extraire automatiquement les noms d'utilisateur, les mots de passe et les numéros de carte de crédit du trafic. Comment se protéger de la plupart des attaques informatiques Protéger votre réseau contre les attaques informatiques est une tâche constante et non triviale ; mais un certain nombre de mesures de sécurité simples peuvent arrêter la plupart des tentatives de pénétration du réseau. Par exemple, un pare-feu et un logiciel antivirus bien configurés installés sur tous les postes de travail peuvent rendre impossible la plupart des attaques informatiques. Ci-dessous, nous décrivons brièvement 14 mesures de sécurité différentes qui, une fois mises en œuvre, contribueront à protéger votre réseau. Correctifs de programmes en ligne (Patching) Les entreprises publient souvent des correctifs de programmes pour éliminer les effets néfastes des erreurs qu'ils contiennent. Si vous ne corrigez pas vos programmes, un attaquant peut ultérieurement profiter de ces erreurs et s'introduire dans votre ordinateur. Les administrateurs système doivent protéger leurs systèmes les plus critiques en y appliquant rapidement des correctifs. Cependant, il est difficile d'appliquer des correctifs aux programmes sur tous les hôtes d'un réseau, car les correctifs peuvent apparaître fréquemment. Dans ce cas, il est nécessaire d'apporter des corrections aux programmes sur les hôtes les plus importants, et en plus d'installer sur eux d'autres mesures de protection, décrites ci-dessous. Détection des virus et des chevaux de Troie De bons programmes antivirus sont un outil indispensable pour accroître la sécurité sur n'importe quel réseau. Ils surveillent le fonctionnement des ordinateurs et détectent les logiciels malveillants qui s'y trouvent. Le seul problème avec eux est que pour une efficacité maximale, ils doivent être installés sur tous les ordinateurs du réseau. L'installation de programmes antivirus sur tous les ordinateurs et la mise à jour régulière des bases de données antivirus qu'ils contiennent peuvent prendre beaucoup de temps - mais sinon, cet outil ne sera pas efficace. Les utilisateurs doivent apprendre à effectuer eux-mêmes ces mises à jour, mais ne doivent pas s’en fier entièrement. En plus d'exécuter un programme antivirus régulier sur chaque ordinateur, nous recommandons aux organisations d'analyser les pièces jointes des e-mails sur le serveur de messagerie. De cette façon, la plupart des virus peuvent être détectés avant qu'ils n'atteignent les machines des utilisateurs. Pare-feu Les pare-feu constituent le moyen le plus important de protéger le réseau d'une organisation. Ils contrôlent le trafic réseau entrant et sortant du réseau. Un pare-feu peut empêcher certains types de trafic d'entrer dans le réseau ou effectuer certaines vérifications sur d'autres types de trafic. Un pare-feu bien configuré peut stopper la plupart des attaques informatiques connues. Les attaquants de chiffrement pénètrent souvent dans les réseaux en écoutant le trafic réseau dans des emplacements sensibles et en en extrayant les noms d'utilisateur et les mots de passe. Par conséquent, les connexions protégées par mot de passe vers les machines distantes doivent être cryptées. Ceci est particulièrement important dans les cas où la connexion se fait via Internet ou vers un serveur important. Il existe un certain nombre de programmes commerciaux et gratuits permettant de chiffrer le trafic TCP/IP (SSH est le plus connu). Scanners de vulnérabilités Il s'agit de programmes qui analysent le réseau à la recherche d'ordinateurs vulnérables à certains types d'attaques. Les scanners disposent d'une vaste base de données de vulnérabilités, qu'ils utilisent lors de la recherche de vulnérabilités sur un ordinateur particulier. Des scanners commerciaux et gratuits sont disponibles. Avis de sécurité Les avis de sécurité sont des avertissements publiés par les équipes de lutte contre la criminalité informatique et les éditeurs de logiciels concernant des vulnérabilités récemment découvertes. Les avis couvrent généralement les menaces les plus graves posées par ces vulnérabilités et sont donc rapides à lire mais très utiles. Ils décrivent la menace en général et donnent des conseils assez précis sur ce qu'il faut faire pour éliminer cette vulnérabilité. Vous pouvez les trouver à plusieurs endroits, mais deux des plus utiles sont ceux publiés par la Computer Crime Team.CIACEtCERT Détection d'intrusion Les systèmes de détection d'intrusion détectent rapidement les attaques informatiques. Ils peuvent être installés derrière un pare-feu pour détecter les attaques provenant de l'intérieur du réseau. Ou ils peuvent être installés devant le pare-feu pour détecter les attaques sur le pare-feu. Les outils de ce type peuvent avoir diverses capacités. Disponiblearticle sur leur utilisation et les types de systèmes de détection d'attaques Outils de détection de topologie de réseau et scanners de ports Ces programmes vous permettent d'obtenir une image complète de la structure de votre réseau et des ordinateurs qui y fonctionnent, ainsi que d'identifier tous les services qui s'exécutent sur chaque machine. Les attaquants utilisent ces outils pour identifier les ordinateurs et programmes vulnérables qui s'y trouvent. Les administrateurs système doivent utiliser ces outils pour surveiller quels programmes s'exécutent sur quels ordinateurs de leur réseau. Avec leur aide, vous pouvez détecter les programmes mal configurés sur les ordinateurs et y installer des correctifs. Équipe d'enquête sur les incidents de sécurité Chaque réseau, quel que soit son niveau de sécurité, est confronté à des événements de sécurité (peut-être même à de fausses alarmes). Les employés de l'organisation doivent savoir à l'avance ce qui doit être fait dans un cas donné. Il est important de déterminer à l'avance les points suivants : quand appeler les forces de l'ordre, quand appeler l'équipe chargée des crimes informatiques, quand déconnecter le réseau d'Internet et que faire si un serveur important est compromis.CERTfournit des consultations générales aux États-Unis. FedCIRC est chargé de conseiller les agences gouvernementales civiles aux États-Unis. Politiques de sécurité Un système de sécurité réseau est aussi solide que son point le plus faible. S'il existe plusieurs réseaux au sein d'une même organisation avec des politiques de sécurité différentes, un réseau peut être compromis en raison d'une sécurité médiocre sur un autre réseau. Les organisations doivent rédiger une politique de sécurité qui définit le niveau de protection attendu, qui doit être mis en œuvre de manière cohérente. L'aspect le plus important de cette politique est d'établir des exigences uniformes quant au trafic qui doit traverser les pare-feu du réseau. La politique doit également définir comment et quelles mesures de sécurité (par exemple, des outils de détection d'attaques ou des scanners de vulnérabilités) doivent être utilisées sur le réseau. Pour atteindre un niveau de sécurité uniforme, la politique doit définir des configurations sécurisées standard pour différents types d'ordinateurs. Tester la résistance des pare-feux et des serveurs WWW aux tentatives de blocage Les attaques visant à bloquer un ordinateur sont courantes sur Internet. Les attaquants font constamment planter les sites WWW, surchargent les ordinateurs ou inondent les réseaux de paquets dénués de sens. Ce type d'attaque peut être très grave, surtout si l'attaquant est si intelligent qu'il lance une attaque soutenue dont on ne peut remonter jusqu'à la source.

Les réseaux soucieux de leur sécurité peuvent lancer des attaques contre eux-mêmes pour déterminer l'ampleur des dommages qui peuvent leur être causés. Nous recommandons que ce type d'analyse de vulnérabilité soit effectué uniquement par des administrateurs système expérimentés ou des consultants dédiés.








Aujourd’hui, les ordinateurs sont de plus en plus victimes d’attaques. Non seulement les appareils d'entreprise et les réseaux locaux des grandes entreprises sont attaqués, mais aussi les ordinateurs des utilisateurs ordinaires. Les attaques peuvent être menées aussi bien dans le but de voler des données personnelles, notamment financières, que par simple curiosité et divertissement, par exemple par des pirates informatiques débutants. Les attaques sont également souvent motivées par l'hostilité personnelle envers les propriétaires de ressources et la concurrence. Dans ce dernier cas, elles sont réalisées sur demande et contre rémunération. Il existe de nombreuses méthodes et types d'attaques, et chaque année, elles deviennent plus complexes et plus astucieuses.

Attaque informatique- cela influence le système ou y obtient un accès non autorisé à l'aide d'un logiciel ou d'un matériel.

Un exemple frappant d’attaques qui ne visent pas à voler des données sont les attaques DoS. Ils entraînent une interruption du service pour les utilisateurs légitimes, rendent certains services ou l'ensemble du système indisponibles, ce qui est très désagréable. Bien que la confidentialité des données soit préservée, leur utilisation devient totalement impossible ; des attaques de ce type interfèrent avec le bon fonctionnement des ressources informatiques.

L'essence d'une attaque DoS est qu'un attaquant tente de rendre temporairement indisponible un serveur spécifique, de surcharger le réseau, le processeur ou de remplir le disque. Le but de l'attaque est de désactiver l'ordinateur et de s'emparer de toutes les ressources de l'ordinateur victime afin que les autres utilisateurs n'y aient pas accès. Les ressources incluent, par exemple, la mémoire, le temps CPU, l'espace disque, les ressources réseau, etc. Texte du terme

Attaque DoS (déni de service) est une attaque qui conduit à la paralysie du travail d'un serveur ou d'un ordinateur personnel en raison d'un grand nombre de requêtes arrivant à grande vitesse sur la ressource attaquée

Méthodes de base pour mettre en œuvre des attaques DoS

Il existe deux manières principales de mettre en œuvre des attaques DoS.

D'abord, logique, consiste à exploiter les vulnérabilités des logiciels installés sur l’ordinateur attaqué. La vulnérabilité vous permet de provoquer une certaine erreur critique entraînant une perturbation du système. Ces attaques ciblent les faiblesses des systèmes d'exploitation, des logiciels, des processeurs et des puces programmables.

Deuxième la méthode consiste à envoyer un grand nombre de paquets d'informations à l'ordinateur attaqué, ce qui provoque une surcharge du réseau. Les attaques menées par l'envoi d'un grand nombre de paquets peuvent être divisées en deux types principaux.

Attaques visant à bloquer les canaux de communication et les routeurs. L'essence de l'attaque est d'envoyer un énorme flux de flux à l'ordinateur attaqué, c'est-à-dire des requêtes au mauvais format ou dénuées de sens. L'inondation obstrue complètement toute la largeur du canal de données ou du routeur d'entrée. Étant donné que le volume de données dépasse les ressources nécessaires pour les traiter, il devient impossible de recevoir des paquets de données corrects des autres utilisateurs. En conséquence, le système leur refuse le service.

Attaques visant à surcharger les ressources du système d'exploitation ou des applications. Ce type d’attaque ne vise pas le canal de communication, mais le système lui-même. Chaque système a de nombreuses restrictions sur divers paramètres (temps processeur, espace disque, mémoire, etc.), et le but de l'attaque est de forcer le système à violer ces restrictions. Pour ce faire, un grand nombre de requêtes sont envoyées à l’ordinateur de la victime. En raison d'une puissance de calcul excessive sur le serveur, le système refuse de répondre aux demandes des utilisateurs légitimes.

Principaux types d'attaques DoS

Il existe plusieurs types d'attaques par déni de service basées sur les fonctionnalités de la pile de protocoles TCP/IP. Listons les plus célèbres.

Attaque Ping-de-Mort exploite une vulnérabilité du protocole TCP/IP telle que la fragmentation des paquets de données. Lors de la transmission sur le réseau, les paquets de données sont divisés en fragments, qui sont assemblés en un seul tout à leur arrivée sur l'ordinateur de destination. L’attaque se déroule de la manière suivante : un paquet ICMP très fragmenté est envoyé à l’ordinateur de la victime, dont la taille dépasse celle autorisée dans le protocole (plus de 64 Ko). Lorsque le périphérique attaqué reçoit des fragments et tente de restaurer le package, le système d'exploitation se bloque complètement et la souris et le clavier cessent également de fonctionner. Les systèmes d'exploitation de la famille Windows, Mac et certaines versions d'Unix peuvent être soumis à des attaques de ce type.

Attaque SYN-inondation (« Poignée de main mortelle ») utilise une fonctionnalité du protocole TCP/IP comme le mécanisme de « triple prise de contact ». Pour transmettre des données, le client envoie un paquet avec l'indicateur SYN (synchronisation) défini. En réponse, le serveur doit répondre avec une combinaison d'indicateurs SYN+ACK (accusé de réception). Le client doit alors répondre avec un indicateur ACK, après quoi la connexion est considérée comme établie.

L'essence de cette attaque est de créer un grand nombre de connexions TCP incomplètement établies. En envoyant un grand nombre de paquets TCP SYN à la victime, l'attaquant la force à ouvrir et à répondre à un nombre correspondant de connexions TCP, puis ne termine pas le processus d'établissement de connexion. Soit il n'envoie pas de paquet de réponse avec l'indicateur ACK, soit il falsifie l'en-tête du paquet afin que la réponse ACK soit envoyée à une adresse inexistante. Ainsi, les exigences du mécanisme de « triple poignée de main » ne sont pas remplies. Les connexions continuent d'attendre leur tour, restant à moitié ouvertes. Le serveur attaqué alloue des ressources pour chaque paquet SYN reçu, qui sont rapidement épuisées. Après un certain temps, les connexions semi-ouvertes sont supprimées. L'attaquant tente de maintenir la file d'attente pleine pour empêcher les nouvelles connexions des clients légitimes. En conséquence, l’établissement de la communication s’effectue avec de longs délais ou ne se produit pas du tout.

Attaque terrestre utilise également la fonctionnalité du protocole TCP/IP selon laquelle une demande de connexion doit recevoir une réponse. L'essence de cette attaque est que l'ordinateur victime, à la suite des actions des attaquants, tente d'établir une connexion avec lui-même, ce qui entraîne une surcharge du processeur et provoque le blocage ou le crash du système.

Fragmentation par lots. Ce type d'attaque utilise le mécanisme de transmission de données TCP/IP mentionné ci-dessus, selon lequel les paquets de données sont divisés en fragments. La fragmentation est utilisée lorsqu'il est nécessaire de transmettre un datagramme IP, c'est-à-dire un bloc d'informations transmis via le protocole IP, sur un réseau dans lequel l'unité de transfert de données maximale autorisée est inférieure à la taille du datagramme. Ce type d'attaque provoque un déni de service en exploitant des vulnérabilités de certaines piles TCP/IP liées au réassemblage de fragments IP.

Un exemple serait une attaque Larme, de sorte que lors de la transmission des fragments, ils se déplacent, ce qui provoque leur chevauchement lors de l'assemblage du colis. Une tentative de l'ordinateur attaqué de restaurer la séquence correcte de fragments provoque le blocage du système.

Attaque par inondation DNS consiste à transmettre un grand nombre de requêtes DNS. Cela surcharge le serveur DNS et rend impossible l'accès des autres utilisateurs.

Si une attaque par déni de service est menée simultanément à partir d'un grand nombre d'ordinateurs à la fois, on parle alors dans ce cas d'attaque DDoS.

Attaque DDoS (déni de service distribué) est un type d'attaque DoS organisée à l'aide d'un très grand nombre d'ordinateurs, grâce auquel les serveurs, même dotés d'une bande passante Internet très élevée, peuvent être attaqués.

Pour organiser des attaques DDoS, les attaquants utilisent un botnet – un réseau spécial d'ordinateurs infectés par un type particulier de virus. Un attaquant peut contrôler chacun de ces ordinateurs à distance, à l'insu du propriétaire. À l’aide d’un virus ou d’un programme habilement déguisé en virus légitime, un code logiciel malveillant est installé sur l’ordinateur de la victime, qui n’est pas reconnu par l’antivirus et s’exécute en arrière-plan. Au bon moment, sur commande du propriétaire du botnet, un tel programme est activé et commence à envoyer des requêtes au serveur attaqué, ce qui remplit le canal de communication entre le service attaqué et le fournisseur Internet et le serveur cesse de fonctionner.

Une attaque distribuée peut être menée en utilisant non seulement un botnet, mais également un mécanisme de réflexion. De telles attaques sont appelées attaques DrDOS (attaques à impact indirect, Distributed Reflection DoS). Elles ne sont pas réalisées directement, mais par l'intermédiaire d'intermédiaires. Le plus souvent, les attaques DrDoS se produisent comme suit : un paquet TCP n'est pas envoyé à l'ordinateur attaqué, mais à n'importe quel serveur sur Internet, mais l'adresse de l'ordinateur victime est indiquée comme adresse de retour. Étant donné que tout serveur répond toujours à un paquet TCP avec un indicateur SYN par un paquet TCP avec des indicateurs SYN+ACK, un ordinateur sélectionné au hasard, sans s'en rendre compte, répond aux fausses demandes et bombarde automatiquement l'ordinateur victime avec des flux de paquets.

Comment se protéger des attaques « Déni de service » ?

Il existe un certain nombre de méthodes qui peuvent aider à prévenir ce type d’attaques. Parmi eux.

Au cours des dernières années, la question de la protection contre les attaques ciblées automatisées est devenue une question urgente sur le marché de la sécurité de l'information, mais de manière générale, une attaque ciblée a été initialement présentée comme le résultat d'un travail professionnel et à long terme d'une organisation organisée. groupe de cybercriminels afin d’obtenir des données critiques coûteuses. Actuellement, dans le contexte du développement technologique, la vulgarisation des forums open source (par exemple Github, Reddit) et Darknet, qui fournissent les codes sources des logiciels malveillants et des descriptions étape par étape des étapes pour les modifier (afin qu'ils soient ne peuvent pas être détectés par l'analyse des signatures) et infectent les hôtes, la mise en œuvre des cyberattaques est considérablement simplifiée. Pour mener à bien une attaque, accompagnée de conséquences néfastes pour les propriétaires de systèmes automatisés et d'information, il suffit d'un utilisateur non qualifié et d'un enthousiasme pour analyser le matériel fourni sur Internet/Darknet.

Le but de ces activités criminelles est de réaliser un profit. La méthode la plus simple, et donc la plus courante, consiste à infecter les hôtes du réseau avec des logiciels malveillants tels que Ransomware. Au cours des 2 dernières années, sa popularité a augmenté rapidement :

  • en 2016, le nombre de types (familles) connus de chevaux de Troie ransomware a augmenté de 752 % : de 29 types en 2015 à 247 fin 2016 (selon TrendLabs) ;
  • grâce aux virus ransomware, les attaquants ont « gagné » 1 milliard de dollars en 2016 (selon le CSO) ;
  • Au premier trimestre 2017, 11 nouvelles familles de chevaux de Troie ransomware et 55 679 modifications sont apparues. A titre de comparaison, au cours des 2e et 4e trimestres 2016, 70 837 modifications sont apparues (selon Kaspersky Lab).
Début 2017, les principaux fabricants d'outils de sécurité de l'information (Kaspersky Lab, McAfee Labs, SophosLabs, Malwarebytes Labs, TrendMicro, etc.) ont qualifié les ransomwares de l'une des principales menaces pour la sécurité de l'information des organisations gouvernementales et commerciales de divers domaines et tailles. Et comme le montre l’histoire, ils ne se sont pas trompés :
  • Janvier 2017. 70 % des caméras de surveillance de l’ordre public à Washington ont été infectées à la veille de l’investiture présidentielle. Pour éliminer les conséquences, les caméras ont été démontées, reflasquées ou remplacées par d'autres ;
  • Février 2017 Désactivation de tous les services municipaux du comté de l'Ohio (USA) pendant plus d'une semaine en raison du cryptage massif des données sur les serveurs et les postes des utilisateurs (plus de 1000 hôtes) ;
  • Mars 2017 Désactivation des systèmes du Pennsylvania State Capitol (USA) suite à une attaque et blocage de l'accès aux données des systèmes d'information ;
  • Mai 2017 Attaque à grande échelle du virus ransomware WannaCry (WanaCrypt0r 2.0), qui a touché plus de 546 000 ordinateurs et serveurs basés sur des systèmes d'exploitation Windows dans plus de 150 pays au 26 juin 2017. En Russie, des ordinateurs et des serveurs de grandes entreprises telles que le ministère de la Santé, le ministère des Situations d'urgence, les chemins de fer russes, le ministère de l'Intérieur, Megafon, la Sberbank et la Banque de Russie ont été infectés. Il n'existe toujours pas de décrypteur de données universel (comment décrypter les données sous Windows XP a été publié). Les dégâts totaux causés par le virus, selon les experts, dépassent le milliard de dollars ;
  • Une attaque à grande échelle du virus ransomware XData en mai 2017 (une semaine après le début de l'attaque WannaCry), qui a utilisé une vulnérabilité similaire à WannaCry (EternalBlue) dans le protocole SMBv1 pour l'infection et a touché principalement le segment des entreprises d'Ukraine ( 96% des ordinateurs et serveurs infectés sont situés en Ukraine), dont la propagation est 4 fois plus rapide que WannaCry. Actuellement, la clé de cryptage a été publiée et des décrypteurs ont été publiés pour les victimes du ransomware ;
  • Juin 2017. Le réseau de l’une des plus grandes universités du monde, l’Univercity College London, a été soumis à une attaque généralisée de Ransomware. L'attaque visait à bloquer l'accès au stockage réseau partagé et au système automatisé de gestion des étudiants. Cela a été fait pendant la période préalable aux examens et à l'obtention du diplôme, lorsque les étudiants stockant leurs thèses sur les serveurs de fichiers de l'université sont les plus susceptibles de payer des fraudeurs pour obtenir leur travail. Le volume des données cryptées et celles concernées ne sont pas divulguées.
Il existe de nombreux cas d’attaques ciblées visant à infecter des Ransomwares. Les principales cibles des attaquants sont les systèmes basés sur les systèmes d'exploitation Windows, mais il existe différentes versions de Ransomware pour les systèmes d'exploitation UNIX/Linux, MacOS, ainsi que les plateformes mobiles iOS et Android.

Avec le développement des Ransomwares, il existe également des moyens de les contrer. Tout d’abord, il s’agit d’un projet ouvert No more Ransom ! (www.nomoreransom.org), qui offre aux victimes d'attaques des moyens de décryptage des données (au cas où la clé de cryptage serait compromise), et d'autre part, des moyens open source spécialisés de protection contre les virus ransomwares. Mais soit ils analysent le comportement du logiciel sur la base des signatures et ne sont pas capables de détecter un virus inconnu, soit ils bloquent le malware après qu'il affecte le système (en cryptant une partie des données). Les solutions open source spécialisées sont applicables aux utilisateurs Internet sur des appareils personnels/domestiques ; les grandes organisations qui traitent de grands volumes d'informations, y compris des informations critiques, doivent fournir une protection proactive complète contre les attaques ciblées.

Protection proactive contre les attaques ciblées et les Ransomwares

Considérons les vecteurs possibles d'accès aux informations protégées situées sur un serveur ou un poste utilisateur automatisé :
  • L'impact sur le périmètre d'un réseau informatique local depuis Internet est possible via :
  • courrier électronique d'entreprise ;
  • le trafic Web, y compris la messagerie Web ;
  • routeur/pare-feu de périmètre ;
  • passerelles d'accès Internet tierces (non professionnelles) (modems, smartphones, etc.) ;
  • systèmes d'accès à distance sécurisés.
  • Impact sur les serveurs et postes utilisateurs sur le réseau :
  • télécharger des logiciels malveillants sur des points finaux/serveurs à leur demande ;
  • utilisation de capacités (vulnérabilités) non documentées du logiciel système/d'application ;
  • télécharger des logiciels malveillants via un canal VPN crypté, non contrôlé par les services informatiques et de sécurité de l'information ;
  • connexion au réseau local d’appareils illégitimes.
  • Impact direct sur les informations sur les serveurs et les postes utilisateurs :
  • connecter des supports de stockage externes avec des logiciels malveillants ;
  • développer des logiciels malveillants directement sur le point final/le serveur.
Pour réduire la probabilité qu'une menace se réalise pour chaque type d'accès aux informations protégées, il est nécessaire d'assurer la mise en œuvre d'un ensemble de mesures organisationnelles et techniques de protection des informations, dont la liste est présentée dans la figure (voir Figure 1). )

Figure 1. Mesures proactives pour se protéger contre les attaques ciblées et les Ransomwares

Mesures organisationnelles pour se protéger contre les attaques ciblées et les Ransomwares

Les principales mesures organisationnelles de protection proactive contre les attaques ciblées et les Ransomwares comprennent :
  • Sensibiliser les employés dans le domaine de la sécurité de l’information.
    Il est nécessaire de former régulièrement les employés et de les informer des éventuelles menaces pour la sécurité des informations. La mesure minimale et nécessaire est la formation de principes pour travailler avec les fichiers et le courrier :
    o ne pas ouvrir les fichiers avec des extensions doubles : configurer l'affichage des extensions pour que les utilisateurs puissent identifier les fichiers malveillants avec des extensions doubles (par exemple, 1СRecord.xlsx.scr) ;
    o n'activez pas les macros dans les documents Microsoft Office non fiables ;
    o vérifier les adresses des expéditeurs de messages électroniques ;
    o n'ouvrez pas de liens vers des pages Web ou des pièces jointes d'e-mails provenant d'expéditeurs inconnus.
  • Évaluer l'efficacité de la protection à la fois au sein de l'organisation et avec la participation de spécialistes externes.
    Il est nécessaire d'évaluer l'efficacité de la formation du personnel en modélisant les attaques, tant internes qu'avec la participation de spécialistes externes, en effectuant des tests d'intrusion, notamment en utilisant la méthode d'ingénierie sociale.
  • Mises à jour régulières du logiciel système (Patch Management).
    Pour prévenir les attaques de logiciels malveillants sur les systèmes cibles via des vulnérabilités connues, il est nécessaire de garantir des tests et une installation en temps opportun des mises à jour des logiciels système et d'application, en tenant compte de la priorisation de la criticité des mises à jour.
  • Systématisation de la sauvegarde des données.
    Il est nécessaire de sauvegarder régulièrement les données critiques sur les serveurs du système d'information, les systèmes de stockage de données et les postes des utilisateurs (si des informations critiques doivent être stockées). Les copies de sauvegarde doivent être stockées sur des bibliothèques de bandes du système de stockage de données, sur des supports de stockage aliénés (à condition que les supports de stockage ne soient pas connectés en permanence au poste de travail ou au serveur), ainsi que dans des systèmes de sauvegarde de données et des installations de stockage dans le cloud.

Mesures techniques pour se protéger contre les attaques ciblées et les Ransomwares

Des mesures techniques de protection proactive contre les attaques ciblées et les Ransomwares sont prises au niveau du réseau et au niveau de l'hôte.

Mesures de protection proactives au niveau du réseau

  • Utiliser des systèmes de filtrage de courrier électronique, fournissant une analyse du trafic de messagerie pour détecter la présence de lettres indésirables (spam), de liens, de pièces jointes, y compris malveillantes (par exemple, blocage des fichiers JavaScript (JS) et Visual Basic (VBS), des fichiers exécutables (.exe), des fichiers d'économiseur d'écran ( SCR), package Android (.apk) et fichiers de raccourci Windows (.lnk)).
  • Utiliser des systèmes de filtrage de contenu du trafic Web, permettant la différenciation et le contrôle de l'accès des utilisateurs à Internet (notamment en analysant le trafic SSL en remplaçant un certificat de serveur), l'analyse du trafic en continu pour détecter la présence de logiciels malveillants et la restriction de l'accès des utilisateurs au contenu des pages Web.
  • Utiliser des systèmes de protection contre les attaques ciblées, attaques zero-day (Sandbox, sandbox), fournissant une analyse heuristique et comportementale de fichiers potentiellement dangereux dans un environnement isolé avant d'envoyer le fichier vers des systèmes d'information protégés. Les systèmes de protection contre les attaques ciblées doivent être intégrés à des systèmes de filtrage de contenu pour le trafic Web et de filtrage des e-mails pour bloquer les pièces jointes malveillantes. De plus, des systèmes de protection contre les attaques ciblées sont intégrés aux systèmes d'information à l'intérieur du périmètre du réseau pour détecter et bloquer les attaques complexes sur les ressources et services critiques.
  • Assurer le contrôle d’accès au réseau d’entreprise au niveau du réseau filaire et sans fil grâce à la technologie 802.1x. Cette mesure empêche la connexion non autorisée d'appareils illégitimes au réseau d'entreprise et offre la possibilité de vérifier la conformité aux politiques d'entreprise lors de l'accès au réseau de l'organisation (disponibilité d'un logiciel antivirus, bases de données de signatures actuelles, disponibilité des mises à jour Windows critiques). Le contrôle d'accès au réseau d'entreprise utilisant 802.1x est assuré par des systèmes de classe NAC (Network Access Control).
  • Élimination de l'interaction directe utilisateurs externes disposant des ressources des systèmes d'information d'entreprise utilisant des passerelles d'accès intermédiaires avec des outils de sécurité des informations d'entreprise superposés (serveur de terminal, système de virtualisation de bureau VDI), y compris la possibilité d'enregistrer les actions des utilisateurs externes à l'aide de l'enregistrement vidéo ou texte de la session. La mesure est mise en œuvre à l'aide de systèmes d'accès aux terminaux, systèmes de classe PUM (Privileged User Management).
  • Segmentation du réseau basé sur le principe de suffisance nécessaire pour exclure les autorisations redondantes d'interaction réseau, limitant la possibilité de propagation de logiciels malveillants dans le réseau d'entreprise en cas d'infection de l'un des serveurs/postes utilisateurs/machines virtuelles. Il est possible de mettre en œuvre une telle mesure à l'aide de systèmes d'analyse des politiques de pare-feu (NCM / NCCM, Network Configuration (Change) Management), qui fournissent une collecte centralisée des politiques de pare-feu, des paramètres de pare-feu et leur traitement ultérieur dans le but d'émettre automatiquement des recommandations pour leur optimisation, contrôle des changements de politique pare-feu.
  • Détection d'anomalies au niveau des interactions réseau en utilisant des solutions spécialisées de la classe NBA & NBAD (Network Behaviour Analysis, Network Behaviour Anomaly Detection), qui permettent de collecter et d'analyser des informations sur les flux de données, de profiler le trafic pour chaque hôte du réseau afin d'identifier les écarts par rapport au profil « normal ». Cette classe de solutions révélera :

    O analyse de l’environnement de l’hôte infecté ;
    o vecteur d'infection ;
    o statut de l'hôte : « analysé », « infecté et scannant les autres » ;
    o flux unidirectionnels ;
    o flux anormaux ;
    o épidémies virales ;
    o attaques distribuées ;
    o une image des flux existants.

  • Désactivation des hôtes infectés(postes de travail automatisés, serveurs, machines virtuelles, etc.) depuis le réseau. Cette mesure est applicable si au moins un des hôtes du réseau d'entreprise est infecté, mais est nécessaire pour localiser et prévenir une épidémie virale. Les postes de travail du réseau peuvent être déconnectés soit par le personnel administratif informatique et de sécurité de l'information, soit automatiquement lorsque des signes de menace sont détectés sur l'hôte protégé (en corrélant les événements de sécurité, en mettant en place des actions automatisées pour bloquer toutes les activités réseau sur l'hôte / déconnecter le hôte du réseau au niveau du switch, etc.).

Mesures de défense proactives au niveau de l'hôte

  • Assurer la protection contre les accès non autorisés postes de travail, serveurs, machines virtuelles grâce à une authentification améliorée des utilisateurs, surveillant l'intégrité du système d'exploitation, bloquant le chargement du système à partir de supports externes pour empêcher les intrus d'infecter le réseau d'entreprise dans le périmètre du réseau. Cette mesure est mise en œuvre par les solutions de la classe SZI de NSD / Endpoint Protection.
  • Fournir une protection antivirus sur tous les nœuds du réseau de l’organisation. Le logiciel antivirus doit détecter les faits d'infection virale de la RAM, des supports de stockage locaux, des volumes, des répertoires, des fichiers, ainsi que des fichiers reçus via les canaux de communication, les messages électroniques sur les postes de travail, les serveurs, les machines virtuelles en temps réel, traiter, supprimer ou isoler. menaces. Les bases de données de signatures de logiciels antivirus doivent être régulièrement mises à jour et maintenues à jour.
  • Assurer le suivi et le contrôle des actions logicielles sur les hôtes protégés en surveillant les services lancés et en analysant heuristiquement leur fonctionnement. Cette mesure est mise en œuvre par des solutions de classe HIPS (Host Intrusion Prevention).
  • Assurer le contrôle de la connexion des appareils externes, bloquant les ports inutilisés sur les hôtes protégés pour empêcher les appareils non autorisés de se connecter aux hôtes protégés : à la fois des supports de stockage contenant des programmes potentiellement malveillants et des passerelles d'accès Internet externes (par exemple, un modem 4G), fournissant un canal d'accès Internet non contrôlé et non protégé. Cette mesure est mise en œuvre par les solutions de la classe SZI de NSD / Endpoint Protection.
  • Assurer une protection avancée de l'hôte grâce à l'analyse comportementale fonctionnement des processus sur les hôtes protégés, machine learning, analyse heuristique des fichiers, contrôle des applications, protection contre les exploits pour identifier et bloquer les menaces inconnues (menaces zero-day) en temps réel. Cette mesure est mise en œuvre par les solutions de classe NGEPP (Next Generation Endpoint Protection).
  • Utiliser des solutions de protection contre les ransomwares basées sur des agents, cryptant les données sur l'hôte infecté. Ceux-ci incluent :
    o Systèmes de protection productifs contre les attaques ciblées et les attaques zero-day avec une architecture client-serveur. Le logiciel client est installé sur l'hôte protégé, protège en temps réel contre les menaces du jour zéro, les virus qui chiffrent les données du système, décrypte les données cryptées par les logiciels malveillants (s'il y a un agent, avant une tentative d'infection), supprime les rançongiciels et protège contre les attaques de phishing. Le logiciel client permet de contrôler tous les canaux d'accès à l'hôte : trafic Web, supports de stockage aliénés, courrier électronique, accès au réseau local, logiciels malveillants dans le trafic crypté (VPN).
    o Les systèmes de protection des clients contre les menaces zero-day (sandbox) sont accessibles au public (sandboxie, cuckoo sandbox, shadow Defender, etc.).
    o Systèmes clients pour la protection contre les menaces zero-day basées sur la microvirtualisation (Bromium vSentry), fournissant une analyse comportementale des fichiers potentiellement malveillants dans un environnement isolé du matériel (infrastructure microvirtuelle).
  • Fournir un pare-feu au niveau de l'hôte utiliser des pare-feu logiciels pour restreindre l'accès aux ressources du réseau de l'entreprise, limiter la propagation des logiciels malveillants en cas d'infection de l'hôte, bloquer les ports et protocoles réseau inutilisés.

Autres mesures de protection contre les ransomwares

En plus des mesures ci-dessus, les mesures suivantes aideront à prévenir une attaque ciblée sur un réseau d'entreprise :
  • Assurer une analyse régulière de la sécurité de l'infrastructure informatique - analyser les nœuds du réseau pour rechercher des vulnérabilités connues dans les logiciels système et d'application. Cette mesure garantit une détection rapide des vulnérabilités et permet de les éliminer avant qu'elles ne soient exploitées par des attaquants. Le système d'analyse de sécurité résout également les problèmes de surveillance des appareils réseau et des appareils connectés aux postes de travail des utilisateurs (par exemple, un modem 4G).
  • La collecte et la corrélation des événements permettent une approche globale de détection des ransomwares sur le réseau basée sur les systèmes SIEM, puisque cette méthode fournit une image globale de l'infrastructure informatique de l'entreprise. L'efficacité du SIEM réside dans le traitement des événements envoyés depuis divers composants de l'infrastructure, y compris la sécurité de l'information, sur la base de règles de corrélation, ce qui permet d'identifier rapidement les incidents potentiels liés à la propagation des ransomwares.

Donner la priorité aux mesures de protection contre les ransomwares

Une protection complète et fiable contre les attaques ciblées est assurée par un ensemble de mesures organisationnelles et techniques, classées dans les groupes suivants :
  • Un ensemble de mesures de base que toutes les organisations doivent mettre en œuvre pour se protéger contre les attaques ciblées et les ransomwares.
  • Un ensemble élargi de mesures applicables aux moyennes et grandes organisations ayant des coûts de traitement de l'information élevés.
  • Un ensemble avancé de mesures applicables aux moyennes et grandes organisations disposant d'une infrastructure informatique et de sécurité de l'information avancée et d'un coût élevé des informations traitées.


Figure 2. Priorité aux mesures de protection contre les ransomwares

Mesures de protection contre les ransomwares pour les utilisateurs finaux

La menace d'infection par un virus ransomware concerne également les utilisateurs finaux d'Internet, pour lesquels certaines mesures de prévention de l'infection s'appliquent également :
  • installation en temps opportun des mises à jour du logiciel système ;
  • utilisation d'antivirus ;
  • mise à jour en temps opportun des bases de données de signatures antivirus ;
  • en utilisant des outils de protection disponibles gratuitement contre les logiciels malveillants qui cryptent les données sur un ordinateur : RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker, etc. L'installation d'outils de protection de cette classe est applicable si des données critiques non réservées sont stockées sur l'ordinateur et une protection antivirus fiable les outils ne sont pas installés.

Vulnérabilité des appareils mobiles (Android, iOS)

Les appareils mobiles « intelligents » (smartphones, tablettes) font désormais partie intégrante de la vie : le nombre d'appareils mobiles activés, d'applications mobiles et le volume du trafic mobile augmentent chaque année. Si auparavant les téléphones mobiles ne stockaient qu'une base de données de contacts, ils sont désormais des référentiels de données critiques pour l'utilisateur : photos, vidéos, calendriers, documents, etc. Les appareils mobiles sont de plus en plus utilisés dans le secteur des entreprises (croissance annuelle de 20 à 30 %). . Et par conséquent, l'intérêt des attaquants pour les plateformes mobiles augmente, notamment du point de vue de l'extorsion d'argent à l'aide de chevaux de Troie. Selon Kaspersky Lab, au 1er trimestre 2017, les ransomwares représentaient 16 % du nombre total de malwares (au 4e trimestre 2016, cette valeur ne dépassait pas 5 %). La plus grande proportion de chevaux de Troie destinés aux plates-formes mobiles sont écrits pour le système d'exploitation mobile le plus populaire, à savoir Android, mais des chevaux de Troie similaires existent également pour iOS.

Mesures de protection pour les appareils mobiles :

  • Pour le secteur des entreprises :
    o l'utilisation de systèmes de classe Mobile Device Management (MDM) qui permettent de contrôler l'installation des mises à jour du logiciel système, les installations d'applications et le contrôle de la présence de droits de superutilisateur ;
    o pour protéger les données d'entreprise sur les appareils mobiles de l'utilisateur - systèmes de classe Mobile Information Management (MIM) qui permettent le stockage des données d'entreprise dans un conteneur crypté isolé du système d'exploitation de l'appareil mobile ;
    o utilisation de systèmes de classe Mobile Threat Prevention qui permettent de contrôler les autorisations accordées aux applications et d'analyser le comportement des applications mobiles.
  • Pour les utilisateurs finaux :
    o utiliser les magasins officiels pour installer des applications ;
    o mise à jour en temps opportun du logiciel système ;
    o empêcher la navigation à travers des ressources non fiables et l'installation d'applications et de services non fiables.

Conclusions

La facilité de mise en œuvre et le faible coût d’organisation des cyberattaques (Ransomware, DDoS, attaques sur applications web, etc.) entraînent une augmentation du nombre de cybercriminels tout en réduisant simultanément le niveau moyen de connaissance technique de l’attaquant. À cet égard, la probabilité de menaces pour la sécurité de l'information dans le secteur des entreprises et la nécessité d'une protection complète augmentent fortement.

Par conséquent, chez Informzashita, nous nous concentrons sur les défis modernes en matière de sécurité de l’information et garantissons la protection de l’infrastructure de nos clients contre les menaces les plus récentes, y compris inconnues. En créant et en mettant en œuvre des modèles adaptatifs complexes pour contrer les menaces liées à la sécurité de l'information, nous savons comment prédire, prévenir, détecter et répondre aux cybermenaces. L'essentiel est de le faire dans les meilleurs délais.

Toute méthode d’attaque se caractérise par un certain ensemble de caractéristiques. Les signes typiques d’attaques sont les suivants : :

1) Répétition de certains événements et actions. Par exemple, accéder aux ports (scan), deviner un mot de passe, répéter des demandes d'établissement de connexion, entraînant un débordement de file d'attente ou de tampon ;

2) Paramètres inattendus dans les paquets réseau

· attributs d'adresse inattendus (par exemple, adresses IP non routables ou réservées, valeur du champ du port source ou de destination nulle, demande de serveurs non standard) ;

· paramètres inattendus des indicateurs de paquets réseau (par exemple, lorsque l'indicateur ACK est activé, le numéro d'accusé de réception est zéro ; il y a deux indicateurs SYN+FIN mutuellement exclusifs dans un paquet ; la présence uniquement de l'indicateur FIN ; l'utilisation d'une combinaison des drapeaux SYN+RST et RST+FIN) ;

· attributs d'heure ou de date inattendus ;

3) Paramètres de trafic réseau inappropriés

· paramètres du trafic entrant (par exemple, paquets entrant de l'extérieur dans le réseau local et ayant une adresse source correspondant à la plage d'adresses du réseau interne) ;

· paramètres du trafic sortant (par exemple, paquets sortant du réseau local avec une adresse source correspondant à la plage d'adresses du réseau externe) ;

· commandes qui ne correspondent pas à la situation actuelle (demandes ou réponses incorrectes) ;

· anomalies du trafic réseau (par exemple, changements dans le facteur de charge, la taille des paquets, le nombre moyen de paquets fragmentés) ;

4) Attributs de performances du système inappropriés

· caractéristiques anormales du système (charge CPU importante, accès intensif à la RAM ou à la mémoire disque, fichiers) ;

· écart entre les caractéristiques de performance des utilisateurs et leurs profils (écart par rapport aux temps de chargement de pointe et minimum, par rapport à la durée d'une session de travail typique, par rapport à l'heure habituelle d'entrée et de sortie du système).

Principales options pour mettre en œuvre des attaques informatiques

Les attaques peuvent être menées via une connexion directe ou réseau au système. Par conséquent, il existe deux options principales pour mettre en œuvre des attaques :

1) système – dans lequel on suppose que l'attaquant dispose déjà d'un compte sur le système attaqué avec certains privilèges (généralement faibles) ou qu'il est possible de se connecter au système en tant qu'utilisateur anonyme. Dans ce cas, l'attaque est menée par l'attaquant se connectant au système sous ce compte et obtenant des pouvoirs administratifs supplémentaires. À la suite de l'attaque, un accès non autorisé aux informations sur l'objet (hôte) est obtenu. Ce type d'attaque peut notamment être réalisé à l'aide du programme GetAdmin.

2) réseau– ce qui implique que l’intrus tente de pénétrer à distance dans le système via le réseau. Une telle pénétration est possible lorsque l’ordinateur de l’intrus se trouve dans le même segment de réseau, dans des segments différents ou avec un accès à distance à l’objet attaqué (par exemple, en utilisant des connexions par ligne commutée ou par modem dédié). À la suite de telles attaques, l'attaquant peut être capable de contrôler à distance un ordinateur via un réseau, d'accéder aux ressources d'informations de l'objet attaqué, de modifier son mode de fonctionnement, y compris un déni de service. Les programmes NetBus ou BackOrifice peuvent être utilisés comme programmes vous permettant de mettre en œuvre des attaques réseau.



Pour mettre en œuvre des attaques, certaines commandes (séquences de commandes) peuvent être utilisées dans l'interface de ligne de commande, des scripts, des programmes ou des agents autonomes installés sur un ou répartis sur plusieurs nœuds (ordinateurs) du réseau.

Il n’existe toujours pas de définition précise du terme « attaque » (invasion, attaque). Chaque spécialiste de la sécurité l'interprète différemment. Je considère la définition suivante comme la plus correcte et la plus complète.

Attaque les attaques contre un système d'information sont des actions délibérées d'un attaquant qui exploitent les vulnérabilités du système d'information et conduisent à une violation de la disponibilité, de l'intégrité et de la confidentialité des informations traitées.

Si nous éliminons les vulnérabilités du système d’information, nous éliminerons également les possibilités d’attaques.

On ignore actuellement combien de méthodes d’attaque existent. On dit qu'il n'y a toujours pas de recherche mathématique sérieuse dans ce domaine. Mais en 1996, Fred Cohen a décrit les bases mathématiques de la technologie virale. Ces travaux ont prouvé que le nombre de virus est infini. Évidemment, le nombre d’attaques est infini, puisque les virus constituent un sous-ensemble de nombreuses attaques.

Modèles d'attaque

Modèle d'attaque traditionnel est construit selon le principe (Fig. 1) ou (Fig. 2), c'est-à-dire l'attaque vient d'une seule source. Les développeurs d’outils de sécurité réseau (pare-feu, systèmes de détection d’attaques, etc.) se concentrent spécifiquement sur le modèle d’attaque traditionnel. Des agents (capteurs) du système de protection sont installés en différents points du réseau protégé, qui transmettent des informations à la console centrale de gestion. Cela facilite la mise à l'échelle du système, facilite la gestion à distance, etc. Cependant, ce modèle ne fait pas face à une menace découverte relativement récemment (en 1998) : les attaques distribuées.
Figure 1. Relation un-à-un

Le modèle d'attaque distribuée utilise différents principes. Contrairement au modèle traditionnel dans un modèle distribué les relations (Fig. 3) et (Fig. 4) sont utilisées.

Les attaques distribuées s'appuient sur des attaques par déni de service « classiques », et plus particulièrement sur un sous-ensemble d'entre elles appelé Attaques d'inondation ou Attaques de tempête(ces termes peuvent être traduits par « tempête », « inondation » ou « avalanche »). Le but de ces attaques est d'envoyer un grand nombre de paquets au nœud attaqué. Le nœud attaqué peut échouer car il sera « étouffé » par l’avalanche de paquets envoyés et ne pourra pas traiter les demandes des utilisateurs autorisés. Les attaques SYN-Flood, Smurf, UDP Flood, Targa3, etc. fonctionnent sur ce principe. Cependant, si la bande passante du canal vers le nœud attaqué dépasse la bande passante de l'attaquant ou si le nœud attaqué est mal configuré, alors une telle attaque ne mènera pas au « succès ». Par exemple, il est inutile d’essayer de perturber votre FAI à l’aide de ces attaques. Mais une attaque distribuée ne se produit plus à partir d'un point sur Internet, mais à partir de plusieurs à la fois, ce qui entraîne une forte augmentation du trafic et désactive le nœud attaqué. Par exemple, selon Russia-Online, pendant deux jours, à partir de 9 heures du matin le 28 décembre 2000, le plus grand fournisseur d'accès Internet d'Arménie, Arminco, a été soumis à une attaque généralisée. Dans ce cas, plus de 50 machines de différents pays se sont jointes à l'attaque et ont envoyé des messages dénués de sens à l'adresse d'Arminco. Il a été impossible d’établir qui a organisé cette attaque et dans quel pays se trouvait le pirate informatique. Même si c'est surtout Arminco qui a été attaqué, l'ensemble de l'autoroute reliant l'Arménie au World Wide Web a été surchargé. Le 30 décembre, grâce à la coopération d'"Arminco" et d'un autre fournisseur - "ArmenTel" - la connexion a été entièrement rétablie. Malgré cela, l’attaque informatique s’est poursuivie, mais avec moins d’intensité.

Étapes de mise en œuvre de l'attaque

On distingue les étapes suivantes de l'attaque :

Habituellement, lorsqu’ils parlent d’attaque, ils pensent à la deuxième étape, en oubliant la première et la dernière. La collecte d’informations et la réalisation d’une attaque (« couvrir les traces ») peuvent également constituer une attaque et peuvent être divisées en trois étapes (voir Fig. 5).
Figure 5. Étapes de mise en œuvre de l'attaque

La collecte d'informations est l'étape principale de l'attaque. C’est à ce stade que l’efficacité de l’attaquant est la clé du « succès » de l’attaque. Tout d'abord, la cible de l'attaque est sélectionnée et des informations la concernant sont collectées (type et version du système d'exploitation, ports ouverts et services réseau en cours d'exécution, logiciels système et d'application installés et leur configuration, etc.). Ensuite, les points les plus vulnérables du système attaqué sont identifiés, dont l'impact conduit au résultat souhaité pour l'attaquant. L'attaquant tente d'identifier tous les canaux d'interaction entre la cible de l'attaque et les autres nœuds. Cela vous permettra de sélectionner non seulement le type d’attaque à mettre en œuvre, mais également la source de sa mise en œuvre. Par exemple, le nœud attaqué interagit avec deux serveurs exécutant Unix et Windows NT. Le nœud attaqué a une relation de confiance avec un serveur, mais pas avec l'autre. Le serveur via lequel l'attaquant mettra en œuvre l'attaque détermine quelle attaque sera utilisée, quels moyens de mise en œuvre seront choisis, etc. Ensuite, en fonction des informations reçues et du résultat souhaité, l'attaque qui donne le plus d'effet est sélectionnée. Par exemple:
SYN Flood, Teardrop, UDP Bomb - pour perturber le fonctionnement du nœud ;
Script CGI - pour pénétrer dans un nœud et voler des informations ;
PHF - pour voler un fichier de mots de passe et deviner un mot de passe à distance, etc.

Les moyens de protection traditionnels, tels que les pare-feu ou les mécanismes de filtrage des routeurs, n'entrent en vigueur qu'à la deuxième étape de l'attaque, « oubliant » complètement la première et la troisième. Cela conduit au fait qu’il est souvent très difficile d’arrêter l’attaque, même avec des défenses puissantes et coûteuses. Les attaques distribuées en sont un exemple. Il serait logique que les équipements de protection commencent à fonctionner dès la première étape, c'est-à-dire empêcherait la possibilité de collecter des informations sur le système attaqué. Cela permettrait, sinon d’empêcher complètement l’attaque, du moins de compliquer considérablement le travail de l’attaquant. Les moyens traditionnels ne permettent pas non plus de détecter les attaques déjà commises et d'évaluer les dégâts après leur mise en œuvre, c'est-à-dire ne travaillez pas à la troisième étape de l'attaque. Il est donc impossible de déterminer des mesures permettant de prévenir de telles attaques à l’avenir.

En fonction du résultat souhaité, l'attaquant se concentre sur l'une ou l'autre étape de l'attaque. Par exemple:
en cas de déni de service, le réseau attaqué est analysé en détail, les failles et les faiblesses sont recherchées ;
pour le vol d'informations, l'accent est mis sur la pénétration silencieuse des nœuds attaqués en utilisant des vulnérabilités précédemment découvertes.

Considérons les principaux mécanismes de mise en œuvre des attaques. Ceci est nécessaire pour comprendre comment détecter ces attaques. De plus, comprendre le fonctionnement des attaquants est la clé d’une défense réussie du réseau.

1. Collecte d'informations

La première étape de la mise en œuvre des attaques consiste à collecter des informations sur le système ou le nœud attaqué. Cela comprend des actions telles que la détermination de la topologie du réseau, le type et la version du système d'exploitation du nœud attaqué, ainsi que le réseau et autres services disponibles, etc. Ces actions sont mises en œuvre selon diverses méthodes.

Explorer l'environnement

À ce stade, l’attaquant explore l’environnement réseau autour de la cible prévue de l’attaque. Ces zones incluent par exemple les hôtes du fournisseur Internet de la victime ou les hôtes du bureau distant de l'entreprise attaquée. A ce stade, l'attaquant peut tenter de déterminer les adresses de systèmes « de confiance » (par exemple, le réseau d'un partenaire) et de nœuds directement connectés à la cible de l'attaque (par exemple, un routeur FAI), etc. De telles actions sont assez difficiles à détecter car elles s'effectuent sur une période de temps assez longue et en dehors de la zone contrôlée par les mesures de sécurité (pare-feux, systèmes de détection d'intrusion, etc.).

Identification de la topologie du réseau

Il existe deux méthodes principales utilisées par les attaquants pour déterminer la topologie du réseau :

  1. Changement TTL (modulation TTL),
  2. enregistrer l'itinéraire.

La première méthode utilise traceroute pour les programmes Unix et tracert pour Windows. Ils utilisent un champ Time to Live dans l’en-tête du paquet IP, qui varie en fonction du nombre de routeurs traversés par le paquet réseau. L'utilitaire ping peut être utilisé pour enregistrer l'itinéraire d'un paquet ICMP. Souvent, la topologie du réseau peut être déterminée à l'aide du protocole SNMP installé sur de nombreux périphériques réseau dont la sécurité n'est pas configurée correctement. Grâce au protocole RIP, vous pouvez tenter d'obtenir des informations sur la table de routage du réseau, etc.

Beaucoup de ces méthodes sont utilisées par les systèmes de gestion modernes (par exemple, HP OpenView, Cabletron SPECTRUM, MS Visio, etc.) pour créer des cartes de réseau. Et ces mêmes méthodes peuvent être utilisées avec succès par les attaquants pour créer une carte du réseau attaqué.

Identification du nœud

En règle générale, un hôte est identifié en envoyant la commande ICMP ECHO_REQUEST à l'aide de l'utilitaire ping. Le message de réponse ECHO_REPLY indique que le nœud est accessible. Il existe des programmes disponibles gratuitement qui automatisent et accélèrent le processus d'identification parallèle d'un grand nombre de nœuds, par exemple fping ou nmap. Le danger de cette méthode est que les requêtes ECHO_REQUEST ne sont pas enregistrées par les outils de nœuds standards. Pour ce faire, vous devez utiliser des outils d’analyse du trafic, des pare-feu ou des systèmes de détection d’attaques.

Il s'agit de la méthode la plus simple pour identifier les nœuds. Elle présente cependant deux inconvénients.

  1. De nombreux périphériques et programmes réseau bloquent les paquets ICMP et ne leur permettent pas d'entrer dans le réseau interne (ou, à l'inverse, ne leur permettent pas de passer à l'extérieur). Par exemple, MS Proxy Server 2.0 n'autorise pas les paquets à passer par le protocole ICMP. Le résultat est une image incomplète. D'un autre côté, le blocage d'un paquet ICMP indique à l'attaquant la présence d'une « première ligne de défense » : routeurs, pare-feu, etc.
  2. L'utilisation de requêtes ICMP permet de détecter facilement leur source, ce qui ne peut bien entendu pas être la tâche d'un attaquant.

Il existe une autre méthode pour identifier les nœuds - en utilisant le mode "mixte" de la carte réseau, qui vous permet d'identifier différents nœuds dans le segment de réseau. Mais cela n'est pas applicable dans les cas où le trafic du segment de réseau n'est pas accessible à l'attaquant depuis son nœud, c'est-à-dire Cette méthode n'est applicable que sur les réseaux locaux. Une autre façon d'identifier les nœuds du réseau est ce que l'on appelle la reconnaissance DNS, qui vous permet d'identifier les nœuds du réseau d'entreprise en contactant le serveur de service de noms.

Identification du service ou analyse des ports

L'identification des services s'effectue généralement par détection des ports ouverts (port scanning). De tels ports sont très souvent associés à des services basés sur les protocoles TCP ou UDP. Par exemple:

  • le port ouvert 80 implique la présence d'un serveur Web,
  • Port 25 - Serveur de messagerie SMTP,
  • 31337ème - partie serveur du cheval de Troie BackOrifice,
  • 12345ème ou 12346ème - partie serveur du cheval de Troie NetBus, etc.
Divers programmes peuvent être utilisés pour identifier les services et analyser les ports, incl. et distribué gratuitement. Par exemple, nmap ou netcat.

Identification du système d'exploitation

Le principal mécanisme de détection du système d'exploitation à distance est l'analyse des réponses aux requêtes, en tenant compte des différentes implémentations de la pile TCP/IP dans différents systèmes d'exploitation. Chaque système d'exploitation implémente la pile de protocoles TCP/IP à sa manière, ce qui permet de déterminer quel système d'exploitation est installé sur un hôte distant à l'aide de requêtes et de réponses spéciales.

Un autre moyen, moins efficace et extrêmement limité, d'identifier les systèmes d'exploitation hôtes consiste à analyser les services réseau découverts à l'étape précédente. Par exemple, un port 139 ouvert nous permet de conclure que l'hôte distant exécute très probablement un système d'exploitation Windows. Divers programmes peuvent être utilisés pour déterminer le système d'exploitation. Par exemple, nmap ou queso.

Définir un rôle de nœud

L'avant-dernière étape de la collecte d'informations sur l'hôte attaqué consiste à déterminer son rôle, par exemple en remplissant les fonctions de pare-feu ou de serveur Web. Cette étape est effectuée sur la base des informations déjà collectées sur les services actifs, les noms d'hôtes, la topologie du réseau, etc. Par exemple, un port 80 ouvert peut indiquer la présence d'un serveur Web, le blocage d'un paquet ICMP indique la présence potentielle d'un pare-feu et le nom d'hôte DNS proxy.domain.ru ou fw.domain.ru parle de lui-même.

Détermination des vulnérabilités de l'hôte

La dernière étape consiste à rechercher les vulnérabilités. A cette étape, l'attaquant, à l'aide de divers moyens automatisés ou manuellement, identifie des vulnérabilités pouvant être exploitées pour mener une attaque. ShadowSecurityScanner, nmap, Retina, etc. peuvent être utilisés comme outils automatisés.

2. Mise en œuvre de l'attaque

A partir de ce moment commence une tentative d'accès au nœud attaqué. Dans ce cas, l'accès peut être soit direct, c'est-à-dire pénétration d'un nœud, ou indirectement, par exemple, lors de la mise en œuvre d'une attaque par déni de service. La mise en œuvre des attaques en cas d'accès direct peut également être divisée en deux étapes :

  • pénétration;
  • établir le contrôle.

Pénétration

La pénétration consiste à percer les défenses périmétriques (par exemple, un pare-feu). Cela peut être réalisé de différentes manières. Par exemple, en exploitant une vulnérabilité d'un service informatique tournée vers l'extérieur ou en transmettant du contenu hostile par courrier électronique (macros virus) ou via des applets Java. Un tel contenu peut utiliser ce que l'on appelle des « tunnels » dans le pare-feu (à ne pas confondre avec les tunnels VPN), à travers lesquels l'attaquant pénètre ensuite. Cette étape comprend également la sélection du mot de passe d'un administrateur ou d'un autre utilisateur à l'aide d'un utilitaire spécialisé (par exemple, L0phtCrack ou Crack).

Établir le contrôle

Après pénétration, l’attaquant prend le contrôle du nœud attaqué. Cela peut être fait en introduisant un programme cheval de Troie (par exemple NetBus ou BackOrifice). Après avoir pris le contrôle du nœud souhaité et parcouru ses traces, l'attaquant peut effectuer à distance toutes les actions non autorisées nécessaires à l'insu du propriétaire de l'ordinateur attaqué. Dans ce cas, l'établissement du contrôle sur le nœud du réseau d'entreprise doit être maintenu même après le redémarrage du système d'exploitation. Cela peut être fait en remplaçant l'un des fichiers de démarrage ou en insérant un lien vers un code hostile dans les fichiers de démarrage ou le registre système. Il existe un cas connu où un attaquant a pu reprogrammer l'EEPROM d'une carte réseau et même après avoir réinstallé le système d'exploitation, il a pu réimplémenter des actions non autorisées. Une modification plus simple de cet exemple consiste à intégrer le code ou l'extrait requis dans un script de démarrage réseau (par exemple, pour Novell Netware OS).

Objectifs des attaques

La dernière étape de l’attaque consiste à « dissimuler les traces » de l’attaquant. Ceci est généralement accompli en supprimant les entrées correspondantes des journaux de l'hôte et en effectuant d'autres actions qui ramènent le système attaqué à son état d'origine « pré-attaqué ».

Classification des attaques

Il existe différents types de classifications d'attaques. Par exemple, la division en passif et actif, externe et interne, intentionnel et non intentionnel. Cependant, afin de ne pas vous confondre avec une grande variété de classifications peu utiles en pratique, je vous propose une classification plus « réaliste » :

  1. Pénétration à distance. Attaques qui permettent de contrôler à distance un ordinateur sur un réseau. Par exemple, NetBus ou BackOrifice.
  2. Pénétration locale. Une attaque qui entraîne un accès non autorisé à l'hôte sur lequel elle est lancée. Par exemple, GetAdmin.
  3. Déni de service à distance. Attaques qui perturbent ou surchargent un ordinateur sur Internet. Par exemple, Teardrop ou trin00.
  4. Déni de service local. Attaques qui permettent de perturber ou de surcharger l'ordinateur sur lequel elles sont mises en œuvre. Un exemple d’une telle attaque est une applet « hostile » qui charge le processeur dans une boucle infinie, rendant impossible le traitement des requêtes provenant d’autres applications.
  5. Scanners réseau. Programmes qui analysent la topologie du réseau et détectent les services pouvant être attaqués. Par exemple, le système nmap.
  6. Scanners de vulnérabilités. Programmes qui recherchent des vulnérabilités sur les nœuds du réseau et qui peuvent être utilisés pour mener des attaques. Par exemple, le système SATAN ou ShadowSecurityScanner.
  7. Crackers de mots de passe. Programmes qui « devinent » les mots de passe des utilisateurs. Par exemple, L0phtCrack pour Windows ou Crack pour Unix.
  8. Analyseurs de protocole (renifleurs). Programmes qui « écoutent » le trafic réseau. À l'aide de ces programmes, vous pouvez rechercher automatiquement des informations telles que des identifiants et des mots de passe d'utilisateur, des informations de carte de crédit, etc. Par exemple, Microsoft Network Monitor, NetXRay de Network Associates ou LanExplorer.

Systèmes de sécurité Internet, Inc. a encore réduit le nombre de catégories possibles, les ramenant à 5 :

  1. Collecte d'informations.
  2. Tentatives d'accès non autorisées.
  3. Déni de service.
  4. Activité suspecte.
  5. Attaques du système.

Les 4 premières catégories concernent les attaques à distance, et la dernière - les attaques locales mises en œuvre sur le nœud attaqué. On peut noter que cette classification n'inclut pas toute une classe d'attaques dites « passives » (« écoute clandestine du trafic », « faux serveur DNS », « usurpation de serveur ARP », etc.).

La classification des attaques mises en œuvre dans de nombreux systèmes de détection d’attaques ne peut être catégorique. Par exemple, une attaque dont la mise en œuvre sur le système d'exploitation Unix (par exemple, un débordement de tampon statistique) peut avoir les conséquences les plus désastreuses (priorité la plus élevée), sur le système d'exploitation Windows NT peut ne pas être applicable du tout ou présenter un degré de risque très faible. De plus, il existe une confusion dans les noms mêmes des attaques et des vulnérabilités. La même attaque peut porter des noms différents selon les fabricants de systèmes de détection d'attaques.

L'une des meilleures bases de données de vulnérabilités et d'attaques est la base de données X-Force, située à l'adresse : http://xforce.iss.net/. Il est accessible soit en s'abonnant à la liste de diffusion X-Force Alert distribuée gratuitement, soit en effectuant une recherche interactive dans la base de données sur le serveur Web de l'ISS.

Conclusion

Sans les vulnérabilités des composants du système d’information, de nombreuses attaques ne seraient pas possibles et, par conséquent, les systèmes de sécurité traditionnels seraient très efficaces pour faire face à d’éventuelles attaques. Cependant, les programmes sont écrits par des personnes qui ont tendance à faire des erreurs. En conséquence, des vulnérabilités apparaissent qui sont utilisées par les attaquants pour mener des attaques. Cependant, ce n’est que la moitié de l’histoire. Si toutes les attaques étaient basées sur un modèle individuel, ce serait un peu exagéré, mais les pare-feu et autres systèmes de sécurité seraient également capables d'y résister. Mais des attaques coordonnées ont vu le jour, contre lesquelles les moyens traditionnels ne sont plus aussi efficaces. Et c’est là qu’apparaissent de nouvelles technologies : les technologies de détection des attaques. La systématisation ci-dessus des données sur les attaques et les étapes de leur mise en œuvre fournit la base nécessaire pour comprendre les technologies de détection des attaques.

Outils de détection d'attaques informatiques

La technologie de détection d’intrusion doit résoudre les problèmes suivants :

  • Reconnaissez les attaques connues et alertez le personnel approprié.
  • « Comprendre » les sources souvent obscures d’informations sur les attaques.
  • Soulager ou réduire le fardeau du personnel de sécurité lié à la surveillance de routine des utilisateurs, des systèmes et des réseaux qui sont des composants du réseau d'entreprise.
  • Capacité à gérer les contrôles de sécurité par des experts non-sécurité.
  • Contrôle de toutes les actions des sujets du réseau d'entreprise (utilisateurs, programmes, processus, etc.).

Très souvent systèmes de détection d'attaques peuvent exécuter des fonctions qui élargissent considérablement la gamme de leurs applications. Par exemple,

  • Surveillance de l'efficacité des pare-feux. Par exemple, installer un système de détection d'attaques après pare-feu(au sein d'un réseau d'entreprise) permet de détecter les attaques manquées par le pare-feu et ainsi de déterminer les règles manquantes sur le pare-feu.
  • Surveillance des nœuds de réseau avec des mises à jour désinstallées ou des nœuds avec des logiciels obsolètes.
  • Bloquer et contrôler l'accès à certains sites Internet. Bien que les systèmes de détection d'attaques soient loin des pare-feu et des systèmes de contrôle d'accès pour diverses URL, par exemple WEBsweeper, ils peuvent effectuer un contrôle partiel et bloquer l'accès de certains utilisateurs du réseau d'entreprise à certaines ressources Internet, par exemple aux serveurs Web avec du contenu pornographique. Cela est nécessaire lorsque l'organisation n'a pas l'argent nécessaire pour acheter à la fois un pare-feu et un système de détection d'attaques, et que les fonctions du pare-feu sont réparties entre le système de détection d'attaques, le routeur et le serveur proxy. De plus, les systèmes de détection d'intrusion peuvent surveiller l'accès des employés aux serveurs en fonction de mots clés. Par exemple, le sexe, le travail, le crack, etc.
  • Contrôle des e-mails. Les systèmes de détection d'intrusion peuvent être utilisés pour surveiller les employés peu fiables qui utilisent le courrier électronique pour effectuer des tâches en dehors de leurs responsabilités fonctionnelles, comme l'envoi de CV. Certains systèmes peuvent détecter des virus dans les messages électroniques et, bien qu'ils soient loin d'être de véritables systèmes antivirus, ils accomplissent néanmoins cette tâche de manière assez efficace.

La meilleure utilisation du temps et de l'expérience des professionnels de la sécurité de l'information est de découvrir et d'éliminer les causes des attaques, plutôt que de détecter les attaques elles-mêmes. En éliminant les causes des attaques, c'est-à-dire En identifiant et en éliminant les vulnérabilités, l'administrateur élimine ainsi le fait même d'attaques potentielles. Sinon, l’attaque se répétera encore et encore, nécessitant constamment les efforts et l’attention de l’administrateur.

Classification des systèmes de détection d'attaques

Il existe un grand nombre de classifications différentes de systèmes de détection d'intrusion, mais la plus courante est la classification basée sur le principe de mise en œuvre :

  1. basé sur l'hôte, c'est-à-dire détecter les attaques visant un nœud de réseau spécifique,
  2. basé sur le réseau, c'est-à-dire détecter les attaques visant l'ensemble d'un réseau ou d'un segment de réseau.

Les systèmes de détection d'intrusion qui surveillent un ordinateur individuel collectent et analysent généralement les informations des journaux du système d'exploitation et de diverses applications (serveur Web, SGBD, etc.). RealSecure OS Sensor fonctionne sur ce principe. Cependant, récemment, les systèmes étroitement intégrés au noyau du système d'exploitation se sont répandus, offrant ainsi un moyen plus efficace de détecter les violations des politiques de sécurité. De plus, une telle intégration peut être mise en œuvre de deux manières. Premièrement, tous les appels système du système d'exploitation peuvent être surveillés (c'est ainsi que fonctionne Entercept) ou tout le trafic réseau entrant/sortant (c'est ainsi que fonctionne RealSecure Server Sensor). Dans ce dernier cas, le système de détection d'intrusion capture tout le trafic réseau directement depuis la carte réseau, en contournant le système d'exploitation, ce qui réduit la dépendance à son égard et augmente ainsi la sécurité du système de détection d'intrusion.

Systèmes de détection d'attaques au niveau du réseau collecter des informations sur le réseau lui-même, c'est-à-dire sur le trafic réseau. Ces systèmes peuvent fonctionner sur des ordinateurs ordinaires (par exemple, RealSecure Network Sensor), sur des ordinateurs spécialisés (par exemple, RealSecure pour Nokia ou Cisco Secure IDS 4210 et 4230) ou intégrés dans des routeurs ou des commutateurs (par exemple, CiscoSecure IOS Integrated Software ou Cisco module IDS du Catalyst 6000). Dans les deux premiers cas, les informations analysées sont collectées en capturant et en analysant des paquets utilisant des interfaces réseau de manière promiscuité. Dans ce dernier cas, le trafic est capté depuis le bus des équipements réseau.

La détection des attaques nécessite le respect de l'une des deux conditions suivantes : soit une compréhension du comportement attendu de l'objet système surveillé, soit une connaissance de toutes les attaques possibles et de leurs modifications. Le premier cas utilise la technologie pour détecter un comportement anormal, et le second cas utilise la technologie pour détecter un comportement malveillant ou un abus. La deuxième technologie consiste à décrire l'attaque sous la forme d'un modèle ou d'une signature et à rechercher ce modèle dans un espace contrôlé (par exemple, le trafic réseau ou un journal). Cette technologie est très similaire à la détection de virus (les systèmes antivirus sont un excellent exemple de système de détection d'attaques), c'est-à-dire le système peut détecter toutes les attaques connues, mais il est mal équipé pour détecter de nouvelles attaques, encore inconnues. L’approche mise en œuvre dans de tels systèmes est très simple et c’est sur elle que reposent presque tous les systèmes de détection d’attaques proposés aujourd’hui sur le marché.

Presque tous les systèmes de détection d’attaques reposent sur une approche de signature.

Avantages des systèmes de détection d'intrusion

Nous pourrions continuer encore et encore sur les différents avantages des systèmes de détection d'attaques fonctionnant au niveau de l'hôte et du réseau. Cependant, je me concentrerai uniquement sur quelques-uns d’entre eux.

La commutation permet de gérer des réseaux à grande échelle comme plusieurs petits segments de réseau. Par conséquent, il peut être difficile de déterminer le meilleur emplacement pour installer un système détectant les attaques dans le trafic réseau. Parfois, l’extension des ports sur les commutateurs peut aider, mais pas toujours. La détection des attaques spécifiques à l'hôte permet un fonctionnement plus efficace des réseaux commutés en permettant aux systèmes de détection d'être placés uniquement sur les hôtes où ils sont nécessaires.

Les systèmes de couche réseau ne nécessitent pas l'installation d'un logiciel de détection d'intrusion sur chaque hôte. Étant donné que le nombre d'endroits où les IDS sont installés pour surveiller l'ensemble du réseau est faible, le coût de leur exploitation dans un réseau d'entreprise est inférieur au coût d'exploitation des systèmes de détection d'attaques au niveau du système. De plus, pour surveiller un segment de réseau, un seul capteur est nécessaire, quel que soit le nombre de nœuds dans un segment donné.

Une fois qu'un paquet réseau quitte l'ordinateur de l'attaquant, il ne peut plus être renvoyé. Les systèmes fonctionnant au niveau de la couche réseau utilisent le trafic en direct pour détecter les attaques en temps réel. Ainsi, l'attaquant ne peut pas supprimer les traces de ses activités non autorisées. Les données analysées comprennent non seulement des informations sur la méthode d'attaque, mais également des informations qui peuvent aider à identifier l'attaquant et à le prouver au tribunal. Étant donné que de nombreux pirates informatiques sont familiers avec les mécanismes de journalisation du système, ils savent comment manipuler ces fichiers pour masquer les traces de leurs activités, réduisant ainsi l'efficacité des systèmes au niveau du système qui ont besoin de ces informations pour détecter une attaque.

Les systèmes fonctionnant au niveau du réseau détectent les événements et les attaques suspects dès qu'ils se produisent et fournissent donc des notifications et des réponses beaucoup plus rapides que les systèmes qui analysent les journaux. Par exemple, un pirate informatique lançant une attaque par déni de service réseau basée sur TCP peut être stoppé par un système de détection d'intrusion au niveau de la couche réseau qui envoie un paquet TCP avec l'indicateur Réinitialiser défini dans l'en-tête pour mettre fin à la connexion avec l'hôte attaquant avant. l'attaque provoque une destruction ou des dommages de destruction au nœud attaqué. Les systèmes d'analyse des journaux ne reconnaissent pas les attaques jusqu'à ce qu'une entrée de journal correspondante soit effectuée et prennent des mesures une fois l'entrée effectuée. À ce stade, les systèmes ou les ressources les plus critiques peuvent déjà avoir été compromis ou le système exécutant le système de détection des attaques au niveau de l'hôte peut avoir été perturbé. La notification en temps réel vous permet de répondre rapidement selon des paramètres prédéfinis. Ces réactions vont de l'autorisation d'une intrusion en mode surveillance afin de recueillir des informations sur l'attaque et l'attaquant, jusqu'à la fin immédiate de l'attaque.

Enfin, les systèmes de détection d'intrusion fonctionnant au niveau du réseau sont indépendants des systèmes d'exploitation installés sur le réseau d'entreprise, puisqu'ils fonctionnent sur le trafic réseau échangé entre tous les nœuds du réseau d'entreprise. Le système de détection d'intrusion ne se soucie pas du système d'exploitation qui a généré un paquet particulier, tant qu'il est conforme aux normes prises en charge par le système de détection. Par exemple, Windows 98, Windows NT, Windows 2000 et XP, Netware, Linux, MacOS, Solaris, etc. peuvent fonctionner sur le réseau, mais s'ils communiquent entre eux via IP, alors tout système de détection d'attaque prenant en charge ce protocole sera capable de détecter les attaques visant ces systèmes d'exploitation.

L'utilisation combinée de systèmes de détection d'attaques au niveau du réseau et au niveau de l'hôte améliorera la sécurité de votre réseau.

Systèmes de détection d'attaques réseau et pare-feu

Le plus souvent, on tente de remplacer les systèmes de détection d'attaques réseau par des pare-feu, en s'appuyant sur le fait que ces derniers offrent un très haut niveau de sécurité. Cependant, gardez à l’esprit que les pare-feu sont simplement des systèmes basés sur des règles qui autorisent ou refusent le trafic qui les traverse. Même les pare-feu construits à l'aide de la technologie "" ne permettent pas de dire avec certitude si une attaque est présente ou non dans le trafic qu'ils contrôlent. Ils peuvent déterminer si le trafic correspond ou non à une règle. Par exemple, le pare-feu est configuré pour bloquer toutes les connexions à l'exception des connexions TCP sur le port 80 (c'est-à-dire le trafic HTTP). Ainsi, tout trafic via le port 80 est légal du point de vue de l'UIT. D'un autre côté, un système de détection d'intrusion surveille également le trafic, mais y recherche les signes d'une attaque. Peu importe à quel port le trafic est destiné. Par défaut, tout le trafic est suspect pour le système de détection d'intrusion. Autrement dit, malgré le fait que le système de détection d'intrusion fonctionne avec la même source de données que le pare-feu, c'est-à-dire avec le trafic réseau, ils remplissent des fonctions complémentaires. Par exemple, la requête HTTP « GET /../../../etc/passwd HTTP/1.0 ». Presque toutes les UIT permettent à cette demande de passer par elle-même. Cependant, le système de détection d’attaque détectera facilement cette attaque et la bloquera.

Nous pouvons faire l’analogie suivante. Un pare-feu est un tourniquet ordinaire installé à l'entrée principale de votre réseau. Mais en plus des portes principales, il existe d'autres portes, ainsi que des fenêtres. En se faisant passer pour un véritable employé ou en gagnant la confiance du gardien au tourniquet, un attaquant peut transporter un engin explosif ou un pistolet à travers le tourniquet. Pas seulement ça. Un intrus peut grimper par votre fenêtre. C'est pourquoi nous avons besoin de systèmes de détection d'attaques qui renforcent la protection fournie par les pare-feu, qui constituent un élément certes nécessaire, mais clairement insuffisant de la sécurité des réseaux.

Pare-feu- pas une panacée !

Options pour répondre à une attaque détectée

Il ne suffit pas de détecter une attaque, il faut y répondre en conséquence. Ce sont les options de réponse qui déterminent en grande partie l’efficacité d’un système de détection d’attaques. Actuellement, les options de réponse suivantes sont proposées :

  • Notification à la console (y compris sauvegarde) du système de détection d'intrusion ou à la console d'un système intégré (par exemple un pare-feu).
  • Notification sonore d'une attaque.
  • Génération de séquences de contrôle SNMP pour les systèmes de gestion de réseau.
  • Générer un rapport d'attaque par e-mail.
  • Notifications supplémentaires par téléavertisseur ou fax. Une opportunité très intéressante, bien que rarement exploitée. Une alerte concernant la détection d'une activité non autorisée n'est pas envoyée à l'administrateur, mais à l'attaquant. Selon les partisans de cette option de réponse, le contrevenant, après avoir appris qu'il a été découvert, est contraint d'arrêter ses actions.
  • Enregistrement obligatoire des événements détectés. Les éléments suivants peuvent servir de journal de bord :
    • fichier texte,
    • syslog (par exemple, dans un système Cisco Secure Integrated Software),
    • un fichier texte d'un format spécial (par exemple, dans le système Snort),
    • base de données MS Access locale,
    • Base de données SQL (par exemple, dans le système RealSecure).
    Il vous suffit de prendre en compte que le volume d'informations enregistrées nécessite généralement une base de données SQL - MS SQL ou Oracle.
  • Trace d'événement, c'est-à-dire les enregistrer dans l’ordre et la vitesse avec lesquels l’attaquant les a mis en œuvre. Ensuite, à tout moment, l’administrateur peut rejouer (replay ou replay) la séquence d’événements souhaitée à une vitesse donnée (en temps réel, avec accélération ou décélération) afin d’analyser l’activité de l’attaquant. Cela vous permettra de comprendre ses qualifications, les moyens d'attaque utilisés, etc.
  • Interrompre les actions de l'attaquant, c'est-à-dire mettre fin à la connexion. Cela peut être fait comme :
    • intercepter une connexion (détournement de session) et envoyer un paquet avec l'indicateur RST défini aux deux participants à la connexion réseau au nom de chacun d'eux (dans un système de détection d'attaque fonctionnant au niveau du réseau) ;
    • bloquer le compte utilisateur effectuant l'attaque (dans le système de détection d'attaque au niveau de l'hôte). Un tel blocage peut être effectué soit pendant une période de temps déterminée, soit jusqu'à ce que le compte soit déverrouillé par l'administrateur. Selon les privilèges avec lesquels le système de détection d'attaque est exécuté, le blocage peut opérer à la fois au sein de l'ordinateur lui-même, qui est la cible de l'attaque, et dans l'ensemble du domaine réseau.
  • Reconfiguration des équipements réseaux ou des pare-feux. Si une attaque est détectée, une commande est envoyée au routeur ou au pare-feu pour modifier la liste de contrôle d'accès. Par la suite, toutes les tentatives de connexion du nœud attaquant seront rejetées. Tout comme le blocage du compte d'un attaquant, la modification de la liste de contrôle d'accès peut être effectuée soit pendant une durée déterminée, soit jusqu'à ce que la modification soit annulée par l'administrateur de l'équipement réseau reconfigurable.
  • Bloquer le trafic réseau de la même manière que celui mis en œuvre dans les pare-feu. Cette option vous permet de limiter le trafic, ainsi que les destinataires pouvant accéder aux ressources de l'ordinateur protégé, vous permettant d'exécuter les fonctions disponibles dans les pare-feu personnels.


Des questions ?

Signaler une faute de frappe

Texte qui sera envoyé à nos rédacteurs :

Envoyer