Partager via


Sécurité

Quatre technologies de sécurité dont chaque organisation informatique devrait disposer

Matt Clapham and Todd Thompson

 

Vue d'ensemble:

  • Tableau de bord de gestion des risques
  • Logiciels anti-programme malveillant
  • Détection d’anomalie réseau

Lorsqu’il s’agit de sécurité informatique, la plupart des entreprises ont à peu près les mêmes problèmes à résoudre. Microsoft n’est pas une exception. Nous avons passé deux ans avec l’équipe de conformité et de gestion des risques dans

MMS (Microsoft® Managed Solutions). (Voir « Microsoft recharge le service informatique d'Energizer » pour plus d’informations sur MMS.)

L’équipe de conformité et de gestion des risques doit définir, surveiller et corriger les risques au sein de tous les environnements MMS (aussi bien pour les services client que pour la coordination d’infrastructure). Précédemment, notre responsable, Arjuna Shunn, a reconnu que nous avions besoin d’une solution technologique offrant les contrôles et la surveillance souhaités d’une manière cohésive et centralisée. Les technologies abordées ici sont le résultat direct de nos toutes premières idées, associées à deux ans d’expérience utilisant divers produits Microsoft et produits de parties tierces au sein de nos opérations.

Tout d’abord, nous avions besoin de technologies de sécurité pouvant couvrir les trois types de contrôle primaires (prévention, détection et correction) tout en fournissant audits et rapports. Nous avons vu que cette série d’outils se divise en quatre catégories : tableau de bord de gestion des risques, logiciels anti-programme malveillant, détection d’anomalie réseau et gestion de configuration souhaitée. Nous avons tenté d’inclure au moins un représentant de chacune de ces catégories dans nos opérations de gestion des risques. Et nous avons remarqué qu’en tirant profit des technologies de l’une de ces quatre catégories, l’équipe de sécurité informatique pouvait atteindre un équilibre raisonnable entre le coût et l’efficacité.

Nos deux principales opérations de gestion des risques (réponse relative à un incident lié à la sécurité et gestion de conformité) ont grandement profité de cette approche. Mais nous devons poursuivre nos recherches pour atteindre la coordination souhaitée entre ces outils. Une série cohésive de technologies peut offrir encore plus au niveau de l’efficacité opérationnelle, mais malheureusement l’industrie ne dispose pas encore de ce système intégré.

Heureusement, tout n’est pas perdu pour les équipes de sécurité informatique ; tout n’est qu’une question de temps avant que les quatre systèmes fonctionnent ensemble et interagissent pour le plus grand effet. Lorsque ces systèmes fonctionneront ensemble, non seulement, ils permettront la surveillance active de la sécurité du système, mais ils seront également très utiles lors d’audits ou autres opérations informatiques de routine. Dans cet article, nous décrivons la fonction idéale de chaque système, en l’illustrant de quelques exemples tirés de notre utilisation de service d’exécution.

Tableau de bord de gestion des risques

À notre avis, un tableau de bord de gestion des risques (RMD, Risk Management Dashboard) est essentiel. Il s’agit de la technologie la plus importante pour le fonctionnement de l’équipe de sécurité informatique. Les risques liés à la confidentialité, l’intégrité, la disponibilité et la responsabilité au sein d’une entreprise sont souvent contrôlés par des systèmes et processus disparates sans interface unique permettant de regrouper les données, les mettre en corrélation et remédier aux risques. En outre, les exigences liées aux réglementations spécifient des niveaux de transparence de données d’entreprise difficiles. Il n’existe pas encore de système rationalisé pour suivre facilement la stratégie, de la création à l’exécution d’entreprise. En témoignent les difficultés d’entreprise courantes lors d’acquisition, de corrélation, d’évaluation, de correction et de conformité de données. (Bien que la solution RMD présentée ici ne soit pas complète, System Center Operations Manager 2007, comme illustré à la figure 1, fournit une interface unique pour surveiller plusieurs ressources et rassembler les alertes associées.)

Figure 1 System Center Operations Manager 2007 offre une interface unique permettant d’afficher des alertes et de gérer des ressources depuis le réseau

Figure 1** System Center Operations Manager 2007 offre une interface unique permettant d’afficher des alertes et de gérer des ressources depuis le réseau **(Cliquer sur l'image pour l'agrandir)

La saisie des données est entravée par une incapacité à regrouper et normaliser les données de sources disparates. Le regroupement de données est un véritable défi, étant donné qu’il nécessite de casser l’approche trop courante de collecte et de rapports de données. Même là où le regroupement de données est terminé, la normalisation continue de poser un défi encore plus grand parce qu’il est extrêmement difficile de mettre en place l’infrastructure courante nécessaire pour prendre en charge la normalisation de données. Sans cette normalisation, il est impossible de comparer des événements associés à la santé et la sécurité venant de différents systèmes de manière significative.

Pour exécuter l’automatisation nécessaire, le tableau de bord de gestion des risques doit avoir accès aux sources de données autres que les technologies de sécurité décrites ici. Beaucoup de données non relatives à la sécurité peuvent être utilisées pour déterminer les risques généraux. Les informations, telles que les journaux de routeur, le suivi des actifs, l’état de correctif, les utilisateurs actuellement connectés, les rapports de performances et les données de gestion des modifications peuvent tous fournir des informations pertinentes pour enquêter sur l’incident. Par conséquent, le système général doit pouvoir accéder à toutes ces données. Nous sommes conscients que même les infrastructures d’entreprise centrées Microsoft comprennent des technologies non Microsoft. Par conséquent, RMD doit accepter les sources des technologies non Microsoft via une interface courante.

Si les données peuvent être acquises et normalisées, l’étape suivante consiste à les mettre en corrélation. L’objectif consiste à mettre en corrélation une séquence d’événements (telle qu’un événement d’anomalie réseau, un événement de rapport antivirus et un événement de variance de configuration souhaité) à une pièce décisionnelle de données liées aux risques. Ceci nécessite un travail manuel intensif pour générer la logique de corrélation qui aura pour résultat d’alerter des risques de manière significative. Basée sur les technologies actuellement disponibles, cette logique de corrélation est difficile à atteindre.

L’évaluation de données requiert également un travail manuel intensif. Dans le cas où la corrélation survient, un analyste doit toujours observer les données mises en corrélation pour déterminer son efficacité. L’efficacité des données mises en corrélation ne peut pas être plus stricte que les règles sur lesquelles elle est basée. Ceci entraîne une analyse humaine supplémentaire des données mises en corrélation pour évaluer les risques de l’environnement informatique. Une infrastructure de gestion des risques claire et codée pourrait aider à réduire la quantité d’intervention manuelle requise pour atteindre un niveau de triage. Sans cette infrastructure, le développement d’une série de règles de corrélation pratique dans une mise en œuvre donnée est difficile.

Supposons qu’un système a atteint le point d’évaluation des risques, l’étape suivante est alors la correction automatisée. À l’heure actuelle, ceci n’est disponible qu’au sein de l’entreprise et n’est effectué que pour une série limitée de technologies, telle que la gestion de correctifs ou d’antivirus. La correction automatisée menée par le système RMD fournira à l’administration informatique une incroyable capacité de maintenir un niveau de risques informatiques acceptable. Lorsque plusieurs risques sont identifiés simultanément, la logique de corrélation devrait permettre de hiérarchiser la réponse à l’incident en fonction des données de classification des actifs.

Enfin, offrir la preuve de conformité à diverses exigences liées aux réglementations est un défi gigantesque pour les services informatiques et, comme nous l’avons mentionné, ce système devrait prendre en charge une telle fonctionnalité. Un système de gestion des risques centralisé associé à la stratégie pourrait être un grand avantage pour produire des rapports et la preuve de la conformité. Mais la stratégie doit spécifier plus que le pourquoi et le comment. Pour faciliter la correction automatisée, la stratégie doit être traduite en une série de normes que le tableau de bord peut contrôler, appliquer et en fournir des commentaires.

Pour résumer, on peut dire que le tableau de bord de gestion des risques est idéal pour fournir une interface unifiée permettant d’évaluer la santé de l’entreprise, la conformité liée à la stratégie et aux réglementations et les processus de gestion des risques. Cet objectif est atteint en associant les informations des produits et des sources relatives à la santé et la sécurité disparates en un affichage relatif aux risques cohésifs. Une bonne solution RMD doit pouvoir faire ce qui suit :

  • Regrouper, normaliser et mettre en corrélation les données à partir de sources disparates
  • Fournir le rassemblement automatisé des informations et l’évaluation des risques
  • Mapper les exigences de réglementations aux stratégies et prendre en charge les audits et les rapports
  • Fournir une infrastructure unifiée qui peut être modifiée pour correspondre aux besoins de l’entreprise

Le tableau de bord devrait autoriser les données à être organisées et affichées en fonction de leur signification, affichant, par exemple, les premiers incidents par type ou système source, les incidents en attente, les incidents résolus, et ainsi de suite. Il doit également vous permettre de plonger dans chaque élément de ligne de rapport pour plus de détails. Lorsque l’utilisateur observe un événement, il doit disposer d’un accès facile à toutes les données associées pour améliorer les décisions et permettre un temps de réaction plus rapide.

Nous devrions noter que RMD est également utile aux administrateurs ne faisant pas partie de l’équipe de sécurité. Étant donné que le tableau de bord englobe un affichage holistique de l’environnement, RMD peut servir de point central pour tout le personnel, pour afficher l’état actuel. Le tableau de bord peut, par exemple, alerter l’équipe de messagerie d’une attaque de refus de service au niveau de la passerelle SMTP. Alors qu’il s’agit d’un incident de sécurité pour l’équipe de gestion des risques, l’équipe de messagerie le verra comme un incident de disponibilité. Bien que l’équipe de messagerie ne soit peut-être pas responsable de la résolution d’un tel incident, elle souhaitera peut-être être au courant de tels incidents qui affectent les actifs gérés par l’équipe.

Technologies anti-programme malveillant

Un système de logiciels anti-programme malveillant est important pour protéger votre infrastructure des menaces imprévues masquées dans le code et les actions des utilisateurs. À l’heure actuelle, il existe en général deux types d’outils séparés pour se protéger contre les programmes malveillants : les antivirus et les logiciels anti-espions. (Windows® Defenser, par exemple, illustré à la figure 2, appartient à cette catégorie.) Tous deux préviennent, détectent et corrigent différents types d’infection. Cependant, tout n’est qu’une question de temps avant que ces deux types de protection soient unifiés dans une solution unique et qu’il n’y ait qu’un seul logiciel anti-programme malveillant sur un système.

Figure 2 Windows Defender aide à protéger le client des logiciels espions

Figure 2** Windows Defender aide à protéger le client des logiciels espions **(Cliquer sur l'image pour l'agrandir)

Une solution de logiciels anti-programme malveillant minutieuse doit effectuer une surveillance en temps réel et une analyse de manière périodique. Elle doit signaler de façon centralisée dans un rapport les logiciels malveillants connus (y compris les virus, les logiciels espion et les rootkits) et les programmes malveillants inconnus basés sur les comportements risqués typiques. La technologie de logiciels anti-programme malveillant robuste observe les points d’entrée classiques (y compris le système de fichiers, le registre, le noyau, le navigateur, les messages électroniques et les applications connectées) via l’intégration avec le système d’exploitation et les applications.

De plus, une solution de logiciels anti-programme malveillant doit couvrir davantage que la sécurité d’hôte. Elle doit surveiller les services de collaboration et de messagerie courants où les fichiers infectés sont souvent transmis, tels que la messagerie instantanée et Sharepoint®. Elle doit également fournir une prévention automatisée en arrêtant les opérations (connues et suspectes) ainsi qu’analyser soigneusement les données utilisateur pour supprimer, par exemple, les macrovirus cachés dans les documents d’utilisateur et n’ayant pas encore infecté le système.

Il va sans dire que les logiciels anti-programme malveillant sont inutiles s’ils ne sont pas mis à jour. Le système doit garder ses signatures et ses systèmes de suppression à jour afin d’être toujours à la pointe des menaces les plus récentes. Si une menace émergente apparaît, le fournisseur devrait mettre en place des protections supplémentaires avant la prochaine apparition d’une menace. Une solution de logiciels anti-programme malveillant facile à gérer est également configurable et peut être mise à jour de manière centralisée.

Bien sûr, cette protection ne doit pas entraver les performances. Si les performances sont affectées, la productivité le sera aussi. Les utilisateurs essaieront peut-être même de désactiver la solution de logiciels anti-programme malveillant, n’ayant plus aucune protection.

Enfin, ne négligez pas l’importance des technologies auxiliaires pour aider le système anti-programme malveillant. Les pare-feux (limitant les privilèges utilisateur) et les autres stratégies améliorent également la protection contre les actions des utilisateurs et le code malveillant.

Détection d’anomalie réseau

Pendant qu’un anti-programme malveillant observe les systèmes, la détection d’anomalie réseau contrôle les chemins courants, observant les indicateurs de comportement suspect connu et rapportant ces informations au RMD pour correction. (Un pare-feu, par exemple, comme l’illustre la figure 3, serait inclus dans cette catégorie.) Les comportements suspects pourraient être des trafics d’attaques connus (un ver ou un refus de service) ou des données correspondant à un certain modèle (numéros de sécurité sociale américains) étant envoyés par message électronique.

Figure 3 Un pare-feu est une partie importante d’une solution de détection d’anomalie réseau

Figure 3** Un pare-feu est une partie importante d’une solution de détection d’anomalie réseau **(Cliquer sur l'image pour l'agrandir)

Malgré les efforts du service de gestion informatique, tout réseau d’entreprise important devra, inévitablement, faire face à un incident dû à un logiciel malveillant. La détection d’anomalie réseau peut fournir un système d’avertissement en amont pouvant aider à accélérer la correction. De plus, les capacités de contrôle des données par la détection d’anomalie réseau et la possibilité d’identifier et d’empêcher les fuites d’informations sensibles sont des outils pratiques qui permettent de protéger les informations dans un environnement centré sur les fuites de données et la conformité aux réglementations.

Comme avec les technologies anti-programme malveillant, la détection d’anomalie réseau doit être constamment adaptée à la dernière série de menaces et aux types de données sensibles. Si tel n’est pas le cas, sa valeur est fortement diminuée. De plus, un bon système de détection d’anomalie réseau doit comprendre les véritables anomalies pour réduire le nombre d’affirmations incorrectes signalées. Si tel n’est pas le cas, les administrateurs pourraient commencer à négliger les rapports venant de la détection d’anomalie réseau, pensant que chacun est simplement une nouvelle fausse alerte.

Après quelques réglages ou une formation, le système de détection d’anomalie réseau devrait être capable de reconnaître les modèles d’utilisation du trafic typique et de les surveiller. Cette étape est importante étant donné que les nouveaux types de logiciels malveillants et autres attaques pourraient réapparaître légèrement modifiés dans les modèles d’utilisation. L’équipement de mise en réseau a un rôle significatif dans le système de détection d’anomalie réseau général, étant donné que la solution doit traiter les données des routeurs, des commutateurs et des pare-feux. Les alertes de système de détection d’anomalie réseau peuvent ensuite être traitées par le moteur de corrélation dans le RMD.

Il est possible pour les détecteurs d’anomalie réseau d’être intégrés aux logiciels anti-programme malveillant hôte ou au pare-feu, offrant un ensemble de protection dans lequel tous les ordinateurs inclus aident à la surveillance et éventuellement à la prévention des attaques avant leur propagation.

Gestion de configuration souhaitée

Un des défis les plus importants auquel les services informatiques des grandes entreprises doivent faire face consiste à conserver les systèmes correctement configurés. Le système doit être correctement configuré pour plusieurs raisons : gestion facile, évolutivité simplifiée, conformité assurée, verrouillage contre les diverses formes d’intrusion et productivité améliorée, pour n’en citer que quelques-unes. De nombreuses raisons s’intègrent à la sécurité.

La gestion de configuration souhaitée est une zone largement inexploitée dans la plupart des entreprises en raison de sa complexité et de ses coûts de démarrage. Mais les études montrent qu’à long terme, le maintien des systèmes permet des économies de coût et une fiabilité améliorée. Une solution de surveillance de configuration souhaitée (DCM) peut aider.

Un bon système DCM doit pouvoir analyser automatiquement le réseau pour s’assurer que les nouveaux systèmes sont déployés comme souhaité et doit également vérifier que les systèmes déjà en place sont toujours conformes. Que ce soit pour s’assurer du déploiement du dernier correctif ou pour réduire le nombre d’utilisateurs avec des privilèges de domaine, une solution DCM complète doit configurer les systèmes, les analyser et effectuer un rapport pour savoir si chaque configuration est proche de la configuration idéale. Les corrections peuvent être simples (telles que la réparation des nouveaux systèmes sur le réseau à mesure de leur déploiement) ou énergiques (telles que l’application des paramètres de messagerie électronique clientes pour les utilisateurs). La clé ici consiste à les associer aux stratégies de l’organisation et à la position des réglementations. (DCM peut également aider à identifier et supprimer l’infection de logiciels malveillants, étant donné que les types simples seront facilement détectés dans les résultats d’analyse.)

DCM est l’un des systèmes de données principaux au moteur de corrélation de RMD, et DCM fournit des détails importants sur la manière dont l’hôte en question passe de variant à normal. L’opportunité de ses données peut faire la différence entre un incident de sécurité à une alarme ou à cinq alarmes, ainsi un actif est analysé en fonction de sa valeur. Par exemple, un actif de faible sensibilité pourrait n’être analysé qu’une fois par mois, tandis qu’un actif de sensibilité modérée est analysé une fois par semaine et un actif de sensibilité élevée au moins une fois par jour.

Une installation de DCM constitue également une partie fondamentale du mécanisme d’une bonne protection de l’accès réseau. Ainsi, le système peut vérifier que tous les systèmes connectés sont correctement configurés et bloquer les systèmes nouveaux ou inconnus jusqu’à ce qu’ils soient validés. De plus, DCM doit rechercher les vulnérabilités de configuration (telles que les listes de contrôle d’accès faibles sur un partage) pour que les administrateurs puissent agir en conséquence.

Ne pensez pas que DCM s’applique uniquement aux hôtes, tels que les clients ou les serveurs. Les périphériques de mise en réseau et l’annuaire fondamental sont des candidats pour l’inclusion DCM. Si votre conception réseau est correcte et disponible, elle devrait être très simple pour que le système DCM idéal puisse appliquer les normes des périphériques associés. Imaginez les possibilités ! Au lieu d’ajuster des configurations de routeur manuellement, DCM peut contrôler la mise en œuvre. Ou disons qu’une série de paramètres Stratégie de groupe standard est associée à une série particulière de serveurs ou de clients. Le DCM devrait les contrôler et envoyer une alerte si les paramètres de domaine changent.

Les données recueillies par DCM devraient être assez solides pour être utilisées dans un audit informatique. Un bon DCM doit pouvoir gérer des modifications et des contrôles de conformité des réglementations pour que les audits puissent être résolus presque en continu. Par exemple, une de nos vérifications de contrôle de routine consiste à vérifier que l’appartenance de l’administrateur local sur les serveurs MMS n’a pas été modifiée. L’objectif de DCM consiste à faire appliquer cette règle.

Même si votre service informatique n’est pas prêt pour un système DCM qui se corrige automatiquement, une variation connue en tant que surveillance de configuration souhaitée peut toujours être déployée et offrir de bons résultats. Ceci offre également des rapports et des alertes relatifs aux problèmes de configuration, mais les mêmes économies d’échelle ne sont pas nécessairement atteintes étant donné que la correction est en grande partie manuelle. Cependant, la notification et les données dont RMD a besoin seront disponibles pour une mise en corrélation.

Gardez ce qui suit à l’esprit. DCM, aux formats que je viens de décrire, a dû être étendu aux éléments de configuration importants minimaux associés aux données de collecte d’actifs standard. Autrement, il peut empiéter sur la flexibilité dont l’équipe informatique a besoin. Si les repères de configuration DCM se démodent, DCM sera rapidement considéré comme une taxe de fonctionnement au lieu d’un outil utile. Il est primordial que vous restiez informé des dernières nouveautés pour savoir comment configurer les actifs de manière optimale. De plus, nous pensons que le système DCM comprend des mises à jour régulières de ses livres de configuration selon les meilleures pratiques pour l’actif ou l’application en question.

Conclusion

Que vous le génériez en interne ou l’achetiez chez un fournisseur réputé, le tableau de bord est essentiel, fonctionnant en tant qu’outil principal de votre équipe pour la réponse aux incidents. L’anti-programme malveillant est également essentiel, pour vous protéger des menaces qui se multiplient au quotidien. La détection d’anomalie réseau est sur le point de changer pour passer de la détection d’intrusion hôte ou des signatures de logiciels malveillants à l’inclusion de la découverte de fuite de données. Cette dernière fonction peut permettre d’éviter la prochaine fuite réseau. La gestion de configuration souhaitée, bien qu’elle soit une nouveauté, sera bientôt une fonctionnalité de surveillance et de maintien des configurations. Sans tenir compte des fournisseurs de ces outils, vous devez disposer d’au moins une de ces quatre catégories !

En fonction de ce que nous avons vu jusqu’à maintenant, pas un seul fournisseur (même Microsoft) n’offre de solution holistique unique qui résout chacun de ces quatre espaces. C’est à vous de rechercher la sélection de produits qui conviendra le mieux à vos besoins spécifiques. Avec cet article, nous souhaitons simplement offrir un aperçu de ce que vous devez prendre en considération, ce que vous devriez envisager d’atteindre et quelle sera la solution idéale.

Matt Clapham est ingénieur en sécurité dans le groupe Infrastructure et sécurité du service informatique de Microsoft. Il a précédemment travaillé pendant deux ans dans l’équipe de conformité et de gestion des risques dans MMS (Microsoft Managed Solutions).

Todd Thompson est ingénieur en sécurité dans le groupe Infrastructure et sécurité du service informatique de Microsoft. Il a précédemment travaillé pendant deux ans dans l’équipe de conformité et de gestion des risques dans MMS (Microsoft Managed Solutions).

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.