Protection contre les menaces Détection

Transcription

1 Protection contre les menaces Détection Jean-Marc Robert Génie logiciel et des TI

2 Plan de la présentation Introduction Détection Systèmes de détection d intrusion Anti-virus Conclusions Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 2

3 Introduction La sécurité informatique repose sur deux grands principes: Veille technologique Connaissez bien vos ennemis. Analyse des besoins Connaissez-vous vous-même. Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux. Sun Tzu, 4 ième siècle av. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 3

4 Analyse des besoins La politique de sécurité est la pierre angulaire de la sécurité d un système informatique. Détermine les actifs à protéger et les objectifs à atteindre. L atteinte de ces objectifs repose sur les trois grands piliers de la sécurité informatique: Prévention Détection Réaction Defence-in-depth: Utilisation de plusieurs moyens (parfois redondants) afin de protéger les actifs et de réduire les risques auxquels ils sont exposés. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 4

5 Détection Détecter l occurrence d une attaque. Identifier tout trafic ou logiciel malveillant. Reconnaissance basée sur des signatures d attaques. Reconnaissance basée sur la détection d anomalie. Identifier toute modification aux informations sensibles. Système d exploitation: processus, fichiers, outils, Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 5

6 Système de détection d intrusions (IDS) Système combinant logiciel et matériel, qui permet de détecter en temps réel les tentatives d'intrusion sur un réseau interne ou sur un seul ordinateur hôte, de neutraliser ces attaques réseaux ou systèmes et d'assurer ainsi la sécurité du réseau d'entreprise. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 6

7 IDS architecture schématique Composante Évènement (E-box) Génération des évènements à partir des données brutes. Paramètres caractérisant le trafic durant une période d observation. Netflow Information provenant du système d exploitation ou des diverses applications Syslog Composante Analyse (A-box) Analyse des évènements afin d en détecter les activités malveillantes. Filtration, agrégation, corrélation Composante Base de données (BD-box) Conservation des évènements afin d en faire une analyse post-mortem. Composante Réaction (R-box) Génération des réponses aux activités malveillantes détectées. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 7

8 IDS architecture schématique R-box A-box BD-box A-box A-box E-box E-box Adapté de Kruegel, Valeur et Vigna, Intrusion Detection and Correlation Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 8

9 IDS types IDS réseau (NIDS) p.e. SNORT, BRO Détection des activités malveillantes en analysant les flots d information échangés sur un réseau. IDS ordinateur hôte (HIDS) p.e. OSSEC Détection des activités malveillantes en analysant les évènements observés par un ordinateur hôte. IDS application Détection des activités malveillantes en analysant les évènements observés par une application. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 9

10 IDS méthodes de détection Deux approches complémentaires: La détection d utilisations malveillantes. Base de données de signatures d attaques devant être continuellement mise à jour. Ne peut pas détecter les nouvelles attaques ou les variantes d anciennes attaques dont les caractéristiques sont drastiquement modifiées. La détection d anomalies. Caractérisation du comportement «normal». Tout trafic déviant des caractéristiques normales est supposé malveillant *. Peut détecter les nouvelles attaques dont les caractéristiques ne correspondent pas aux caractéristiques normales. * La contraposée n est pas vraie. Un trafic malveillant peut ne pas dévier des caractéristiques normales. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 10

11 IDS Détection d anomalies Qu est ce qui caractérise essentiellement un ver? Son mode de propagation TCP/UDP, SMTP, IM, Indépendant du ver ou de la vulnérabilité exploitée. Qu est ce qui caractérise un ordinateur contrôlant un ensemble de bots ou zombies? Un grand nombre de connexions vers un ensemble d adresses IP ne semblant pas reliées. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 11

12 IDS false negative vs. false positive False positive alarms Détection d une activité légitime comme une activité malveillante. False negative alarms Activité malveillante acceptée comme une activité légitime. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 12

13 Taux d erreur IDS false negative vs. false positive False negative alarms False positive alarms Peu précise Très précise Caractéristique (signature ou modèle de trafic normal) Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 13

14 Anti-virus Logiciel de sécurité qui procède, automatiquement ou sur demande, à l'analyse des fichiers et de la mémoire d'un ordinateur, soit pour empêcher toute introduction parasite, soit pour détecter et éradiquer tout virus dans un système informatique. IDS/IPS pour ordinateur hôte très spécifique. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 14

15 Anti-virus statiques Scanneur de virus Rechercher des signatures prédéterminées (pattern matching). Heuristiques Rechercher du code inutile, du code de déchiffrement de virus, l utilisation de fonctionnalités non documentées, la manipulation des vecteurs d interruption, Vérifieur d intégrité Condition initial: système sans infection afin de déterminer les empreintes légitimes. Comparer les empreintes actuelles avec les empreintes initiales. Détecter une infection. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 15

16 Anti-virus dynamiques Moniteurs de comportement Rechercher les comportements anormaux des programmes. Par exemple, un programme modifiant l entête d un fichier puis ajoutant des informations à la fin d un fichier. Émulateurs Exécuter les programmes suspicieux dans un environnement émulé afin de rechercher les comportements anormaux des programmes. Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 16

17 Anti-virus comparaisons Type Pour Contre Scanneurs Identification précise des virus Base de données mise à jour régulièrement Virus connus (ou légères variantes) Heuristiques Détection de virus connus et inconnus Taux de fausses alarmes (false positive) élevé Vérifieur d intégrité Moniteurs de comportement Émulateurs Peu de ressources utilisées Détection de virus connus et inconnus Détection de virus connus et inconnus Détection de virus connus et inconnus Vers et virus polymorphiques Exécution des programmes suspicieux dans un environnement sécurisé Détection après infection Inutile pour les nouveaux fichiers Impossible d identifier le virus Impossible d identifier le virus Lent Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 17

18 Conclusions Nombreux dispositifs existent afin d offrir une solution technologique sécurisée. Afin de déterminer la solution la plus adéquate, il faut absolument Connaître ses besoins. Politique de sécurité détaillant les objectifs pour les divers actifs. Connaître ses ennemis Veille technologique vulnérabilité, menaces, Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 18

19 Terminologie et définitions Les définitions en italique ainsi que les termes français proviennent de grand dictionnaire terminologique de l Office de la langue française du Québec. ( Jean-Marc Robert, ETS Protection contre les menaces - Détection - A08 19