Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Croyez vous aux signes ?

Croyez vous aux signes ?
2008-06-112013-02-11bonnes pratiquesfr
Non ? Et pourtant vous devriez ... Car avant de mettre en place des outils très sophistiqués pour tracker les failles ou les intrusions, votre SI exprime déja spontanément un certain certain nombre de signaux qui devrait être écouté. Comme le médecin, avant de lancer des examens...
Publié le 11 Juin 2008 par Jean-Michel Craye dans bonnes pratiques

Non ? Et pourtant vous devriez ... Car avant de mettre en place des outils très sophistiqués pour tracker les failles ou les intrusions, votre SI exprime déja spontanément un certain certain nombre de signaux qui devrait être écouté. Comme le médecin, avant de lancer des examens coûteux (scanner, analyse, etc), l'écoute du patient est un art qui révèle déja beaucoup d'information sur la maladie...

Quelques exemples :

  • sur les postes de travail : les Logs du journal de sécurité de windows, le taux de modification de la base de registre, la taille des logs, le niveau de mise a jour du parc , le nombre de logiciel inconnus ou non autorisés
  • sur le réseau : le taux de bande passante inconnu, l'évolution du parc d'adresse IP, les "TOP talker", la charge de certain routeur, des flux inconnus, des échanges improbable entre des adresses (ah le any-to-any ...) etc...
  • sur les applications : les variations d'espace disques, de consommations CPU, des usages hors horaires, etc

Et la liste n'est pas exhaustive (mais vous avez probablement des idées la-dessus?)...

A ce point de la discussion, vous allez arguer que remonter et traiter ces informations est une charge trop lourdes ! Peut être...

En attendant, pourquoi ne pas imaginer des campagnes régulieres de sondanges (dans l'industrie, on ne goûte pas tous les boîtes de conserve et on ne teste pas toutes les piles). Alors depuis à quand remonte votre dernier échantillonage ?

1 Commentaire

  • 12 Juin 2008
    2008-06-12
    par
    Audenard Jean-François
    Le test par échantillonnage : C'est effectivement une approche offrant un premier niveau de visibilité à un coût compétitif.

    Quel est le pourcentage d'entreprises "classiques" (cad on sort les paranoïaques du lot) qui font ce genre d'exercice au moins une fois par an ? 5% ? Aller 10% et je suis généreux (Disclaimer: Valeurs non garanties, pure estimation à la volée)... Bien sur, le 10% inclue celles qui font ce travail d'introspection suite à un incident de sécurité.

    Comment faire alors ? Mon conseil serait une approche incrémentale : Lors d'une mise à jour matérielle d'un serveur vous en profitez pour faire un état des lieux dudit serveur. Une demande arrive pour ouvrir de nouveaux flux au niveau d'un firewall ? Vous en profitez pour faire un scan de détection de vulnérabilités des machines qui vont communiquer.

    En procédant de la sorte, vous vous appuyez sur des processus connus et en place en y "injectant" une petite prise de température du niveau de sécurité de votre SI. Le petit plus : Vous pouvez conditionner certaines évolutions à un travail de sécurisation en amont : Si la machine n'est pas patchée (vous le savez au vu des résultats du scan) alors pas d'ouverture de flux.

    L'approche n'est pas parfaite mais elle a montrée ses preuves dans la "vraie vie".

    Voila une façon de faire de la sécurité dans le cadre d'une stratégie de gestion du changement.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage