Evaluation de vulnérabilités - DGSSI
Transcript of Evaluation de vulnérabilités - DGSSI
![Page 1: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/1.jpg)
![Page 2: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/2.jpg)
Pourquoi collecter?
Pour la détection:
▪ Des incidents de sécurité
▪ Autres problèmes et anomalies
Réponse aux incidents:
▪ Identification de la source et du vecteur de l’attaque.
▪ Identification des vulnérabilités pour les corriger.
▪ Evaluation des dégâts.
![Page 3: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/3.jpg)
Introduction Logs Windows Logs Linux/Unix Logs des Equipements réseaux et sécurités Gestion des logs
![Page 4: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/4.jpg)
![Page 5: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/5.jpg)
La sécurité d’abord:
Connaissez-vous vous-même?
▪ Votre architecture réseau?
▪ Vos serveurs et vos systèmes?
▪ Vos postes d’utilisateurs?
▪ vos fichiers (Hash) ?
![Page 6: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/6.jpg)
La sécurité d’abord
Poste d’utilisateur: un point pivot!
▪ Phishing
▪ Watering hole attack
![Page 7: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/7.jpg)
Pourquoi collecter?
Cycle d’attaque:
![Page 8: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/8.jpg)
Collecter! Quoi?
Solutions réseaux: router, DHCP, proxy, load balancer…
Solutions de sécurité: Firewall, WAF, IPS, AV
Systèmes d’exploitation: Windows, Linux, Unix etc…
Services: Messagerie, DNS, Web…
Applications métiers
![Page 9: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/9.jpg)
Les contraintes de la collecte:
Contraintes financières Budget d’achat des équipements et des licences
Capacité de stockage
Contraintes de performances
Latence d’analyse
Consommation de la bande passante interne
Contraintes judiciaires Confidentialité de l’utilisateur
Contraintes de sécurité Les données sensibles
![Page 10: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/10.jpg)
![Page 11: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/11.jpg)
MS Event Viewer
![Page 12: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/12.jpg)
Les logs à activer:
Audit des accès
![Page 13: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/13.jpg)
Les logs à activer:
Windows Firewall
![Page 14: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/14.jpg)
Les logs à activer:
EMET: Enhanced Mitigation Experience Toolkit
![Page 15: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/15.jpg)
Les logs à activer:
Applocker: whitelisting des applications
![Page 16: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/16.jpg)
Les logs à activer:
SysMon
![Page 17: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/17.jpg)
Exemples d’événements importants:
Evénements Intérêt
Accès aux répertoires Exfiltration de données
Authentifications échoués/réussites
Brute Froce, Mouvement latéral
Blocage Firewall Mouvement latéral, Tentatives d’exploitation
Utilisation de psexec (applocker) Mouvement latéral,
Crash d’application (EMET) Tentatives d’exploitations
Changement de date de création (Sysmon)
Techniques anti-forensic
![Page 18: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/18.jpg)
Services Windows:
Microsoft IIS
Windows DNS
Microsoft Exchange
![Page 19: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/19.jpg)
Services Windows: Microsoft IIS
Ou trouver les logs? ▪ C:\inetpub\logs\LogFiles
![Page 20: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/20.jpg)
Services Windows: Windows DNS
Ou trouver les logs? ▪ C:\System32\DNS\
Logs Description
domain_name.dns (pour chaque zone)
Configuration du domaine
Cache.dns Configurations des serveurs DNS racines
DNS.log Requêtes DNS
![Page 21: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/21.jpg)
Services Windows: Microsoft Exchange
Ou trouver les logs? ▪ $ExchangeInstallation$\TransportRoles\Logs\
Ne pas oublier Outlook Web access (OWA)!
Logs Description
MessageTracking Activité SMTP
Connectivity Connexions SMTP
ServerStats Les statistiques du serveur
![Page 22: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/22.jpg)
Services Windows:
Evénements Intérêt
Les requêtes Web Scan de vulnérabilités, Tentatives d’exploitation, Exfiltration de données
Requêtes DNS Tunneling, déni de service externe, Infection malware
Messages envoyés/reçus (MessageTracking)
Infection par phishing, Exfiltration de données
![Page 23: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/23.jpg)
Exploitation des logs
Log parser: ▪ Un utilitaire gratuit de Microsoft
▪ Analyse, transforme et Exporte les logs
![Page 24: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/24.jpg)
Exploitation des logs
WEF (Windows Event Forwader) : ▪ Intégré à Windows
▪ Envoie des logs de Windows Events
![Page 25: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/25.jpg)
![Page 26: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/26.jpg)
Où trouver les logs?
La majorité des logs Linux/Unix se trouve sous /var/log:
▪ Logs du système
▪ Logs des services
![Page 27: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/27.jpg)
Où trouver les logs? Logs d’authentifications: auth.log ou secure.log
▪ Les authentifications réussites/échouées locales et réseaux (SSH)
▪ Création/Suppression des utilisateurs
Démarrages et arrêts de servies : daemon.log: Taches planifiés: cron.log Autres fichier de logs: kern.log, messages, syslog
▪ Montage de partition. ▪ Connexions de périphériques externes. ▪ Erreurs systèmes ▪ Autres logs de différentes sources
![Page 28: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/28.jpg)
Les logs à activer: Firewall Linux (IPTables) ▪ Règles de logging
▪ Les événements se trouvent avec les logs du Kernel
Auditd: ▪ Un outil Linux de monitoring des accès vers les fichiers,
les périphériques, les processus…
SELinux: ▪ Permet de définir une politique de contrôle d'accès aux
éléments d'un système Linux.
![Page 29: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/29.jpg)
Exemple d’évènements importants
Evénements Intérêt
authentifications Brute Force, Mouvement latérale.
Création d’utilisateurs Maintien de présence
Erreurs de services Tentatives d’exploitations
Blocage Iptables Mouvement latéral, Scan interne
Auditd (intégrité + accès non autorisés)
Elévation de privilèges,
Blocage SELinux Tentatives d’exploitations
![Page 30: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/30.jpg)
Logs de services:
Apache httpd
Bind DNS
Services de messagerie
![Page 31: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/31.jpg)
Logs de services: Apache httpd
Où trouver les logs? ▪ /var/log/apache2/
▪ /var/log/httpd/
Logs Description
access.log Les requêtes reçues
error.log Les erreurs générées par les requêtes
access_ssl.log Les connexions SSL.
error_ssl.log Les erreurs générées par les connexions SSL.
![Page 32: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/32.jpg)
Logs de services: Bind
Il faut d’abord activer les logs
▪ /etc/named.conf
![Page 33: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/33.jpg)
Logs de services: Services de messagerie
Où trouver les logs?
▪ /var/log/maillog
![Page 34: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/34.jpg)
Logs de services:
Exemple des événements importants:
Evénements Intérêt
Les requêtes Web Scan de vulnérabilités, Tentatives d’exploitation, Exfiltration de données
Requêtes DNS Tunneling, déni de service externe, Infection malware
Messages envoyés/reçus (MessageTracking)
Infection par phishing, Exfiltration de données
![Page 35: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/35.jpg)
Exploitations des logs:
Syslog:
▪ Solution de journalisation standard sur Linux/Unix.
▪ Protocole d’envoie de logs (UDP et TCP)
▪ Fichier de configuration: /etc/syslog.conf
![Page 36: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/36.jpg)
![Page 37: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/37.jpg)
Les logs à collecter:
Router et Firewall: ▪ Les accès autorisés/bloqués
▪ Le Mapping NAT
Web application Firewall (WAF) ▪ Inspections SSL
▪ Signatures d’attaques WEB
▪ Contrôle d’accès aux zones restreintes
![Page 38: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/38.jpg)
Les logs à collecter:
Network based IDS:
▪ Analyse des paquets réseaux
▪ Exemple: Snort ▪ Il peut détecter les signatures d’exploitations connues, les scan,
les bruteforces etc..
Host based IDS:
▪ Veille sur l’intégrité des fichiers et détecte tout comportement anormal
▪ Exemple: OSSEC
![Page 39: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/39.jpg)
Les logs à collecter:
AntiVirus:
▪ La détection des fichiers suspects
▪ La détection des émail suspects
![Page 40: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/40.jpg)
Les logs importants: Evénements Intérêt
Evènements Firewall Identifier les adresses IP malicieuses
Scan (interne et externe), Tentatives d’exploitations
Alerte IDS Infections, Tentatives d’exploitations, Brutefoce, …
Alerte AV (fichier) Infections Malware,
Alerte AV (pièce joite mail) Phishing
![Page 41: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/41.jpg)
![Page 42: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/42.jpg)
La technologie de gestion des logs a convergé vers deux type de collecteurs:
Les SIEMs
Les Indexeurs de logs
![Page 43: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/43.jpg)
C’est quoi un SIEM? Security Information and Event Manager
Détecte les incidents de sécurité Comment?
Collecte
Normalisation
Agrégation
Corrélation
Alerte et reporting
Gestion des tickets
![Page 44: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/44.jpg)
Indexeurs de logs
Indexation
▪ Analyse ded logs pour une recherche rapide ultérieure
Alertes et reporting:
▪ Basé sur des règles de recherche et d’analyse
Deux solutions disponibles:
▪ Splunk
▪ ELK
![Page 45: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/45.jpg)
Splunk
Une solution commerciale:
▪ Gratuit pour <500 MB/jour
Facile à implémenter
Versions Windows et Linux.
![Page 46: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/46.jpg)
Splunk
![Page 47: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/47.jpg)
ELK:
La pile ELK combine 3 projets open source:
▪ ElasticSearch: Un moteur d’indexation puissant
▪ Logstash: Un framework d’analyse, de transformation et de forward des logs
▪ Kibanna: Une interface graphique pour la recherche et le reporting
![Page 48: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/48.jpg)
SIEM Indexeur
Difficile d’utiliser et de configurer (surtout les projets opensources)
Facile d’ajouter les sources et rechercher
Recherche relativement lente Recherche très rapide
Base de données de règles de corrélations et de reporting disponible
Il faut créer les alertes et les rapport
Plus cher Moins cher
Suppression de données facile Suppression de données difficile
Les logs sont normalisés Pas de normalisation
Ticketing intégré dans la plupart des solutions
Pas de ticketing
![Page 49: Evaluation de vulnérabilités - DGSSI](https://reader033.fdocument.pub/reader033/viewer/2022042710/6266914a617ea648623873c7/html5/thumbnails/49.jpg)