Comment la veille de sécurité informatique peut éviter des pannes coûteuses

0
61
Veille de sécurité informatique
Veille de sécurité informatique

La veille de sécurité informatique est essentiellement un processus d’obtention d’informations sur des incidents qui se sont déjà produits. La surveillance de la sécurité est une pratique qui consiste à enregistrer des informations à différents niveaux de la charge de travail (identité, flux, programme et actions) afin de prendre conscience des activités réalisées sur le site.

L’objectif est de mesurer les incidents et de tirer des renseignements sur des incidents passés. Les données de suivi constituent la base de l’analyse post-incident de ce qui s’est passé afin de faciliter l’enquête sur la réponse à l’incident et l’enquête sur l’incident.

La surveillance informatique est une approche d’excellence opérationnelle appliquée à tous les piliers bien conçus de la démarche de veille. Ce guide ne fournit que des recommandations du point de vue de la sécurité. Les concepts généraux de la surveillance sont décrits dans les recommandations pour la conception et la création d’un système de veille informatique.

Principales stratégies de conception de la veille de sécurité informatique

Veille informatique
Veille informatique

L’objectif principal de la veille de sécurité informatique est la détection des menaces. L’objectif premier est de prévenir les rôles de sécurité potentiels et de maintenir un environnement sûr.

Cependant, il est tout aussi important de comprendre que toutes les menaces ne peuvent pas être bloquées à l’avance. Dans ce cas, la veille de sécurité informatique sert également de mécanisme pour identifier la cause d’un incident de sécurité qui s’est produit malgré les mesures préventives.

Le contrôle peut être effectué sous différentes perspectives :

  • Le contrôle peut être effectué de différentes manières. La collecte à partir de différentes sources consiste à obtenir des informations sur les flux d’utilisateurs, l’accès aux données, l’identité, le réseau et même le système d’exploitation.
  • Surveiller à différents niveaux. La conformité du programme et de la plate-forme est importante. Supposons qu’un utilisateur du programme obtienne accidentellement des privilèges accrus ou qu’une faille de sécurité se produise. Si l’utilisateur effectue des actions en dehors du champ d’application spécifié, l’impact peut être affecté par des actions que d’autres utilisateurs peuvent effectuer.
  • Utiliser des outils de surveillance spécialisés. Il est important de savoir que des outils spécialisés peuvent rechercher en permanence des comportements anormaux susceptibles d’indiquer une attaque.
  • Les outils doivent être intégrés à la plateforme ou au moins basés sur la plateforme pour obtenir des expéditeurs complets de la plateforme et faire des prédictions importantes.
  • Utiliser la surveillance de la réponse aux incidents. Les données agrégées transformées en renseignements exploitables permettent de réagir rapidement et efficacement aux incidents. Le suivi facilite les activités postérieures à l’incident.

A lire aussi: Impact de la gestion du parc informatique sur la sécurisation des données d’une entreprise

Meilleures pratiques qui intègrent les perspectives de la veille de sécurité informatique

Veille informatique
Veille informatique

Capturer les données pour préserver la piste d’activité

L’objectif est de conserver une piste d’audit complète des événements importants du point de vue de la sécurité.

  • La journalisation est le moyen le plus courant d’enregistrer les schémas d’accès. La journalisation doit être effectuée pour l’application et la plate-forme.
  • Pour un journal d’audit, vous devez déterminer quand et qui est associé aux actions. Vous devez identifier les périodes de temps spécifiques pendant lesquelles les actions sont effectuées.
  • Effectuez cette évaluation dans le cadre de votre modélisation des menaces. Pour éviter la menace d’une re-détection, vous devez créer des systèmes de journalisation et de surveillance solides qui permettent d’enregistrer les activités et les transactions.

Charges de travail pour les processus utilisateur

La charge de travail doit être conçue de manière à fournir une visibilité au moment de l’exécution lorsque des événements se produisent.

  • Identifiez les points clés de la charge de travail et créez une journalisation pour ces points. Il est important de savoir si les privilèges de l’utilisateur ont été augmentés, quelles actions l’utilisateur a effectuées et s’il a accès à des informations sensibles dans un magasin de données sécurisé.
  • Gardez une trace des activités de l’utilisateur et de la session utilisateur.
  • Pour faciliter ce suivi, un code doit être appliqué par le biais d’une journalisation structurée. De cette manière, il est facile et cohérent d’interroger et de filtrer les journaux.

Recommandations

Vous devez mettre en place une journalisation responsable afin de préserver la confidentialité et l’intégrité du système de veille de sécurité informatique. Les secrets et les données sensibles ne doivent pas apparaître dans les journaux. Lors de l’enregistrement de ces données, il faut tenir compte des exigences en matière de confidentialité et de conformité.

Créez un enregistrement complet des schémas d’accès aux applications et des changements apportés aux ressources de la plate-forme. Disposer de journaux d’activité et de mécanismes de détection des menaces efficaces, en particulier pour les activités liées à l’identité, car les pirates tentent souvent de manipuler les identités pour obtenir un accès non autorisé.

Mettez en œuvre une journalisation complète en utilisant tous les points de données disponibles. Par exemple, vous pouvez utiliser l’adresse IP du client pour faire la distinction entre l’activité normale de l’utilisateur et les menaces potentielles provenant d’endroits inattendus. Tous les événements de journalisation doivent être horodatés par le serveur.

Enregistrez toutes les activités d’accès aux ressources et notez qui fait quoi et quand il le fait. Les cas d’escalade des privilèges sont des données qu’il convient d’enregistrer. Les actions liées à la création ou à la suppression de comptes dans l’application doivent également être enregistrées. Cette recommandation s’applique également aux secrets de l’application. Il convient de contrôler qui a accès aux secrets et à quel moment ils sont utilisés.

S’il est important de consigner les actions réussies, il est également nécessaire d’enregistrer les échecs du point de vue de la veille de sécurité informatique. Documentez toute violation, telle qu’un utilisateur tentant d’effectuer une action mais rencontrant une erreur d’authentification, des tentatives d’accès à des ressources qui n’existent pas, et d’autres actions qui semblent offensantes.

Vous pouvez utiliser votre conception de la segmentation pour activer des points d’observation aux frontières afin de surveiller ce qui les traverse et d’enregistrer les données. Par exemple, vous pouvez surveiller les sous-réseaux dont les groupes de sécurité réseau créent des journaux de flux.

Vous pouvez également surveiller les journaux de pare-feu qui indiquent les flux autorisés ou refusés.

Des journaux d’accès sont disponibles pour les demandes de connexion entrantes. Ces journaux enregistrent les adresses IP SOURCE à l’origine des demandes, le type de demande (GET, POST) et toute autre information faisant partie des demandes.

L’enregistrement du flux DNS est une exigence importante pour de nombreuses organisations. L’analyse du trafic DNS est un aspect essentiel de la sécurité des plateformes.

Il est important de surveiller les requêtes DNS inattendues ou les requêtes DNS dirigées vers des points d’extrémité de commande et de contrôle connus.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici