Les responsables sécurité
seront tous d'accord : à
force d'empiler les matériels de sécurité,
on en vient souvent à noyer l'administrateur sous
une vague d'alertes - et autres logs - qui déferlent
par milliers de lignes.
D'aucuns abandonneront l'espoir de passer chaque fichier
méthodiquement au crible. A ceux-là, on
ne saurait trop conseiller l'usage des systèmes
de corrélation, qui concentreront le peu d'attention
dont ils disposent sur les attaques les plus dangereuses.
Quant aux autres, qui
s'astreignent plus d'une heure par jour à épelucher
les logs, ils seront attirés par les autres charmes
que recèle la corrélation.
Rapidité
et efficacité
Car la vertu de la corrélation est double. Non
seulement elle automatise une partie du travail de l'enquêteur,
faisant ainsi gagner un temps considérable.
Mais surtout : elle met en évidence des
attaques qu'un homme serait incapable d'identifier.
Le tout à une vitesse nettement supérieure
à celle de l'humain, ce qui permet à l'administrateur
de réagir plus rapidement. De quoi séduire
les responsables sécurité les plus rigoureux,
au même titre que les dilettantes.
Entrons
dans le détail : les outils de corrélation
recueillent des données en provenance d'en ensemble
de matériels de sécurité. Ils les
normalisent de façon à pouvoir les traiter
comme un tout homogène. Puis ils les recoupent
dans le temps et dans l'espace : ils comparent
les données en provenance des différents
outils de défense selon des routines complexes,
ce qui permet d'éliminer les fausses alertes,
mais aussi de faire ressortir les attaques les plus
discrètes.
En parrallèle,
les outils de corrélation donnent une dimension
supérieure à l'analyse : la dimention
temporelle. En remontant loin dans le temps, on peut
vérifier qu'un comportement anodin n'est pas
en réalité une attaque lente - étalée
dans le temps pour déjouer la vigilence des administrateurs.
On peut aussi vérifier qu'une adresse IP n'a
pas servi de point de départ à un comportement
douteux.
Hors
de prix ?
Le
tout est porté à l'attention de l'administrateur
en léger différé, ce qui permet
de s'attaquer à quelques grosses alertes -
très pertinentes. Le traitement du problème
s'en trouve accéléré : l'administrateur
peut parfois même intervenir avant la fin de l'attaque.
La corrélation est donc une bonne solution pour
prioritiser ses efforts avec rapidité et pertinence.
Mais pour bénéficier de cet avantage,
mieux vaut choisir son outil de corrélation avec
soin : certains sont nettement plus réactifs
que d'autres.
Le fin du fin ? Donner
à l'outil de corrélation la possibilité
de recouper les informations de sécurité
avec d'autres données - bases de données
client, état de l'infrastructure, état
du réseau, etc ... Un niveau de détail
qui donnera à notre inspecteur électronique
la liberté d'épingler des attaques encore
plus subtiles, et d'éliminer d'autres suspects
qui ne sont en réalité pas dangereux.
Reste qu'au moment de
passer à la caisse, l'addition est salée.
Si l'on inclut les machines et les logiciels dont le
rôle est de "sonder les sondes", la
base de données qui regroupe les logs et les
harmonise, le logiciel qui les corrèle et les
fait remonter à l'adminsitrateur, la facture
prend déjà de l'embonpoint.
Il faut encore comptabiliser
le prix de longues journées d'implémentation :
la corrélation est une discipline jeune et balbutiante,
et l'univers de la sécurité est morcellé
en différentes marques, bien difficiles à
réconcilier. On en arrive donc à un total
prohibitif - dépassant facilement les 50 000
euros - qui prive le commun des entreprises de l'eldorado
de la corrélation. Dans les firmes où la
sécurité n'a pas de prix, on se tournera
toutefois volontiers vers les produits de Enterasys
Networks, e-Security, GuardedNet, IBM, Intellitactics
et de netForensics.
>
Agréger n'est pas corréler. |
L'agrégation
consiste à regrouper plusieurs alertes
sous une seule bannière. Elle est pertinente
et utile dans la mesure où elle permet
à l'administrateur d'éviter de consulter
x messages en provenance d'un même outil
de défense, prévenant des dangers
d'une seule et même attaque. Mais il ne
faut pas confondre agrégation et corrélation :
la corrélation recoupe des données
très différentes, et parvient ainsi
à faire passer un groupe d'alertes mineures
au rang d'alerte majeure, et vice versa. En d'autres
termes, l'agrégation regroupe tandis que
la corrélation va jusqu'à enquêter.
|
|