Cybersécurité

Protection. Accompagnement. Sécurité.

  • Authentification multi-facteurs
  • Authentification basée sur le risque

L’authentification multifacteur ou MFA, est un système de sécurité nécessitant divers moyens d’identifications. Ces derniers se basent sur des catégories d’informations d’indentifications indépendantes pour assurer la vérification de la connexion de l’utilisateur ou toutes formes de transaction. Pour cela, deux informations d’identifications indépendantes au minimum seront utilisées : le mot de passe, le jeton de sécurité et la vérification biométrique.

Le but de l'AMF est de mettre en place des défenses à différents niveaux et de rendre plus difficile l'accès des personnes non autorisées à des cibles (telles que des emplacements physiques, des appareils informatiques, des réseaux ou des bases de données). Si un facteur est endommagé ou détruit, l'attaquant doit encore surmonter au moins un obstacle avant d'entrer avec succès dans la cible. Il y a quelques années, les systèmes AMF étaient globalement basés sur une authentification à deux facteurs. Aujourd’hui, les fournisseurs utilisent de plus en plus des balises « multifactorielles » pour parler de tout système d'authentification nécessitant plusieurs identités.

L'authentification basée sur les risques est un système dynamique qui prend en compte le fichier de configuration de l'agent utilisateur. Celui-ci sollicite l'accès au système pour connaître l'identité de l'utilisateur (adresse IP, temps d'accès, en-tête HTTP de l'agent utilisateur, etc.) associé à cette transaction. Dans un second temps, le profil de risque est utilisé pour évaluer la complexité du défi. Les profils à haut risque posent de plus grands défis, tandis que les noms d'utilisateur / mots de passe statiques peuvent être suffisants pour les profils à faible risque. La mise en œuvre basée sur les risques permet uniquement à l'application de demander aux utilisateurs de fournir des informations d'identification complémentaires lorsque le niveau de risque est approprié.

L'authentification machine est récurrente dans le cadre d'une implémentation basée sur les risques. L'authentification de la machine s'exécute en arrière-plan et si l'ordinateur est méconnaissable, seul le client est invité à effectuer une autre authentification. Dans un système d’authentification basé sur les risques, l'organisation décide si une autre vérification d'identité est requise.

L'authentification renforcée sera déclenchée si le risque est considéré comme potentiel, par un mot de passe unique transmis par une communication hors bande par exemple.

Quand les clients effectuent certaines transactions à haut risque (telles que les envois de fonds ou les changements d'adresse), ils peuvent également utiliser une authentification basée sur les risques pour demander une authentification supplémentaire pendant la session.

L'authentification basée sur les risques est une solution très avantageuse pour les clients, car des étapes additionnelles sont nécessaires uniquement dans certaines circonstances inhabituelles (telles que la tentative de connexion à partir d'un nouvel ordinateur).

La clé est d'améliorer la précision de l'authentification des utilisateurs sans perturber les utilisateurs. Les grands groupes/entreprises utilisent l'authentification basée sur les risques.

  • Pare-feu pour applications web
  • Pare-feu de nouvelle génération

Le pare-feu d'application Web est un type spécial de pare-feu d'application, spécifiquement pour les applications Web. Il est déployé devant les applications Web et analyse les communications Web bidirectionnelles (HTTP) - détecte et bloque tout malware. OWASP fournit une définition technique large pour WAF, c'est-à-dire : « D'un point de vue technique, il ne repose pas sur l'application elle-même en tant que solution de sécurité au niveau de l'application Web ».

Selon le supplément d'information PCI DSS 6.6 requis, WAF est défini comme le « point d'application de la politique de sécurité situé entre l'application Web et le point client ». Cette fonction peut être implémentée dans le logiciel ou le matériel, exécutée dans un appareil ou dans un serveur typique exécutant un système d'exploitation général. Il peut s'agir d'un appareil autonome ou intégré à d'autres composants du réseau.

En d'autres termes, WAF peut être un appareil virtuel ou un appareil physique qui peut empêcher l'exploitation des vulnérabilités des applications Web par des menaces externes. Ces vulnérabilités peuvent être causées par l'application elle-même étant une ancienne version ou un codage insuffisant dans le processus de conception. WAF corrige ces défauts de code via une configuration spéciale de jeu de règles (également appelée stratégie).

WAF n'est pas la solution de sécurité finale, mais est conçu pour être utilisé en conjonction avec d'autres solutions de sécurité du périmètre du réseau (telles que les pare-feu réseau et les systèmes de prévention des intrusions) pour fournir une défense stratégique mondiale.

Comme le souligne l'Institut SANS, le WAF suit généralement un modèle de sécurité positive, un modèle de sécurité négative ou une combinaison des deux. WAF utilise une combinaison de logique, d'analyse et de signatures basées sur des règles pour détecter et prévenir les attaques telles que les scripts intersites et l'injection SQL. OWASP répertorie les dix principales vulnérabilités de sécurité des applications Web. Toutes les offres commerciales WAF couvrent au moins ces dix échappatoires. Il existe également des options non commerciales.

Comme mentionné précédemment, le moteur WAF open source bien connu ModSecurity est un tel choix. Le moteur WAF seul ne suffit pas à fournir une protection adéquate, c'est pourquoi OWASP et les Spiderlabs de Trustwave aident à organiser et à maintenir un ensemble de règles de base à utiliser avec le moteur WAF ModSecurity via GitHub.

Les pares-feux sont divisés en deux catégories : les systèmes basés sur le réseau et les systèmes basés sur l'hôte. Le pare-feu basé sur le réseau peut être placé n'importe où dans le réseau local ou le réseau étendu. Il peut s'agir d'un périphérique logiciel qui s'exécute sur du matériel à usage général, d'un périphérique matériel qui s'exécute sur du matériel dédié ou d'un périphérique virtuel qui s'exécute sur un hôte virtuel contrôlé par un hyperviseur. Le dispositif pare-feu peut également fournir d'autres fonctions en plus du pare-feu, telles que le service DHCP ou VPN.

Selon la définition de Gartner, le pare-feu de nouvelle génération (NGFW) est un "pare-feu d'inspection approfondie des paquets, qui peut non seulement vérifier et bloquer les ports / protocoles, mais également ajouter une inspection au niveau de l'application, la prévention des intrusions et fournir des informations extérieures au pare-feu."

Le pare-feu de nouvelle génération (NGFW) fait partie de la technologie de pare-feu de troisième génération, qui combine les pares-feux traditionnels avec d'autres fonctions de filtrage des équipements réseau, tels que les pares-feux d'application qui utilisent l'inspection approfondie des paquets (DPI) et les systèmes de prévention des intrusions (IPS).

D'autres technologies peuvent également être utilisées, telles que l'inspection du trafic crypté TLS / SSL, le filtrage de sites Web, la gestion de la qualité de service et de la bande passante, l'inspection antivirus et l'intégration Web, la gestion des identités tierces (c'est-à-dire LDAP, RADIUS, Active Directory).

NGFW doit pouvoir identifier les utilisateurs et les groupes et appliquer des politiques de sécurité basées sur l'identité. Dans la mesure du possible, cela doit être réalisé grâce à une intégration directe avec les systèmes d'authentification d'entreprise existants (tels qu'Active Directory) sans logiciel personnalisé côté serveur. Cela permet aux administrateurs de créer des politiques plus granulaires.

  • Solutions contre les logiciels de rançon
  • Solutions anti-exploitation

Le ransomware, communément appelé CryptoLocker, CryptoDefense ou CryptoWall, est un type de malware qui restreint, voire empêche les utilisateurs d'utiliser complètementa leurs ordinateurs. Ils verrouillent généralement l'écran de l'ordinateur ou chiffrent les fichiers.

Le nouveau type de ransomware Crypto Ransomware oblige les utilisateurs à payer un certain montant pour obtenir la clé de déverrouillage.

Les familles de logiciels de ransomware actuelles puisent leurs origines dans les débuts des faux antivirus, ensuite vient les variantes de lockers pour ensuite arriver sur les variantes de fichier de cryptage qui représentent aujourd’hui la majorité des logiciels de ransomware.

Chaque type de malware a un objectif commun, qui est d'extorquer de l'argent aux victimes grâce à l'ingénierie sociale et en utilisant l’intimidation. A chaque fois, les rançons demandées sont de plus en plus importantes.  

Pour garantir un niveau de sécurité plus important, les programmes anti-exploitation bloquent les techniques mises en place par les attaquants.

Ces solutions peuvent vous protéger des attaques Flash et des failles des navigateurs, et même empêcher les nouvelles tentatives non découvertes ou corrigées.

La « chaîne d’élimination » des exploits est composée de plusieurs étapes. Les exploits sur le Web utilisent souvent des attaques de téléchargement du genre « drive-by download » par exemple. L'infection commence lorsque la victime visite un site Web infecté qui est infecté par un code JavaScript malveillant.

Après plusieurs vérifications, la victime a finalement été redirigée vers la page d'accueil via des vulnérabilités de navigateur Flash, Silverlight, Java ou Web. En revanche, pour les vulnérabilités dans Microsoft Office ou Adobe Reader, le vecteur d'infection initial peut être des e-mails de phishing ou des pièces jointes malveillantes.

Après la phase de livraison initiale, l'attaquant utilise une ou plusieurs failles logicielles pour contrôler le flux d'exécution du processus, puis entre dans la phase de développement. En raison des mesures de sécurité intégrées au système d'exploitation, il est généralement impossible d'exécuter directement du code arbitraire, les attaquants doivent donc d'abord les contourner.

Une exploitation réussie permet l'exécution du shellcode, dans lequel le code arbitraire de l'attaquant commence à s'exécuter, ce qui conduit finalement à l'exécution de la charge utile. La charge utile peut être téléchargée sous forme de fichier ou même chargée et exécutée directement à partir de la mémoire système.

Peu importe la façon dont les étapes initiales sont effectuées, l’objectif ultime de l'attaquant est de de lancer des activités malveillantes. Démarrer une autre application ou d’un fil d’exécution peut être très suspect, notamment si vous savez que l'application en question ne possède pas de cette fonctionnalité. La technologie anti-intrusion surveille ces opérations, suspend le flux d'exécution de l'application et applique d'autres analyses pour vérifier si l'opération tentée est légitime.

L'activité du programme (modifications de la mémoire dans une zone de mémoire spécifique et source de la tentative de démarrage du code) qui s'est produite avant le lancement du code suspect est utilisée pour identifier si l'utilisateur a pris des mesures.

En outre, le PE a mis en œuvre de nombreuses mesures de sécurité pour traiter la plupart des techniques d'attaque utilisées dans les exploits, y compris le détournement de Dll, l'injection de Dll réfléchissante, l'allocation de pulvérisation de tas, la perspective de la pile, etc.

Ces autres indicateurs de comportement fournis par le mécanisme de suivi d'exécution du composant de détection de comportement permettent à la technologie de bloquer en toute sécurité l'exécution de la charge utile.

  • Surveillance du réseau
  • Test de pénétration

Les outils de surveillance et de diagnostic des performances du réseau aident les équipes informatiques et d'exploitation du réseau à comprendre le comportement continu du réseau et de ses composants en réponse aux demandes de trafic et à l'utilisation du réseau. Il est essentiel de mesurer et de rendre compte des performances du réseau pour garantir que les performances restent à un niveau tolérable. Les clients de ce marché cherchent des outils d'identification pour détecter les problèmes d'application, identifier les causes profondes et planifier la capacité.

L'utilisation d'un logiciel de surveillance du réseau et d'outils de surveillance du réseau peut simplifier et automatiser le processus de surveillance et de gestion du réseau.

Un système de surveillance du réseau est essentiel pour résoudre les goulots d'étranglement et les problèmes de performances du réseau qui peuvent avoir un impact négatif sur les performances du réseau.

Avec le développement rapide de la surveillance du réseau d'entreprise et de la surveillance du réseau à distance, divers équipements et solutions de surveillance de réseau sont disponibles sur le marché. Un système de gestion de réseau efficace comprendra un outil de surveillance réseau intégré qui peut aider les administrateurs à réduire le personnel et à automatiser les techniques de dépannage de base.

Fonctions d'un logiciel de surveillance de réseau efficace :

-Visualiser l'ensemble de l'infrastructure informatique et avoir d'autres classifications basées sur le type ou le groupe logique.

-Utilisation de modèles prédéfinis pour configurer automatiquement les périphériques et les interfaces.

-Surveiller et dépanner les performances du réseau, du serveur et des applications.

-Mettre en œuvre une technologie avancée de surveillance des performances du réseau pour résoudre rapidement les pannes en identifiant la cause première du problème.

-Bénéficiez de fonctions de reporting avancées, qui peuvent planifier et envoyer ou publier automatiquement des rapports par e-mail.

La surveillance du réseau est devenue un aspect important de la gestion de toute infrastructure informatique. De même, l'évaluation du réseau est considérée comme l'étape de base pour aligner votre infrastructure informatique sur les objectifs de l'entreprise, ce qui est atteint par les applications de surveillance du réseau.

Le test de pénétration (généralement appelé le pen test, pentest ou piratage éthique) est une attaque de réseau simulée autorisée sur un système informatique pour évaluer la sécurité du système. À ne pas confondre avec l'évaluation de la vulnérabilité.

Effectuer des tests pour identifier deux faiblesses (également appelées vulnérabilités), y compris la possibilité et les avantages pour des parties non autorisées d'accéder aux fonctions et aux données du système, afin que les risques du système puissent être pleinement évalués.

Ce processus identifie la plupart du temps le système cible et les objectifs spécifiques, puis vérifie les informations disponibles et utilise diverses méthodes pour atteindre cet objectif. Les cibles des tests de pénétration peuvent être des boîtes blanches (fournissant des informations sur le contexte et le système) ou des boîtes noires (fournissant uniquement des informations de base ou ne fournissant aucune information autre que le nom de l'entreprise).

Les tests de pénétration en boîte grise sont une combinaison des deux (le vérificateur partage une connaissance limitée de la cible). Les tests de pénétration peuvent aider à savoir si le système est vulnérable aux attaques si les défenses sont adaptées, et quelles défenses (si c’est le cas) ont échoué au test.

Tout problème de sécurité révélé par les tests d'intrusion doit être notifié au propriétaire du système. Le rapport de test d'intrusion peut également apprécier l’impact éventuel sur l'organisation et proposer des recommandations pour atténuer les risques.

  • Détection et réponse aux points terminaux
  • ISP Link Balancer
  • Contrôleur de la diffusion des applications

Le marché des solutions de détection et de réponse des points de terminaison (EDR) est défini comme : l'enregistrement et le stockage des comportements des points de terminaison au niveau du système, en utilisant diverses techniques d'analyse de données pour détecter les comportements suspects du système, en fournissant des informations contextuelles, en empêchant les activités malveillantes et en fournissant des recommandations pour la restauration des systèmes affectés.

Les solutions CED doivent fournir les quatre fonctions essentielles suivantes :

- Répondre aux menaces en temps réel
- Accroître la visibilité et la transparence des données des utilisateurs
- Détecter les événements critiques et les installations de logiciels malveillants
- Création de listes noires et de listes blanches
- Intégration avec d'autres technologies

L'équilibrage de la charge Internet fait référence à la méthode de distribution du trafic Internet via deux ou plusieurs connexions Internet pour obtenir deux résultats :

  1. Meilleures performances d'Internet et des utilisateurs finaux.
  2. Améliorez la fiabilité de la connexion Internet.

 

Dans la plupart des cas, l'effet secondaire agréable de l'équilibrage de charge Internet est la réduction des dépenses d'exploitation des services Internet. Dans la plupart des cas, la connexion Internet obtenue grâce à l'équilibrage de charge est plus rentable que la liaison à un seul FAI avec des capacités de bande passante similaires - dans la plupart des cas, un seul fournisseur ne peut pas fournir un tel lien, l'équilibrage de charge Internet est donc la seule méthode possible pour atteindre les options de vitesse et de fiabilité requises

Le principe de l'équilibrage de charge reste le même dans n'importe quel environnement, bien que la situation et l'implémentation soient différentes. Les fournisseurs de services Internet utilisent des stratégies d'équilibrage pour gérer l'évolution du trafic Internet entrant, et l'équilibrage de la charge cloud a ses propres aspects particuliers.

Le problème de l'équilibrage de charge de plusieurs connexions FAI peut être résolu très simplement en utilisant les options d'interface graphique dans de nombreux appareils du commerce.

Les raisons de l'équilibrage de charge des FAI sont différentes. On peut considérer qu'un FAI est plus efficace ou moins cher que l'autre.

L'Application Delivery Controller (ADC) est un périphérique de réseau informatique dans le datacenter, généralement intégré à l'Application Delivery Network (ADN), et peut effectuer des tâches courantes telles que celles effectuées par les organisations informatiques. Le serveur Web lui-même. Beaucoup d'entre eux fournissent également un équilibrage de charge. L'ADN est généralement placé dans la DMZ, entre le pare-feu ou le routeur externe et la ferme Web.

Une idée fausse courante est que le contrôleur de diffusion d'application (ADC) est un équilibreur de charge avancé. Cette description n'est pas exacte. ADC est un périphérique réseau qui aide les applications à diriger le trafic des utilisateurs pour éliminer la charge excessive de deux serveurs ou plus. En fait, ADC comprend de nombreux services OSI de 3 à 7 couches, y compris l'équilibrage de charge.

D'autres fonctionnalités communes à la plupart des CDA sont l'optimisation du trafic IP, le canal / direction du trafic, le déchargement SSL, le pare-feu d'application Web, CGNAT, DNS et le proxy / proxy inverse, pour n'en nommer que quelques-uns. Ils ont également tendance à fournir des fonctionnalités plus avancées, telles que la redirection de contenu et la surveillance de l'état du serveur.

Cisco Systems proposait des contrôleurs de livraison des applications jusqu'à son retrait du marché en 2012. Les leaders du marché tels que F5 Networks, Citrix, KEMP, Radware, etc. avaient réussi à se développer sur le marché grâce à Cisco pendant les années précédentes.

Protection bastion/PAM

ETHIC IT vous propose une solution innovante et essentielle, développée par notre partenaire SSH.

Principe d’une solution Bastion (PAM)

Une solution PAM (Privileged Access Management), ou Bastion, permet de gérer vos comptes à privilèges de façon transparente et sécurisée.

Le but de la solution est :
• D’avoir un point d’accès unique et sécurisé : Pas besoin d’utiliser des machines de rebonds
• Gérer les accès : Un profil utilisateur, administrateur ou externe ne pourra voir et accéder qu’à ce dont il a besoin.
• Assurer une traçabilité : Les actions et connexions sont loggées et Les sessions peuvent être enregistrés en vidéo et archivées
• Prévenir de certaines actions : Détecter et bloquer certaines actions en fonction de règles définies (exemple : empêcher une commande de reboot)

Utilisation simple et transparente

L’interface d’utilisation est simple et agrège tous vos environnements sur une fenêtre web.
La solution Bastion permet d’attribuer des rôles aux utilisateurs avec pour chaque rôle des droits d’accès spécifiques pour tous vos environnements. Ainsi, sur une seule interface, vous pourrez gérer l’accès de vos utilisateurs à toutes vos machines et en tracer toutes les opérations.
L’utilisateur n’a la visibilité que sur les environnements qui lui sont accessibles, et l’administrateur peut gérer les accès et revoir les enregistrements à partir de cette même interface.

Ethic IT vous accompagne dans la mise en place de la solution Bastion PrivX by SSH.