Les stratégies pour bâtir un Cyber Security Operation Center (Partie 3/3) : L’arsenal technique complet de Cyber Sécurité et de Cyber Défense

hacker 2300772 960 720

Les stratégies pour bâtir un Cyber Security Operation Center (Partie 3/3)

L’arsenal technique, complet, de Cyber Sécurité et de Cyber Défense

Lire  Les stratégies pour bâtir un Cyber Security Operation Center (Partie 1/3)

Lire  Les stratégies pour bâtir un Cyber Security Operation Center (Partie 2/3)

Sommaire de la publication (3/3)

Introduction

Un arsenal de cyber sécurité et de cyber défense

L' approche stratégique

Évaluation des coûts d’un déploiement Open Source

Mes recommandations en terme d’outils open sources/gratuits

  1. Catégorie: Network Security Monitoring (NSM)
  2. Catégorie: Host Security
  3. Catégorie: Log Collection/Aggregation
  4. Catégorie: App Security
  5. Catégorie: SIEMs and Event Consoles
  6. Catégorie : Malware Analysis
  7. Catégorie : Threat Intelligence (Cyber renseignement)

Conclusion

Introduction

Au moment ou je met en page ma publication, la presse annonce que le Burkina vient de subir une cyber attaque vient de subir une cyber attaque d’envergure. Bien qu’indépendante de la vague du début du mois de mai 2017, elle reste symptomatique des difficultés que nos autorités ont a prendre conscience des enjeux du cyber espace. Une faille connu depuis 2012 et dont le correctif existait. La sécurité numérique, la sécurité économique et la cyber défense ne sont pas qu’une question de technologie. C’est aussi et surtout une question de stratégie, d’organisation et de ressources humaines compétentes et passionnées.Dans les systèmes d’information d’aujourd’hui, le nombre d’attaques ne cesse de croître et les attaques visant les terminaux (ransomware, phishing, malveillances internes depuis les terminaux, etc.).

Durant la première partie du mois de mai 2017, des organisations dans plus de 140 pays ont vu leur fonctionnement significativement perturbé, des opérateurs télécom, des constructeurs automobiles tels que Renault, et au Royaume-Uni, c’est le système national de santé (NHS) qui a été sérieusement endommagé avec des systèmes IT en panne et des interventions annulées. Je suis choqué non pas par la cyber attaque de ces derniers jours mais de réaliser que notre continent continue de penser que cela n'arrive qu’aux autres. L'ampleur et la fréquence de ces attaques démontrent que ce n'est qu'une question de mois avant que nos économies ne subissent des incidents similaires. Qui seront plus graves du fait que nos capacités de résilience sont faibles voire inexistantes. Pensez-vous que ces entreprises ne disposent pas d'informaticiens compétents, souvent bardés de certifications ?

Le problème est comme je le dis depuis des années d'ordre certes technologique mais aussi comportemental, organisationnel et juridique. Le phénomène des ransonwares date de plus de deux ans et malgré les alertes des professionnels, les organisations ont ignorés les avertissements. C'est le début d'une nouvelle ère et nous (en Afrique particulièrement) ne sommes pas conscient de l'impact que ces attaques peuvent avoir sur nos économies. Pour un DAESH une cyber attaque est plus dévastatrice, moins risquée et surtout moins chère à mettre en place en permettant une simultanéité sans avoir d'agents dormants dans le pays cible.

Ne rien faire n’est plus une option.

Dans cette publication je propose, dans le cadre de la dernière partie de ma série de publications sur les CSOC, un arsenal logiciel complet pour mettre en place des dispositifs efficaces. Sans être une solution ultime, l’adoption des CSOC est une piste pertinente pour augmenter les capacités de résilience de nos organisations.

Un arsenal de cyber sécurité et de cyber défense

Pour un budget extrainement réduit pour les états et entreprises africains ou toute organisation désireuse de disposer d’un arsenal redoutable a moindre cout en se basant exclusivement sur l’Open Source ou le gratuit.

Les ressources sont limitées par nature, mais les responsables de la cyber sécurité veulent toujours des dispositifs ultra efficaces, performants et puissants. En terme simple très couteux. Il existe de nombreux fournisseurs de produits et de solutions de cyber sécurité malheureusement très couteux et par conséquent inaccessible aux états africains et au tissues des entreprises qui constituent leurs économies. Rares sont les entreprises qui peuvent investir plus d’un million de dollars dans ces dispositifs alors que les menaces sont de plus en plus précises, dévastatrices et couteuses en dégâts économiques souvent incalculables.

C’est pour éliminer cette contrainte de cout, permettre de bâtir un CSOS performants, efficace et redoutable a moindre cout que j’ai conçu ce guide composé d’un véritable arsenal d’outils de sécurité de dernière génération, qui pour certains ont fait leur preuves depuis plus de dix ans. Grâce a cet arsenal, le budget du CSOC va connaitre une réduction significative permettant des économies qui pourront ainsi être réinjectées sur la composante humaines, la formation et la recherche et développement.

5755231642 085d13db65 b

L' approche stratégique

La bonne approche consiste à toujours investir d’abord dans une stratégie claire, ensuite dans les personnes (composante humaine) et pour finir dans la recherche et développement. Je rencontre dans mes missions trop d'organisations dédiées a la cyber sécurité qui investissent et achètent des produits et des solutions coûteux sans une compréhension claire de la façon de les déployer ou de les utiliser pour atteindre des objectifs mesurables. Les outils gratuits et Open Source offrent une puissante alternative en terme de cout sans pour autant réduite efficacité et la qualité de votre CSOC. Même si en général l’arsenal que je propose ne correspond pas a vos besoins, utilisez-le pour construire vos laboratoires de recherches et développement. Une autre approche intéressante consiste a utiliser aussi bien des produits et solutions Open Source que leurs équivalents commerciaux. Dans tous les cas la réduction de cout d’investissement sera significative. PS: La plus part des outils de l’arsenal que je propose ont des références fortes.

Certaines sont issues de communautés open source depuis plus de dix ans, d’autres sont développés par Google, Facebook ou de grandes entreprises.

Évaluation des coûts d’un déploiement Open Source

Avant de déployer une solution open source, vous devriez avoir un cahier des charges pour comprendre vos besoins et être en mesure de savoir si vous avez choisi les bons outils. Ces outils sont souvent plus difficiles à déployer que les solutions commerciales, et elles ne viennent pas intrinsèquement avec des supports. Il existe cependant un excellent moyen d’éliminer cette contrainte. C’est votre département recherche et développement. Une équipe capable de comprendre les codes sources et de rédiger ses propres programmes et modifier ainsi les outils lorsque cela est nécessaire. Certains outils open source ne sont pas bien documentés, donc votre équipe doit être en mesure de reconstituer une documentation orienté sur vos besoins.

Cette documentation partira de sources ouvertes comme Internet, les articles de recherche, des forums, des blogs et des groupes de discussion.

Le projet Komand Komunity fournit des guides utiles pour les spécialistes qui choisissent les produits et solutions open sources/gratuits. C’est donc un excellent point de départ.

Pour finir, il est recommandé, avant d’opter pour un produit ou une solution open source/gratuit, d’évaluer le choix pour identifier les facteurs de performances, les frais généraux, les frais d’exploitations et le cout de son évolution sur 3 ou 5 ans.

Mes recommandations en terme d’outils open sources/gratuits

J’ai regroupé mon arsenal en sept catégories. Cela vous donnera une grille structurée pour effectuer vos choix en fonction de vos besoins spécifiques. J’ai pris la liberté de nommer ces catégories en anglais. Je ne pense pas que cela généra la compréhension et encore moins des outils.

Catégorie: Network Security Monitoring (NSM)

Security Onion IDS

Un système de détection d'intrusion (IDS: « Intrusion Detection System ») est un mécanisme destiné à repérer des activités anormales ou suspectes sur la cible analysée (un réseau ou un hôte). Il permet ainsi d'avoir une connaissance sur les tentatives réussies comme échouées des intrusions. C’est un atout majeur dans l’arsenal d’un dispositif de cyber défense. C’est une distribution Linux qui intègre des outils de sécurité issus de communauté Open Source (maintenu par Doug Burks) pour en faire un NSMS complet incluant les fonctions de Capture et sauvegarde de trafic;

  1. (NIDS) (signature et comportemental);
  2. (HIDS); Journalisation d’évènements;
  3. Architecture distribuée (client/serveur);
  4. Outils d’analyse et rapports;

Bro

C’est un puissant outil de surveillance de la sécurité du réseau qui dispose d'un langage de script basé sur l'événement. Bro est également Évolutif à travers les hôtes avec sa conception en cluster. Bro est conçu et maintenu par des centres de recherches. Ce logiciel est programmé de façon totalement différente de (Snort), il s'appuie sur les mêmes bases théoriques (filtrage par motif, formatage aux normes RFC, etc.), mais il intègre un atout majeur : l'analyse de flux réseau. Cette analyse permet de concevoir une cartographie du réseau et d'en générer un modèle. Ce modèle est comparé en temps réel au flux de données et toute déviance lève une alerte. Le principal problème du logiciel par rapport à Snort est son caractère universitaire. En effet, il n'existe aucun plug-in ni interface graphique pour paramétrer l'outil. Le système étant produit par des chercheurs, les mises à jour et les communautés d'utilisateurs sont elles aussi parfois insuffisantes. Mais je vous le recommande fortement pour ses capacités d’analyse en temps réels. Le gros avantage du logiciel est son analyse réseau en temps réel qui permet de garantir encore mieux la pérennité du réseau.

Suricata

Suricata  est un IDS/IPS basé sur des signatures qui est distribué sous licence GPL v2. Suricata est un logiciel open source de détection d'intrusion (IDS)

1, de prévention d'intrusion (IPS), et de supervision de sécurité réseau (NSM). Il est développé par la fondation OISF (Open Information Security Foundation)2. Suricata permet l'inspection des Paquets en Profondeur (DPI).

De nombreux cas d'utilisations déontologiques peuvent être mis en place permettant notamment la remontée d'informations qualitatives et quantitatives. C’est un système de détection d'intrusion multi-thread qui analyse le trafic sur une ou plusieurs interfaces réseaux en fonction de règles activés. Il génère, par défaut, un fichier JSON. Celui-ci peut être ensuite utilisé par le logiciel de type Extract-transform-load comme par exemple logstash souvent utilisé avec Elasticsearch. Scirius est une interface web sous licence GPLv3 écrite avec Django dédiée à l'édition des règles Suricata.

La version mono-serveur est open source et libre tandis que la version multi-serveur Scirius Enterprise est commercialisée, elles sont toutes deux éditées par la société Stamus Network.

La distribution GNU/Linux SELKS 3.0 (Suricata Elasticsearch Logstash Kibana Scirius) basée sur debian permet de tester Suricata. Il existe également une image Docker.

Snort

C’est un système populaire de détection d'intrusion (ou NIDS) libre publié sous licence GNU GPL. À l'origine écrit par Martin Roesch (en), il appartient actuellement à Sourcefire. Des versions commerciales intégrant du matériel et des services de supports sont vendus par Sourcefire. Snort est un des plus actifs NIDS Open Source et possède une communauté importante contribuant à son succès. Snort est capable d'effectuer aussi en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut être utilisé pour détecter une grande variété d'attaques et de sondes comme des dépassements de buffers, scans, attaques sur des CGI, sondes SMB, essai d'OS fingerprintings et bien plus. Snort pour effectuer ces analyses se fonde sur des règles. Celles-ci sont écrites par Sourcefire ou bien fournies par la communauté. Snort est fourni avec certaines règles de base mais cependant, comme tout logiciel, Snort n'est pas infaillible et demande donc une mise à jour régulière. Snort peut également être utilisé avec d'autres projets open sources tels que SnortSnarf, ACID, sguil et BASE (qui utilise ACID) afin de fournir une représentation visuelle des données concernant les éventuelles intrusions.

Tcpdump

C’est un analyseur de paquets en ligne de commande. Il permet d'obtenir le détail du trafic visible depuis une interface réseau. L'outil distribué par les distributions GNU/Linux, FreeBSD, NetBSD, OpenBSD et Mac OS X dépend de la bibliothèque logicielle libpcap. Leur portage sous Windows est connu sous les appellations WinPCAP/WinDUMP.

ARGUS

C’est un programme qui enregistre tout le trafic (flux) d’un réseau bidirectionnel et fournit une suite d'outils pour analyser les flux enregistrés. À un niveau élevé, vous pouvez rapidement commencer à poser des questions comme A qui s'adressaient les adresses IP. En analysant le flux des données vous pourrez obtenir des réponses très précises. En d’autre terme il vous permettra de fouiller dans vos paquets et se révèlera être un outil puissant d’investigation.

SiLK

C’est une suite d'outils d’analyse de flux.

Netsniff-NG Toolkit

C’est une suite d’outils très performante pour la capture de paquet de contenu complet (FPC) qui permet le stockage de toutes les transactions réseau. Considérer le comme le parfait mouchard ( dans le bon sens du terme). Il supporte plusieurs mécanismes d'E/S. L'enregistrement de tous les événements liés au trafic de vos réseaux permet d’obtenir des informations précises sur la nature du trafic a un moment spécifique puisque celui-ci est enregistré et stocké donc exploitable poste incident pour investigation.

PS : Netsniff-ng est utilisé dans la distribution Security Onion

Stenographer

C’est un autre outil de capture et d’analyse de paquets (FPC). Il stocke les paquets de la mémoire tampon sur le disque pour la détection d'intrusion et a des fins de réponse aux incidents. Il a l’avantage d’être très rapide. Recommandé pour les capture de grande capacités.

Catégorie: Host Security

Osquery

Osquery est un outil Open Source développé par la team Facebook pour requêter directement les données système via une syntaxe proche de SQL. C'est un moyen intuitif et simple de faire de l’analytics de bas niveau sur le système d’exploitation. Il permet ainsi de surveiller la sécurité des systèmes a base de Linux.

Ecrit en C++, osquery expose le système d’exploitation sous la forme d’une base de données relationnelle, où les concepts abstraits sont présentés sous forme de tables :

  1. processus en cours ;
  2. modules du noyau chargés ;
  3. connexions réseau …

Une API permet de rajouter de nouveaux concepts à la liste des tables disponibles. Les requêtes peuvent être utilisées de différentes façon :

  1. lancées ponctuellement pour connaitre l'état du système à un instant t ;
  2. lancées de façon cyclique, pour monitorer une machine ;
  3. interrogé par une autre application via ses API ;

OSSEC

Tripwire, AIDE, Samhain sont des noms dont vous avez déjà sûrement entendu parler. En effet, ceux sont les trois « Host based Intrusion Detection System » (HIDS) libres les plus répandus, qui sont mentionnés dans chaque article traitant de cyber sécurité. Le problème de ces trois HIDS est qu'ils se limitent uniquement à vérifier l'intégrité de certains fichiers de la machine qu'ils protègent et cela n'est bien évidemment pas suffisant. Ainsi, on retrouve généralement en plus de ces outils, des programmes comme rkhunter ou logcheck pour détecter la présence de rootkits sur le système et détecter des comportements étranges à travers l'analyse des logs, deux choses que ces trois HIDS ne sont pas capables de faire. Il existe un HIDS libre qui remplit toutes les fonctionnalités nécessaires pour protéger efficacement une ou un ensemble de machines. Cet HIDS se nomme OSSEC. OSSEC est un HIDS (Host-based Intrusion Detection System) open-source existant depuis plus de 10 ans. L’auteur, Daniel B. Cid, rend public l’outil en 2004. Celui-ci sera racheté par Third Brigade, Inc, et finalement Trend Micro.

Malgré ces changements, le but d’OSSEC est resté le même depuis sa création : améliorer la détection de compromission des terminaux sur des parcs de grande taille. Solution multi-système (Linux, Mac OS X, Windows entre autre) combinant de l’analyse de journaux, de la surveillance de processus et de fichiers, modifications de la base de registre, mais aussi de la détection de rootkit et de la remontée d’alertes en temps réel.

GRR Rapid Response

L’outil open-source de Google est un outil d’analyse plutôt orienté post-mortem et utilisable sur les plateformes sur Windows, GNU/Linux et OSX. Son but est de communiquer à distance, sur un modèle de déploiement avec agent, avec un grand nombre de terminaux afin de pouvoir les analyser et en tirer des éléments d’investigation suite à une compromission. GRR permet par exemple de lister les processus (et d’en récupérer la trace mémoire) ou encore d’effectuer des recherches dans les fichiers et les clefs de registre. Son spectre fonctionnel et technique est très large au sein des outils open-source.

CERTitude

L’enjeu est d’évaluer de la manière la plus précise possible l’étendue de l’attaque sur le SI. Le CERT Solucom a commencé en mai 2014 le développement d’un outil de forensic permettant la recherche d’IOC à distance sur un parc. La singularité de CERTitude réside dans son fonctionnement sans agent. Cela réduit les problèmes de déploiement, de maintenance et d’impact sur les terminaux et permet également une utilisation rapide dans le cadre d’investigation sur un grand nombre de machines. Se basant sur des connexions SMB pour récolter les informations essentielles, l’outil est basé sur un serveur et ne nécessite que les droits d’administration sur les terminaux ainsi que les ouvertures de flux adéquates. Par ailleurs, au travers de sa stratégie de diffusion de marqueurs / indicateurs de compromission (IOC), le CSOC peut demander la réalisation de campagnes de recherche aux entreprises. Cependant, aujourd’hui peu d’outils permettent de mener ce type de campagne. Face à ces constats, le CERT-Solucom a alors entrepris la conception d’un outil permettant de mener des campagnes de recherche et d’évaluer le périmètre de compromission d’un SI. Cet outil, baptisé CERTitude, s’appuie sur des IOC fournis en entrée pour effectuer un scan de l’ensemble du parc serveurs et postes de travail à la recherche de ces IOC. Malgré de nombreuses contraintes à traiter (de la compatibilité à tous les systèmes Windows aux impacts sur les performances, en passant par la non-divulgation des IOC recherchés sur les périmètres a minima Diffusion Restreinte), CERTitude acquiert petit à petit la capacité de rechercher de plus en plus de type d’IOC différents, le tout sans nécessiter d’agent à déployer sur les postes et serveurs à scanner Sysdig Falco C’est un outil de suivi et d’analyse de comportement pour Conteneurs. Utilisé pour alerter lorsque certains événements se produisent dans un conteneur comme l'exécution d'un shell par exemple. Le logiciel s’implémente comme un conteneur privilégié qui analyse en quasi-temps réel les événements systèmes, les appels Syscall et les échanges réseaux (on reconnaît là la patte de WireShark).

Fail2Ban

C’est un outil conçu pour automatiser le blocage des hôtes en analysant les journaux. Il prend en charge les journaux provenant de nombreux démons basés sur le réseau. Fail2ban lit des fichiers de log comme /var/log/pwdfail ou /var/log/apache/error_log et bannit les adresses IP qui ont obtenu un trop grand nombre d'échecs lors de l'authentification. Il met à jour les règles du pare-feu pour rejeter cette adresse IP. Ces règles peuvent êtres définies par l'utilisateur. Fail2ban peut lire plusieurs fichiers de log comme ceux de sshd ou du serveur Apache.

AVG ou Avast ou MalwareBytes

Il existe une variété de fournisseurs AntiVirus (AV), mais si vous avez besoin d'une solution abordable et performante, AVG, Avast et Malwarebytes seront parfait.

ClamAV

C’est un moteur antivirus gratuit et open source pour détecter de nombreux types de logiciels malveillants et de menaces connues.

Comodo

Antivirus et anti intrusion pour poste de travail redoutable.

Catégorie: Log Collection/Aggregation

Rsyslog

Rsyslog est un logiciel libre utilisé sur des systèmes d'exploitation de type Unix (Unix, Linux) transférant les messages des journaux d'événements sur un réseau IP. Rsyslog implémente le protocole basique syslog - qui centralise les journaux d'événements, permettant de repérer plus rapidement et efficacement les défaillances d'ordinateurs présents sur un réseau. Il présente la particularité d'en étendre les fonctionnalités en permettant, notamment, de filtrer sur des champs, de filtrer à l'aide d'expressions régulières et l'utilisation du protocole TCP de la couche transport. Les fonctionnalités les plus notables sont :

  1. il remplace facilement syslog (les règles de syslog peuvent être simplement copiées dans /etc/rsyslog) 
  2. il peut écrire les événements dans une base de données (MySQL ou postgreSQL)
  3. il gère la rotation automatique des fichiers 4.il peut mettre en tampon (sous forme de fichiers) des événements
  4. il gère GSS-API et TLS 1
  5. il peut être utilisé comme un relais et peut être configuré pour enregistrer les points de passage

il peut utiliser son propre protocole réseau : RELP (Reliable Event Logging Protocol) qui offre une meilleure garantie de réception des événements par le serveur. il peut utiliser un format de date complet (incluant l'année, contrairement au syslog de base qui n'inclut jamais l'année) et pouvant être précis jusqu'au millième de seconde (contrairement à syslog qui n'est précis qu'à la seconde)

ELK ou Splunk ou ELSA

Ces trois outils indexent en temps réel des données issues de machines (logs, web services, configurations, équipements télécom, GPS, capteurs,...). Les utilisations vont de la sécurité (corrélation, analytics, fraude...) à la supervision d’infrastructure, en passant par le reporting métier.

Catégorie: App Security

Kali Linux 

Kali Linux est une distribution GNU/Linux sortie le 13 mars 2013, basée sur Debian. La distribution a pris la succession de Backtrack, qui était basé sur Slackware jusqu'à la version 3 puis Ubuntu depuis la version 4. Backtrack était issu de la fusion de Whax et Auditor.

L'objectif de Kali Linux est de fournir une distribution regroupant l'ensemble des outils nécessaires aux tests de sécurité d'un système d'information, notamment le test d'intrusion.

Depuis la version 2016.2, Kali Linux est disponible pré-installé avec de nombreux environnements graphiques divers. On retrouve notamment Gnome, KDE, Mate, LXDE et Enlightenment, à choisir lors du téléchargement.

Nikto

Nikto est un scanner de sécurité pour les serveurs web, et est programmé en langage P.E.R.L. Ses fonctionnalités sont d'auditer vos serveurs web à la recherche de failles diverses, de tester potentiellement près de 6000 vulnérabilités CGI et fichiers dangereux, de vérifier l'obsolescence du serveur et ses composants logiciels, de rechercher les dossiers pouvant contenir des informations sensibles.

Burp Suite

Burp Suite est une plateforme complète permettant d’effectuer des tests de sécurité sur des applications Web. Pour faire simple, vous faites passer toutes les requêtes Web par Burp afin de pouvoir les analyser/modifier et les rejouer à votre guise. Grâce à cette capture, il devient assez simple d’approfondir la recherche de vulnérabilités Web de types XSS, CSRF, manipulation d’entêtes, etc… L’outil accepte de combiner des techniques dites manuelles avec des procédés automatiques, dans le but de rendre votre travail plus rapide, plus efficace et plus pertinent. La suite incorpore les composants suivants :

  1. Un proxy local (en mode interception) qui va permettre d’inspecter et modifier le trafic entre votre navigateur (firefox, chrome, Opéra, etc.) et l’application cible.
  2. Un scanner d’applications Web performant.
  3. Un outil permettant de récupérer les champs d’une page Web dans le but de pouvoir modifier certains paramètres automatiquement (spider/crawler)
  4. Un outil d’intrusion (intruder), pour effectuer des attaques spécifiques afin de trouver et d’exploiter des vulnérabilités.
  5. Un outil de répétition (repeater), permettant la modification avant l’envoie de vos requêtes.
  6. Un séquenceur (sequencer), pour tester la randomisation des sessions avec jetons (token).

La possibilité d’arrêter et de reprendre le travail ultérieurement. Burp est simple et intuitif, ce qui permet aux nouveaux utilisateurs de débuter avec l’outil rapidement. L’avantage principal de Burp réside dans la possibilité de configuration multiple, mais également dans ses nombreuses fonctionnalités permettant d’aider les pentesters les plus expérimentés. 2 versions de Burp sont disponibles :

  1. Version gratuite : fonctionnalités limitées (proxy, repéteur, séquenceur, décodeur etc.).
  2. Version payante : fonctionnalités complètes (proxy, repéteur, séquenceur, décodeur, scanner, analyse de la cible, sauvegarde de session etc.).

OWASP Zap

OWASP Zap permet de scanner votre site (en local ou non), d’y effectuer quelques tests de sécurité (Liste exhaustive ici) et de vous lister à la fin les failles qu’il aura détectées.

Naxsi

NAXSI signifie Nginx Anti XSS and SQL Injection. C’est un plugin pour le logiciel libre NGINX (Reverse Proxy/Serveur Web) qui permet de sécuriser de manière très profonde les sites Web contre les attaques de type XSS et SQLi. Ces deux catégories d’attaques, qui défrayent régulièrement la chronique, sont celles qui mènent en général au plus grand nombre de compromissions. Le développeur de NAXSI est notre RSSI et lead pentester, M. Thibault Koechlin.

Modsecurity

Modsecurity est un pare-feu applicatif, dont le rôle est de filtrer les requêtes entrant sur un serveur HTTP Apache. Il se présente sous la forme d'un module apache, qui analyse les requêtes reçues grâce à l'emploi d'une base des règles de requêtes considérées comme non souhaitées. Ces règles sont codées sous forme d'expressions régulières.

Catégorie: SIEMs and Event Consoles

OSSIM est un SIEM open source. Maintenu par AlienVault, OSSIM est un gestionnaire d'information de sécurité basé sur des technologies open source. Son objectif est de centraliser et d’analyser l'information de sécurité, venant de différentes sources d'outils open source, et de prendre les décisions adéquates tout en gardant un suivi.Il possède un ensemble d'outils intégrés permettant une multitude de possibilités de traitement de l'information. Il permet de fiabiliser les alertes et donc d'éviter un maximum de faux positifs grâce à la corrélation des événements. Sa gestion des événements permet une levée d'alarme très fine, et l'ouverture de ticket pour les suivis. Cette première partie présente OSSIM et le fonctionnement de l'agent. La seconde sera sur le serveur et le framework.

Enterprise Log Search and Archive (ELSA)

Il est utilisé dans Security Onion et peut ingérer de nombreux types de formats de données tels que les journaux Syslog, Bro et les alertes d'intrusion de Suricata et Snort.

SGUIL

C’est une console de sécurité réseau qui vous permet via une interface intuitive d’avoir accès a des évènements en temps réels, des données de sessions et des paquets bruts de données en cours de transferts pour analyse.

Catégorie : Malware Analysis

Boite à sable VxStream ou Threat Expert ou Cuckoo Sandbox

Besoin d'examiner un binaire pour voir ce qui se passe quand il fonctionne sans prendre le risque de corrompre le système ? Un bac à sable (sandbox), espace d’exécution virtuel complètement isolé du système, peut être très utile car il permettra non seulement d’exécuter le programme suspect en toute sécurité mais enregistrera aussi toutes ses interactions pour analyse. Payload Security, Threat Expert et d'autres fournisseurs Fournissent des services hébergés gratuits pour exécuter vos programmes suspects avant de les installer dans votre environnement de production. Vous obtiendrez un rapport détaillé y compris les captures écrans.

Cuckoo

Ce service vous permet d'héberger votre propre bac à sable localement, donc vous ne partagez pas les binaires sensibles en dehors de votre organisation.

VirusTotal

Ce service agit comme un «méta-scanner» pour les fichiers binaires. Il agrège un certain nombre de moteurs d’antivirus et applique chacun d’eux a votre binaire, vous fournissant un rapport détaillé qui peut vous aider à évaluer si un binaire est malveillant (ou non).

VirusTotal fournit également une capacité de balayage d’URL

Catégorie : Threat Intelligence (Cyber renseignement)

Critical Stack

C’est un service de renseignement sur les cyber menaces gratuit. Criticalstack.com, Ce service agrège un certain nombre de flux de renseignements sur des cyber menaces gratuit / ouvert. Vous pouvez ensuite les analyser ou les introduire dans Bro.

Collective Intelligence Framework (CIF)

C’est un cadre qui vous permet de récupérer, stocker, interroger et créer les flux de cyber renseignements et les diffuser sous différents formats. Il fournit par exemple les règles iptables et snort. Il supporte plusieurs types de cyber renseignemenst tels que les adresses IP, les domaines, les URL et les hash de fichiers. Vous pouvez effectuer des recherches sur des adresses IP ou ce nom de domaine pour savoir si elles sont associées ou non a des activités malveillantes.

Conclusion

Les outils Open Source et gratuit dans le domaine de la cyber sécurité sont une excellente alternative pour une organisation. Cependant, ils ne remplaceront jamais la composante stratégie et humaine. Pour devenir un véritable bouclier, un leader de la cybder sécurité et de la sécurité économique, vous devez investir sur des hommes et femmes compétents. C’est ainsi que vous obtiendrez un dispositif véritablement intelligent, capable de s'adapter et d'anticiper sur les menaces futures.

Le plus important n’est pas d’utiliser des outils open source, gratuits ou commerciaux. Le plus important est de comprendre la nature de la cyber guerre, de s’entourer d’hommes et femmes passionnées et compétents, férus de recherches et développement.