Menu
L'authentification multifacteur, ou MFA, est un système de sécurité nécessitant divers moyens d'identification. Celles-ci reposent sur des catégories d'informations d'identification indépendantes permettant d'assurer la vérification de la connexion de l'utilisateur ou de toutes formes de transaction. Pour cela, au moins deux identifiants indépendants seront utilisés : le mot de passe, le jeton de sécurité et la vérification biométrique.
L'objectif de la MFA est de mettre en place des défenses à différents niveaux et de rendre plus difficile l'accès des personnes non autorisées aux cibles (telles que les emplacements physiques, les appareils informatiques, les réseaux ou les bases de données) . Si un facteur est endommagé ou détruit, l'attaquant doit encore surmonter au moins un obstacle avant de réussir à pénétrer dans la cible. Il y a quelques années, les systèmes MFA reposaient en grande partie sur une authentification à deux facteurs. Aujourd'hui, les fournisseurs utilisent de plus en plus des balises "multifactorielles" pour faire référence à tout système d'authentification nécessitant plusieurs identités.
L'authentification basée sur les risques est un système dynamique qui prend en compte le fichier de configuration de l'agent utilisateur. Celui-ci demande l'accès au système pour connaître l'identité de l'utilisateur (adresse IP, temps d'accès, en-tête HTTP de l'agent utilisateur, etc.) associé à cette transaction. Deuxièmement, le profil de risque est utilisé pour évaluer la complexité du défi. Les profils à haut risque posent de plus grands défis, tandis que les noms d'utilisateur/mots de passe statiques peuvent être suffisants pour les profils à faible risque. L'implémentation basée sur les risques permet uniquement à l'application de demander aux utilisateurs de fournir des informations d'identification supplémentaires lorsque le niveau de risque est approprié.
L'authentification machine est récurrente dans le cadre d'une implémentation basée sur les risques. L'authentification de la machine s'exécute en arrière-plan et si l'ordinateur n'est pas reconnaissable, seul le client est invité à s'authentifier davantage. Dans un système d'authentification basé sur les risques, l'organisation décide si une vérification d'identité supplémentaire est nécessaire.
Une authentification forte sera déclenchée si le risque est considéré comme potentiel, par un mot de passe unique transmis par une communication hors bande par exemple.
Lorsque les clients effectuent certaines transactions à haut risque (telles que des envois de fonds ou des changements d'adresse), ils peuvent également utiliser l'authentification basée sur le risque pour exiger une authentification supplémentaire pendant la session.
L'authentification basée sur les risques est une solution très avantageuse pour les clients, car des étapes supplémentaires ne sont nécessaires que dans certaines circonstances inhabituelles (comme essayer de se connecter à partir d'un nouvel ordinateur).
La clé est d'améliorer la précision de l'authentification des utilisateurs sans perturber les utilisateurs. Les grands groupes/entreprises utilisent une authentification basée sur les risques.
Le pare-feu d'application Web est un type spécial de pare-feu d'application spécifiquement conçu pour les applications Web. Il est déployé devant les applications Web et analyse les communications Web bidirectionnelles (HTTP) - détecte et bloque tout logiciel malveillant. L'OWASP fournit une définition technique large du WAF, c'est-à-dire : "D'un point de vue technique, il ne s'appuie pas sur l'application elle-même en tant que solution de sécurité au niveau de l'application Web".
Selon le Supplément d'informations requises PCI DSS 6.6, WAF est défini comme le "point d'application de la politique de sécurité entre l'application Web et le point client". Cette fonction peut être implémentée dans un logiciel ou un matériel, exécutée dans un appareil ou dans un serveur typique exécutant un système d'exploitation général. Il peut s'agir d'un appareil autonome ou intégré à d'autres composants du réseau.
En d'autres termes, WAF peut être un périphérique virtuel ou un périphérique physique qui peut empêcher les vulnérabilités des applications Web d'être exploitées par des menaces externes. Ces vulnérabilités peuvent être causées par le fait que l'application elle-même est une ancienne version ou un codage insuffisant dans le processus de conception. WAF corrige ces défauts de code via une configuration spéciale de l'ensemble de règles (également appelée stratégie).
WAF n'est pas la solution de sécurité ultime, mais est conçu pour être utilisé en conjonction avec d'autres solutions de sécurité du périmètre réseau (telles que les pare-feux réseau et les systèmes de prévention des intrusions) pour fournir une stratégie globale de défense.
Comme le souligne le SANS Institute, le WAF suit généralement un modèle de sécurité positive, un modèle de sécurité négative ou une combinaison des deux. WAF utilise une combinaison de logique, d'analyse et de signatures basées sur des règles pour détecter et prévenir les attaques telles que les scripts intersites et l'injection SQL. L'OWASP répertorie les dix principales vulnérabilités de sécurité des applications Web. Toutes les offres commerciales WAF couvrent au moins ces dix lacunes. Il existe également des options non commerciales.
Comme mentionné précédemment, le célèbre moteur open-source ModSecurity WAF est l'un de ces choix. Le moteur WAF seul n'est pas suffisant pour fournir une protection adéquate, c'est pourquoi OWASP et Spiderlabs de Trustwave aident à organiser et à maintenir un ensemble de règles de base à utiliser avec le moteur ModSecurity WAF via GitHub.
Les pare-feu sont divisés en deux catégories : les systèmes basés sur le réseau et les systèmes basés sur l'hôte. Le pare-feu basé sur le réseau peut être placé n'importe où sur le LAN ou le WAN. Il peut s'agir d'un périphérique logiciel qui s'exécute sur du matériel à usage général, d'un périphérique matériel qui s'exécute sur du matériel dédié ou d'un périphérique virtuel qui s'exécute sur un hôte virtuel contrôlé par un hyperviseur. Le dispositif pare-feu peut également fournir d'autres fonctions en plus du pare-feu, telles qu'un service DHCP ou VPN.
Selon la définition de Gartner, le pare-feu de nouvelle génération (NGFW) est un "pare-feu d'inspection approfondie des paquets, qui peut non seulement vérifier et bloquer les ports/protocoles, mais également ajouter une inspection au niveau du réseau, une application, une prévention des intrusions et fournir des informations en dehors du pare-feu. "
Le pare-feu de nouvelle génération (NGFW) fait partie de la technologie de pare-feu de troisième génération, qui combine les pare-feu traditionnels avec d'autres fonctions de filtrage des périphériques réseau, tels que les pare-feu d'application qui utilisent l'inspection approfondie des paquets (DPI) et les systèmes de prévention des intrusions (IPS).
D'autres technologies peuvent également être utilisées, telles que l'inspection du trafic crypté TLS/SSL, le filtrage des sites Web, la gestion de la qualité de service et de la bande passante, l'inspection des virus et l'intégration Web, la gestion des identités tierces (c'est-à-dire LDAP, RADIUS, Active Directory).
NGFW doit être en mesure d'identifier les utilisateurs et les groupes et d'appliquer des politiques de sécurité basées sur l'identité. Dans la mesure du possible, cela doit être réalisé par une intégration directe avec les systèmes d'authentification d'entreprise existants (tels qu'Active Directory) sans logiciel personnalisé côté serveur. Cela permet aux administrateurs de créer des politiques plus granulaires.
Ransomware, communément appelé CryptoLocker, CryptoDefense ou CryptoWall, est un type de malware qui restreint ou même empêche les utilisateurs d'utiliser complètement leurs ordinateurs. Ils verrouillent généralement l'écran de l'ordinateur ou cryptent les fichiers.
Le nouveau type de rançongiciel Crypto Ransomware oblige les utilisateurs à payer un certain montant pour obtenir la clé de déverrouillage.
Les familles de ransomwares d'aujourd'hui ont leurs origines dans les premiers jours des antivirus malveillants, puis des variantes de casier, puis des variantes de chiffrement de fichiers qui constituent la majorité des ransomwares aujourd'hui.
Chaque type de malware a un objectif commun, qui est d'extorquer de l'argent aux victimes par le biais de l'ingénierie sociale et de l'intimidation. A chaque fois, les rançons exigées sont de plus en plus importantes.
Pour assurer un niveau de sécurité plus élevé, les programmes anti-exploit bloquent les techniques mises en œuvre par les attaquants.
Ces solutions peuvent vous protéger contre les attaques Flash et les vulnérabilités du navigateur, et même empêcher les tentatives non découvertes ou non corrigées.
La « chaîne d'élimination » des exploits est composée de plusieurs étapes. Les exploits Web utilisent souvent des attaques de téléchargement telles que le téléchargement intempestif. L'infection commence lorsque la victime visite un site Web infecté par du code JavaScript malveillant.
Après plusieurs vérifications, la victime a finalement été redirigée vers la page d'accueil via des vulnérabilités Flash, Silverlight, Java ou navigateur Web. En revanche, pour les vulnérabilités de Microsoft Office ou d'Adobe Reader, le vecteur d'infection initial peut être des e-mails de phishing ou des pièces jointes malveillantes.
Après la phase initiale de livraison, l'attaquant utilise une ou plusieurs failles logicielles pour contrôler le flux d'exécution du processus, puis entre dans la phase de développement. En raison des mesures de sécurité intégrées au système d'exploitation, il est généralement impossible d'exécuter directement du code arbitraire, les attaquants doivent donc d'abord les contourner.
Un exploit réussi permet l'exécution de shellcode, dans lequel le code arbitraire de l'attaquant commence à s'exécuter, ce qui conduit finalement à l'exécution de la charge utile. La charge utile peut être téléchargée sous forme de fichier ou même chargée et exécutée directement à partir de la mémoire système.
Quelle que soit la manière dont les étapes initiales sont effectuées, le but ultime de l'attaquant est de lancer une activité malveillante. Démarrer une autre application ou un thread peut être très suspect, surtout si vous savez que l'application en question n'a pas cette fonctionnalité. La technologie anti-intrusion surveille ces opérations, suspend le flux d'exécution de l'application et applique une analyse plus approfondie pour vérifier si l'opération tentée est légitime.
L'activité du programme (modifications de la mémoire dans une zone de mémoire spécifique et source de la tentative de démarrage du code) qui s'est produite avant le lancement du code suspect est utilisée pour identifier si l'utilisateur a pris des mesures.
De plus, le PE a mis en place de nombreuses mesures de sécurité pour traiter la plupart des techniques d'attaque utilisées dans les exploits, y compris le détournement de Dll, l'injection de Dll réfléchissante, l'allocation de pulvérisation en tas, la perspective de la batterie, etc.
Ces autres indicateurs de comportement fournis par le mécanisme de suivi d'exécution du composant de détection de comportement permettent à la technologie de bloquer en toute sécurité l'exécution de la charge utile.
Les outils de surveillance et de diagnostic des performances du réseau aident les équipes informatiques et d'exploitation du réseau à comprendre le comportement continu du réseau et de ses composants en réponse aux demandes de trafic et à l'utilisation du réseau. Il est essentiel de mesurer et de rapporter les performances du réseau pour s'assurer que les performances restent à un niveau tolérable. Les clients de ce marché recherchent des outils d'identification pour détecter les problèmes d'application, identifier les causes profondes et planifier la capacité.
L'utilisation d'un logiciel de surveillance du réseau et d'outils de surveillance du réseau peut simplifier et automatiser le processus de surveillance et de gestion du réseau.
Un système de surveillance du réseau est essentiel pour résoudre les goulots d'étranglement et les problèmes de performances du réseau qui peuvent avoir un impact négatif sur les performances du réseau.
Avec le développement rapide de la surveillance du réseau d'entreprise et de la surveillance du réseau à distance, divers équipements et solutions de surveillance du réseau sont disponibles sur le marché. Un système de gestion de réseau efficace comprendra un outil de surveillance de réseau intégré qui peut aider les administrateurs à réduire le personnel et à automatiser les techniques de dépannage de base.
Fonctions d'un logiciel de surveillance réseau efficace :
- Visualisez l'ensemble de l'infrastructure informatique et disposez d'autres classifications basées sur le type ou le groupe logique.
-Utilisation de modèles prédéfinis pour configurer automatiquement les appareils et les interfaces.
- Surveiller et dépanner les performances du réseau, des serveurs et des applications.
- Mettez en œuvre une technologie avancée de surveillance des performances du réseau pour résoudre rapidement les pannes en identifiant la cause première du problème.
-Bénéficiez de fonctions de reporting avancées, qui peuvent planifier et envoyer ou publier automatiquement des rapports par e-mail.
La surveillance du réseau est devenue un aspect important de la gestion de toute infrastructure informatique. De même, l'évaluation du réseau est considérée comme l'étape de base pour aligner votre infrastructure informatique sur les objectifs commerciaux, ce qui est réalisé par les applications de surveillance du réseau.
Le test d'intrusion (communément appelé test d'intrusion, pentest ou piratage éthique) est une attaque de réseau simulée autorisée sur un système informatique pour évaluer la sécurité du système. À ne pas confondre avec l'évaluation de la vulnérabilité.
Effectuez des tests pour identifier deux faiblesses (également appelées vulnérabilités), y compris la capacité et les avantages pour les parties non autorisées d'accéder aux fonctions et aux données du système, afin que les risques du système puissent être pleinement évalués.
Ce processus identifie principalement le système cible et les objectifs spécifiques, puis vérifie les informations disponibles et utilise diverses méthodes pour atteindre cet objectif. Les cibles des tests d'intrusion peuvent être des boîtes blanches (fournissant des informations sur le contexte et le système) ou des boîtes noires (fournissant uniquement des informations de base ou ne fournissant aucune information autre que le nom de l'entreprise).
Les tests de pénétration en boîte grise sont une combinaison des deux (le vérificateur partage une connaissance limitée de la cible). Les tests d'intrusion peuvent aider à déterminer si le système est vulnérable aux attaques si les défenses sont adéquates et quelles défenses (le cas échéant) ont échoué au test.
Tout problème de sécurité révélé par les tests d'intrusion doit être signalé au propriétaire du système. Le rapport de test d'intrusion peut également évaluer l'impact possible sur l'organisation et proposer des recommandations pour atténuer les risques.
Le marché des solutions de détection et de réponse aux terminaux (EDR) est défini comme : l'enregistrement et le stockage des comportements des terminaux au niveau du système, en utilisant diverses techniques d'analyse de données pour détecter les comportements suspects du système, en fournissant des informations contextuelles, en empêchant les activités malveillantes et en fournissant des recommandations. pour restaurer les systèmes affectés.
Les solutions CED doivent assurer les quatre fonctions essentielles suivantes :
- Répondre aux menaces en temps réel
- Augmenter la visibilité et la transparence des données des utilisateurs
- Détecter les événements critiques et les installations de logiciels malveillants
- Création de listes noires et de listes blanches
- Intégration avec d'autres technologies
L'équilibrage de charge Internet fait référence à la méthode de répartition du trafic Internet sur deux ou plusieurs connexions Internet pour obtenir deux résultats :
Meilleures performances Internet et utilisateur final.
Améliorer la fiabilité de la connexion Internet.
Dans la plupart des cas, l'effet secondaire agréable de l'équilibrage de charge Internet est la réduction des dépenses d'exploitation des services Internet. Dans la plupart des cas, la connexion Internet obtenue grâce à l'équilibrage de charge est plus rentable que la liaison à un seul FAI avec des capacités de bande passante similaires - dans la plupart des cas, un seul fournisseur ne peut pas fournir un tel lien, donc l'équilibrage de charge Internet est la seule méthode possible pour atteindre le options de vitesse et de fiabilité requises
Le principe de l'équilibrage de charge reste le même dans n'importe quel environnement, bien que la situation et la mise en œuvre soient différentes. Les FAI utilisent des politiques d'équilibrage de charge pour gérer l'évolution du trafic Internet entrant, et l'équilibrage de charge dans le cloud a ses propres aspects uniques.
Le problème de l'équilibrage de charge de plusieurs connexions ISP peut être résolu très simplement en utilisant les options de l'interface graphique dans de nombreux appareils commerciaux.
Les raisons de l'équilibrage de charge des FAI sont différentes. On peut considérer qu'un FAI est plus performant ou moins cher qu'un autre.
Le contrôleur de livraison d'applications (ADC) est un périphérique de réseau informatique dans le centre de données, généralement intégré au réseau de livraison d'applications (ADN), et peut effectuer des tâches courantes telles que celles effectuées par les organisations informatiques. Le serveur Web lui-même. Beaucoup d'entre eux fournissent également un équilibrage de charge. L'ADN est généralement placé dans la DMZ, entre le pare-feu ou le routeur externe et la ferme Web.
Une idée fausse courante est que l'Application Delivery Controller (ADC) est un équilibreur de charge avancé. Cette description n'est pas exacte. ADC est un périphérique réseau qui aide les applications à diriger le trafic des utilisateurs pour éliminer la charge excessive de deux serveurs ou plus. En effet, ADC intègre de nombreux services OSI de 3 à 7 couches, dont l'équilibrage de charge.
Les autres fonctionnalités communes à la plupart des CDA sont l'optimisation du trafic IP, le canal/direction du trafic, le déchargement SSL, le pare-feu d'application Web, le CGNAT, le DNS et le proxy/proxy inverse, pour n'en nommer que quelques-uns. Ils ont également tendance à fournir des fonctionnalités plus avancées, telles que la redirection de contenu et la surveillance de l'état du serveur.
Cisco Systems a proposé des contrôleurs de livraison d'applications jusqu'à son retrait du marché en 2012. Les leaders du marché tels que F5 Networks, Citrix, KEMP, Radware, etc. avaient réussi à se développer sur le marché grâce à Cisco au cours des années précédentes.
ETHIC IT vous propose une solution innovante et incontournable, développée par notre partenaire SSH.
Principe d'une solution Bastion (PAM)
A PAM (Privileged Access Management) solution, or Bastion, allows you to manage your privileged accounts transparently and securely.
Le but de la solution est :
• Pour avoir un point d'accès unique et sécurisé : pas besoin d'utiliser des bounce machines
• Gérer l'accès : Un utilisateur, un administrateur ou un profil externe ne pourra voir et accéder qu'à ce dont il a besoin.
• Assurez la traçabilité : les actions et les connexions sont enregistrées et les sessions peuvent être enregistrées et archivées en vidéo
• Empêcher certaines actions : Détecter et bloquer certaines actions en fonction de règles définies (exemple : empêcher une commande de redémarrage)
Utilisation simple et transparente
L'interface utilisateur est simple et agrège tous vos environnements sur une fenêtre web.
La solution Bastion vous permet d'attribuer des rôles aux utilisateurs avec des droits d'accès spécifiques pour chaque rôle pour tous vos environnements. Ainsi, sur une seule interface, vous pouvez gérer l'accès de vos utilisateurs à toutes vos machines et tracer toutes les opérations.
L'utilisateur n'a de visibilité que sur les environnements qui lui sont accessibles, et l'administrateur peut gérer les accès et revoir les enregistrements depuis cette même interface.
Ethic IT vous accompagne dans la mise en place de la solution Bastion PrivX by SSH.
