La cyber-sécurité

Protection. Accompagnement. Sécurité.

Multi-factor authentication, or MFA, is a security system requiring various means of identification. These are based on categories of independent identification information to ensure the verification of the user’s connection or all forms of transaction. For this, at least two independent credentials will be used: the password, the security token and the biometric verification.

The purpose of MFA is to put in place defenses at different levels and to make it more difficult for unauthorized people to gain access to targets (such as physical locations, computing devices, networks or databases) . If a factor is damaged or destroyed, the attacker must still overcome at least one obstacle before successfully entering the target. A few years ago, MFA systems were largely based on two-factor authentication. Today, vendors are increasingly using “multi-factor” tags to refer to any authentication system that requires multiple identities.

L'authentification basée sur les risques est un système dynamique qui prend en compte le fichier de configuration de l'agent utilisateur. Celui-ci demande l'accès au système pour connaître l'identité de l'utilisateur (adresse IP, temps d'accès, en-tête HTTP de l'agent utilisateur, etc.) associé à cette transaction. Deuxièmement, le profil de risque est utilisé pour évaluer la complexité du défi. Les profils à haut risque posent de plus grands défis, tandis que les noms d'utilisateur/mots de passe statiques peuvent être suffisants pour les profils à faible risque. L'implémentation basée sur les risques permet uniquement à l'application de demander aux utilisateurs de fournir des informations d'identification supplémentaires lorsque le niveau de risque est approprié.

L'authentification machine est récurrente dans le cadre d'une implémentation basée sur les risques. L'authentification de la machine s'exécute en arrière-plan et si l'ordinateur n'est pas reconnaissable, seul le client est invité à s'authentifier davantage. Dans un système d'authentification basé sur les risques, l'organisation décide si une vérification d'identité supplémentaire est nécessaire.

Une authentification forte sera déclenchée si le risque est considéré comme potentiel, par un mot de passe unique transmis par une communication hors bande par exemple.

Lorsque les clients effectuent certaines transactions à haut risque (telles que des envois de fonds ou des changements d'adresse), ils peuvent également utiliser l'authentification basée sur le risque pour exiger une authentification supplémentaire pendant la session.

L'authentification basée sur les risques est une solution très avantageuse pour les clients, car des étapes supplémentaires ne sont nécessaires que dans certaines circonstances inhabituelles (comme essayer de se connecter à partir d'un nouvel ordinateur).

La clé est d'améliorer la précision de l'authentification des utilisateurs sans perturber les utilisateurs. Les grands groupes/entreprises utilisent une authentification basée sur les risques.

Web application firewall is a special type of application firewall specifically for web applications. It is deployed in front of web applications and scans two-way web communications (HTTP) – detects and blocks any malware. OWASP provides a broad technical definition for WAF, i.e.: “From a technical point of view, it does not rely on the application itself as a web application level security solution “.

Selon le Supplément d'informations requises PCI DSS 6.6, WAF est défini comme le "point d'application de la politique de sécurité entre l'application Web et le point client". Cette fonction peut être implémentée dans un logiciel ou un matériel, exécutée dans un appareil ou dans un serveur typique exécutant un système d'exploitation général. Il peut s'agir d'un appareil autonome ou intégré à d'autres composants du réseau.

En d'autres termes, WAF peut être un périphérique virtuel ou un périphérique physique qui peut empêcher les vulnérabilités des applications Web d'être exploitées par des menaces externes. Ces vulnérabilités peuvent être causées par le fait que l'application elle-même est une ancienne version ou un codage insuffisant dans le processus de conception. WAF corrige ces défauts de code via une configuration spéciale de l'ensemble de règles (également appelée stratégie).

WAF n'est pas la solution de sécurité ultime, mais est conçu pour être utilisé en conjonction avec d'autres solutions de sécurité du périmètre réseau (telles que les pare-feux réseau et les systèmes de prévention des intrusions) pour fournir une stratégie globale de défense.

Comme le souligne le SANS Institute, le WAF suit généralement un modèle de sécurité positive, un modèle de sécurité négative ou une combinaison des deux. WAF utilise une combinaison de logique, d'analyse et de signatures basées sur des règles pour détecter et prévenir les attaques telles que les scripts intersites et l'injection SQL. L'OWASP répertorie les dix principales vulnérabilités de sécurité des applications Web. Toutes les offres commerciales WAF couvrent au moins ces dix lacunes. Il existe également des options non commerciales.

As mentioned earlier, the well-known open-source ModSecurity WAF engine is one such choice. The WAF engine alone is not enough to provide adequate protection, so OWASP and Trustwave’s Spiderlabs help organize and maintain a core set of rules for use with the ModSecurity WAF engine via GitHub.

Les pare-feu sont divisés en deux catégories : les systèmes basés sur le réseau et les systèmes basés sur l'hôte. Le pare-feu basé sur le réseau peut être placé n'importe où sur le LAN ou le WAN. Il peut s'agir d'un périphérique logiciel qui s'exécute sur du matériel à usage général, d'un périphérique matériel qui s'exécute sur du matériel dédié ou d'un périphérique virtuel qui s'exécute sur un hôte virtuel contrôlé par un hyperviseur. Le dispositif pare-feu peut également fournir d'autres fonctions en plus du pare-feu, telles qu'un service DHCP ou VPN.

According to Gartner’s definition, Next-Generation Firewall (NGFW) is a “deep packet inspection firewall, which can not only check and block ports/protocols, but also add network-level inspection. enforcement, intrusion prevention and providing information outside the firewall.”

Le pare-feu de nouvelle génération (NGFW) fait partie de la technologie de pare-feu de troisième génération, qui combine les pare-feu traditionnels avec d'autres fonctions de filtrage des périphériques réseau, tels que les pare-feu d'application qui utilisent l'inspection approfondie des paquets (DPI) et les systèmes de prévention des intrusions (IPS).

D'autres technologies peuvent également être utilisées, telles que l'inspection du trafic crypté TLS/SSL, le filtrage des sites Web, la gestion de la qualité de service et de la bande passante, l'inspection des virus et l'intégration Web, la gestion des identités tierces (c'est-à-dire LDAP, RADIUS, Active Directory).

NGFW doit être en mesure d'identifier les utilisateurs et les groupes et d'appliquer des politiques de sécurité basées sur l'identité. Dans la mesure du possible, cela doit être réalisé par une intégration directe avec les systèmes d'authentification d'entreprise existants (tels qu'Active Directory) sans logiciel personnalisé côté serveur. Cela permet aux administrateurs de créer des politiques plus granulaires.

Ransomware, communément appelé CryptoLocker, CryptoDefense ou CryptoWall, est un type de malware qui restreint ou même empêche les utilisateurs d'utiliser complètement leurs ordinateurs. Ils verrouillent généralement l'écran de l'ordinateur ou cryptent les fichiers.

Le nouveau type de rançongiciel Crypto Ransomware oblige les utilisateurs à payer un certain montant pour obtenir la clé de déverrouillage.

Today’s ransomware families have their origins in the early days of rogue antivirus, then locker variants, and then the file encryption variants that make up the majority of ransomware today.

Chaque type de malware a un objectif commun, qui est d'extorquer de l'argent aux victimes par le biais de l'ingénierie sociale et de l'intimidation. A chaque fois, les rançons exigées sont de plus en plus importantes.

Pour assurer un niveau de sécurité plus élevé, les programmes anti-exploit bloquent les techniques mises en œuvre par les attaquants.

Ces solutions peuvent vous protéger contre les attaques Flash et les vulnérabilités du navigateur, et même empêcher les tentatives non découvertes ou non corrigées.

La « chaîne d'élimination » des exploits est composée de plusieurs étapes. Les exploits Web utilisent souvent des attaques de téléchargement telles que le téléchargement intempestif. L'infection commence lorsque la victime visite un site Web infecté par du code JavaScript malveillant.

Après plusieurs vérifications, la victime a finalement été redirigée vers la page d'accueil via des vulnérabilités Flash, Silverlight, Java ou navigateur Web. En revanche, pour les vulnérabilités de Microsoft Office ou d'Adobe Reader, le vecteur d'infection initial peut être des e-mails de phishing ou des pièces jointes malveillantes.

Après la phase initiale de livraison, l'attaquant utilise une ou plusieurs failles logicielles pour contrôler le flux d'exécution du processus, puis entre dans la phase de développement. En raison des mesures de sécurité intégrées au système d'exploitation, il est généralement impossible d'exécuter directement du code arbitraire, les attaquants doivent donc d'abord les contourner.

A successful exploit allows execution of shellcode, in which the attacker’s arbitrary code begins to execute, which ultimately leads to payload execution. The payload can be downloaded as a file or even loaded and executed directly from system memory.

No matter how the initial steps are performed, the attacker’s ultimate goal is to initiate malicious activity. Starting another application or a thread can be very suspicious, especially if you know that the application in question does not have this functionality. Anti-intrusion technology monitors these operations, suspends the flow of application execution, and applies further analysis to verify whether the attempted operation is legitimate.

L'activité du programme (modifications de la mémoire dans une zone de mémoire spécifique et source de la tentative de démarrage du code) qui s'est produite avant le lancement du code suspect est utilisée pour identifier si l'utilisateur a pris des mesures.

De plus, le PE a mis en place de nombreuses mesures de sécurité pour traiter la plupart des techniques d'attaque utilisées dans les exploits, y compris le détournement de Dll, l'injection de Dll réfléchissante, l'allocation de pulvérisation en tas, la perspective de la batterie, etc.

These other behaviour indicators provided by the behaviour detection component’s execution tracking mechanism allow the technology to safely block payload execution.

Les outils de surveillance et de diagnostic des performances du réseau aident les équipes informatiques et d'exploitation du réseau à comprendre le comportement continu du réseau et de ses composants en réponse aux demandes de trafic et à l'utilisation du réseau. Il est essentiel de mesurer et de rapporter les performances du réseau pour s'assurer que les performances restent à un niveau tolérable. Les clients de ce marché recherchent des outils d'identification pour détecter les problèmes d'application, identifier les causes profondes et planifier la capacité.

L'utilisation d'un logiciel de surveillance du réseau et d'outils de surveillance du réseau peut simplifier et automatiser le processus de surveillance et de gestion du réseau.

Un système de surveillance du réseau est essentiel pour résoudre les goulots d'étranglement et les problèmes de performances du réseau qui peuvent avoir un impact négatif sur les performances du réseau.

Avec le développement rapide de la surveillance du réseau d'entreprise et de la surveillance du réseau à distance, divers équipements et solutions de surveillance du réseau sont disponibles sur le marché. Un système de gestion de réseau efficace comprendra un outil de surveillance de réseau intégré qui peut aider les administrateurs à réduire le personnel et à automatiser les techniques de dépannage de base.

Fonctions d'un logiciel de surveillance réseau efficace :

– Visualize the entire IT infrastructure and have further classifications based on type or logical group.

-Utilisation de modèles prédéfinis pour configurer automatiquement les appareils et les interfaces.

– Monitor and troubleshoot network, server and application performance.

– Implement advanced network performance monitoring technology to quickly resolve outages by identifying the root cause of the problem.

-Bénéficiez de fonctions de reporting avancées, qui peuvent planifier et envoyer ou publier automatiquement des rapports par e-mail.

La surveillance du réseau est devenue un aspect important de la gestion de toute infrastructure informatique. De même, l'évaluation du réseau est considérée comme l'étape de base pour aligner votre infrastructure informatique sur les objectifs commerciaux, ce qui est réalisé par les applications de surveillance du réseau.

Le test d'intrusion (communément appelé test d'intrusion, pentest ou piratage éthique) est une attaque de réseau simulée autorisée sur un système informatique pour évaluer la sécurité du système. À ne pas confondre avec l'évaluation de la vulnérabilité.

Effectuez des tests pour identifier deux faiblesses (également appelées vulnérabilités), y compris la capacité et les avantages pour les parties non autorisées d'accéder aux fonctions et aux données du système, afin que les risques du système puissent être pleinement évalués.

Ce processus identifie principalement le système cible et les objectifs spécifiques, puis vérifie les informations disponibles et utilise diverses méthodes pour atteindre cet objectif. Les cibles des tests d'intrusion peuvent être des boîtes blanches (fournissant des informations sur le contexte et le système) ou des boîtes noires (fournissant uniquement des informations de base ou ne fournissant aucune information autre que le nom de l'entreprise).

Les tests de pénétration en boîte grise sont une combinaison des deux (le vérificateur partage une connaissance limitée de la cible). Les tests d'intrusion peuvent aider à déterminer si le système est vulnérable aux attaques si les défenses sont adéquates et quelles défenses (le cas échéant) ont échoué au test.

Tout problème de sécurité révélé par les tests d'intrusion doit être signalé au propriétaire du système. Le rapport de test d'intrusion peut également évaluer l'impact possible sur l'organisation et proposer des recommandations pour atténuer les risques.

Le marché des solutions de détection et de réponse aux terminaux (EDR) est défini comme : l'enregistrement et le stockage des comportements des terminaux au niveau du système, en utilisant diverses techniques d'analyse de données pour détecter les comportements suspects du système, en fournissant des informations contextuelles, en empêchant les activités malveillantes et en fournissant des recommandations. pour restaurer les systèmes affectés.

Les solutions CED doivent assurer les quatre fonctions essentielles suivantes :

– Respond to threats in real time
– Increase visibility and transparency of user data
– Detect critical events and malware installations
– Creation of blacklists and whitelists
– Integration with other technologies

Le contrôleur de livraison d'applications (ADC) est un périphérique de réseau informatique dans le centre de données, généralement intégré au réseau de livraison d'applications (ADN), et peut effectuer des tâches courantes telles que celles effectuées par les organisations informatiques. Le serveur Web lui-même. Beaucoup d'entre eux fournissent également un équilibrage de charge. L'ADN est généralement placé dans la DMZ, entre le pare-feu ou le routeur externe et la ferme Web.

Une idée fausse courante est que l'Application Delivery Controller (ADC) est un équilibreur de charge avancé. Cette description n'est pas exacte. ADC est un périphérique réseau qui aide les applications à diriger le trafic des utilisateurs pour éliminer la charge excessive de deux serveurs ou plus. En effet, ADC intègre de nombreux services OSI de 3 à 7 couches, dont l'équilibrage de charge.

Les autres fonctionnalités communes à la plupart des CDA sont l'optimisation du trafic IP, le canal/direction du trafic, le déchargement SSL, le pare-feu d'application Web, le CGNAT, le DNS et le proxy/proxy inverse, pour n'en nommer que quelques-uns. Ils ont également tendance à fournir des fonctionnalités plus avancées, telles que la redirection de contenu et la surveillance de l'état du serveur.

Cisco Systems a proposé des contrôleurs de livraison d'applications jusqu'à son retrait du marché en 2012. Les leaders du marché tels que F5 Networks, Citrix, KEMP, Radware, etc. avaient réussi à se développer sur le marché grâce à Cisco au cours des années précédentes.

Forteresse/Protection PAM

ETHIC IT vous propose une solution innovante et incontournable, développée par notre partenaire SSH.

Principe d'une solution Bastion (PAM)

A PAM (Privileged Access Management) solution, or Bastion, allows you to manage your privileged accounts transparently and securely.

Le but de la solution est :
• Pour avoir un point d'accès unique et sécurisé : pas besoin d'utiliser des bounce machines
• Gérer l'accès : Un utilisateur, un administrateur ou un profil externe ne pourra voir et accéder qu'à ce dont il a besoin.
• Assurez la traçabilité : les actions et les connexions sont enregistrées et les sessions peuvent être enregistrées et archivées en vidéo
• Empêcher certaines actions : Détecter et bloquer certaines actions en fonction de règles définies (exemple : empêcher une commande de redémarrage)

Utilisation simple et transparente

L'interface utilisateur est simple et agrège tous vos environnements sur une fenêtre web.
La solution Bastion vous permet d'attribuer des rôles aux utilisateurs avec des droits d'accès spécifiques pour chaque rôle pour tous vos environnements. Ainsi, sur une seule interface, vous pouvez gérer l'accès de vos utilisateurs à toutes vos machines et tracer toutes les opérations.
L'utilisateur n'a de visibilité que sur les environnements qui lui sont accessibles, et l'administrateur peut gérer les accès et revoir les enregistrements depuis cette même interface.

Ethic IT vous accompagne dans la mise en place de la solution Bastion PrivX by SSH.

fr_FR