La disponibilité et les performances du réseau vont de pair pour les entreprises dépendantes de la vente en ligne. Selon un calculateur en ligne de coûts d’une attaque DoS1, une entreprise ayant des revenus annuels de 10 millions de dollars, dont au moins 10% provient de la vente en ligne, peut perdre jusqu'à 100 000 dollars par attaque de type DoS!Comme l’indique certains rapports, on estime que près d'un millier d’attaques DoS sont lancées2 chaque jour et il yaurait environ trois mille Commandes et Contrôles actifs3(C&C) pouvant effectuer des attaques DoS. En considérant le fait qu’il existe beaucoup d’autres types d’attaques possibles, en plus des attaques DoS, la probabilité pour qu’une entreprise subisse une attaque ou tombe sur un malware est élevée.
Voici donc un article (en anglais) très intéressant qui vous informe sur ce qu’il faut faire suite à une atteinte à la sécurité de votre réseau :
http://www.eweek.com/c/a/Enterprise-Networking/Network-Security-Breaches-10-Things-to-Do-Immediately-After-414421/
Les différents points mentionnés dans l'article nous explique comment atténuer l'effet d'une attaqueen voyant au-delà de vos systèmes IDS/IPS, du profilage et de l’analyse du trafic, du Qui, Quoi, Quand et Où du trafic et de la conformité. Donc, la question suivante est de savoir comment atteindre cet objectif.
L’une des réponses à cette question est NetFlow de Cisco. Ce dernier est désormais la technologie la plus utilisée pour la surveillance réseauet ce dans les petites, moyennes et grandes entreprises. NetFlow recueille des informations pertinentes sur le trafic passant par vos interfaces de routage et de commutation qui peuvent ensuite être utilisées pour l'analyse et la criminalistique réseau. Les fournisseurs de dispositifs Non-Cisco pour entreprises comme Juniper, HP, Alcatel, Enterasys, Huawei, Dell, Force10, etc…exportent NetFlow ou des logiciels similaires comme IPFIX, J-Flow, sFlow, NetStream, Appflow, etc...
Mais NetFlow seul n’est pas suffisant. Vous avez également besoin d'un outil sur lequel peut s’appuyer NetFlow et qui vous aide pour la surveillance de la bande passante,pour l’analyse du réseau et pour la détection d'anomaliessur le réseau. NetFlow Analyzer de ManageEngine est cet outil.
NetFlow Analyzer de ManageEngine possède un module d’analyseécurité avancé(ASAM), qui s'appuie sur les données de NetFlow pour constituer des rapports sur d'éventuelles anomalies dansle comportement du réseau comme des attaques DoS, un trafic provenant d’une source ou d’une IP inconnue, une brusque augmentation du trafic, la violation de paquets TCP et UDP, des scans réseau , etc… ASAM n'est pas basé sur la détection de signature mais sur les comportements anormaux, ainsi les malwares zerodayqui sont passés inaperçus pour les systèmes IDS/IPS seront capturés.
Pour être préparé et savoir ce qui se passe, une surveillance continue est une nécessité. NetFlow est une technologie à faible impact qui est une excellente solution pour cela. En consommant très peu de bande passante ou de ressources d'un dispositif, vous pouvez laisser NetFlow fonctionner en permanence. Stocker les données NetFlow aussi longtemps que possible et profilerle comportement de votre réseau en utilisant un bon outil graphique. NetFlow Analyzer de ManageEngine est capable de stocker des données brutes NetFlow pendant un mois et les flux agrégés basé sur un top N peuvent être stockés indéfiniment. Avec des informations sur tout le trafic qui passepar votre réseau, si un problème survient, il suffit de remonter dans le temps pour savoir exactement ce qui s'est passé.
Une fois que vous êtes prêt et que tout est enregistré, vous pouvez utiliser ces informations pour la criminalistique réseau (network forensics) qui nécessite des informations détaillées sur le trafic de votre réseau, à la fois à partir du WAN et du LAN mais aussi à l’intérieur du LAN. NetFlow Analyzer de ManageEngine collecte et propose des rapports sur la source et la destination des IP, des ports, des interfaces, du protocole, des champs ToS et DSCP, du saut suivant, des drapeaux TCP et bien d’autres. Et c'est exactement ce dont vous avez besoin pour la criminalistique réseau et pour répondre aux questions Qui, Quoi, Quand et Où du trafic IP.
Les informations obtenues de NetFlow vous aident également pour les rapports de conformité. Par exemple, la conformité PCI DSS4, «Suivre et surveiller tous les accès aux ressources réseau et aux données duporteur de la carte» est une obligation et c'est exactement ce que NetFlow peut fournir, car il suit chaque transaction en se basant sur une adresse IP, une IP réseau ou une plage d'adresses IP vous informant ainsi sur les l'accès à tout système de stockage de données.
Pour le voir en action, essayez NetFlow Analyzer de ManageEngine.
Téléchargez notre version d’essai 30 jours ou testez notre démo live en ligne.
Informations supplémentaires :
Si vous aimez les romans d’espionnage, lisez cet article (en anglais) de wired.com à propos de la découverte de Stuxnet. Vous en saurez plus sur l’évolution et la complexité des malwares. Voici le lien :
http://www.wired.com/threatlevel/2011/07/how-digital-detectives-deciphered-stuxnet/all/1
Pour en savoir plus sur Duqu (en anglais) :
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf
Jetez un œil au webinar de ManageEngine sur la sécurité réseau (en anglais) :
http://www.manageengine.com/products/netflow/plugging-network-security-holes-using-netflow.html
Références :
1) Calculateur en ligne de coûts d’une attaque DoS :
http://www.ultradns.com/ddos-protection/siteprotect/resources/ddos-cost-calculator/calculate-your-costs
2) Nombre d’attaques DoS :
http://www.team-cymru.org/Monitoring/Graphs/
http://atlas.arbor.net/summary/dos
http://www.shadowserver.org/wiki/pmwiki.php/Stats/DDoSCharts
3) Nombre de C&C actifs :
http://www.shadowserver.org/wiki/pmwiki.php/Stats/BotnetCharts
4) Conformité PCI DSS
https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf