Il est habituel, en cybersécurité, de se préoccuper des mesures de sécurité dites « amont » : gestion des identités et des accès, sensibilisation, durcissement des postes de travail ou des serveurs, gestion des mises à jour… Mais il est un arsenal qu’il ne faut pas négliger, au risque de ne pas identifier une attaque en cours et de ne pas pouvoir lancer les plans de continuité à temps : la surveillance du système et la détection des attaques.
La première brique de la cybersécurité : la surveillance du système d’information
À la base de cet arsenal, il y a le log. De la connexion à une session à l’utilisation d’une application, nous générons un nombre considérable de « logs », ou journaux en bon français. Ces fichiers permettent de retracer l’historique des interactions, actions ou requêtes utilisateurs ou système. Une fois générés par les différents composants du système d’information, ces logs peuvent être collectés, stockés et analysés afin d’identifier des activités suspectes ou malveillantes, détecter les attaques en cours et prévenir les futures attaques. Ils sont donc cruciaux pour la sécurité du système !
Pour vérifier le bon fonctionnement du système d’information, on utilise ces journaux de bord. Les logs ont deux utilités : détecter en temps réel un incident afin d’alerter le plus rapidement possible l’administrateur du système (qu’on appelle souvent SysAdmin), et comprendre ce qu’il s’est passé sur le système après un incident, ce qu’on appelle alors le forensique ou le post mortem, et qui permettra de corriger les erreurs.
Penchons-nous encore un peu plus sur les logs. Toutes les actions (utilisateurs ou machines) au sein d’un système peuvent être « loguées », c’est-à-dire inscrites dans le journal des traces : les connexions au système (sur les applications, sur les sessions utilisateurs), le téléchargement de documents depuis une solution de stockage (par exemple, depuis la Dropbox ou le Google Drive de l’entreprise), la suppression de documents, la modification des configurations, les recherches sur internet, les communications entre les machines au sein de ce système… Ces « logs » sont générés par chaque composant du système : l’O.S. d’un ordinateur, les applications, les serveurs, les outils de sécurité ou de réseau (VPN, pare-feu, routeurs, switches, anti-virus…). Il s’agit simplement de lignes de texte décrivant chaque action effectuée par un utilisateur ou une machine sur le composant, enregistrées dans un fichier spécifique. C’est à la charge de l’administrateur du système de configurer chacun des composants pour qu’il génère les logs jugés nécessaires à la compréhension de ce qui se déroule sur ce système.
En plus des logs disponibles sur les équipements classiques du SI, on peut ajouter des outils de sécurité sur le système d’information afin de pour pouvoir générer plus de logs ou des traces plus spécifique (sondes, outils de détection d’intrusion comme les IPS/IDS, anti-virus nouvelle génération comme les EDRs). Ces outils captent plus d’actions ou surveillent plus d’endroits que les composants déjà mentionnés. C’est donc une première étape pour s’assurer de disposer de remontées d’informations nécessaires et suffisantes. À noter que dans bien des cas, ces outils nouvelle génération ne se contentent pas de remonter des données : ils bloquent aussi les activités jugées louches, les communications non autorisées et les programmes repérés comme étant des virus. Il s’agit donc aussi d’outils de prévention et de réponse.
Les types de log
Comme dit plus haut, les logs peuvent être générés par pratiquement toute action sur un équipement informatique ou un réseau, de l’ouverture d’un dossier à la connexion à une session en passant par l’interaction d’une application sur le réseau.
Voici quelques exemples :
Logs système : ces logs peuvent fournir des informations sur les tentatives de connexion infructueuses, les erreurs système, les modifications de fichiers, les accès aux données, les commandes exécutées. Par exemple, ils peuvent aussi révéler une tentative de récupération de fichiers, ce qui peut indiquer une activité malveillante.
Logs d’application : comme leur nom l’indique, ils sont générés par les applications directement. Les logs d’application peuvent fournir des informations sur les erreurs d’application, les tentatives de connexion répétées, les accès aux données, les transactions et les événements de l’application. Par exemple, les logs d’application peuvent révéler une tentative d’usurpation d’identité sur une application.
Logs réseaux : les logs réseaux proviennent des équipements réseaux, comme les routeurs, les commutateurs et les pare-feux. Ils peuvent fournir des informations sur les connexions réseaux, les erreurs réseaux, les flux de données. Par exemple, les logs réseaux peuvent révéler un flux de données sortant d’un système à un moment inhabituel, ce qui peut indiquer une activité malveillante.
Logs de sécurité : les logs de sécurités proviennent des équipements de sécurité (pare-feux, antivirus, EDR, sondes type IPS/IDS…). Ils sont donc cruciaux pour repérer les attaques ! Ils peuvent fournir des informations sur les événements de sécurité tels que les tentatives de connexion, les attaques par force brute, les scans de ports ou encore les tentatives de déni de service.
Après la génération des logs, la collecte et l’analyse
Ces logs peuvent être ensuite centralisés au sein d’un même endroit, par exemple un serveur spécifique (on utilise souvent un serveur Syslog), ce qui permet de les parcourir plus facilement, de les garder plus longtemps et de réaliser des corrélations entre eux pour établir des séquences d’évènements (gestion de logs). Par exemple : tel utilisateur s’est connecté sur le réseau de l’entreprise depuis la Chine à minuit un dimanche, a téléchargé des documents depuis Google Drive, puis a tenté de se connecter sans succès sur l’application de planning. Toutes ces informations proviennent de logs de différents composants (le VPN, le pare-feu, Google Drive…), mais le parcours de l’utilisateur sur le système est retracé efficacement grâce à la centralisation.
En analysant ces logs de manière proactive, les analystes de sécurité peuvent détecter les activités suspectes et les comportements malveillants avant qu’ils ne causent des dommages. L’analyse de logs est donc une technique impérative pour la détection des cyberattaques.
Il existe plusieurs procédés d’inspection de logs qui peuvent être utilisées pour détecter les cyberattaques, notamment :
L’analyse des tendances : cette technique consiste à examiner les logs sur une période donnée pour identifier les tendances et les schémas qui pourraient indiquer une activité malveillante. Par exemple, une augmentation soudaine du nombre de tentatives de connexion infructueuses peut indiquer une attaque par force brute.
L’analyse de corrélation : cette technique consiste à croiser les informations de différents logs pour identifier des événements qui pourraient être liés et qui pourraient indiquer une attaque en cours. Par exemple, une tentative de connexion infructueuse suivie d’une tentative de modification de fichiers peut être un signe d’une attaque en cours.
L’analyse de comportement : cette technique consiste à identifier les comportements inattendus ou inhabituels sur le réseau ou le système informatique. Par exemple, un utilisateur qui se connecte à un moment inhabituel ou qui accède à des données auxquelles il n’a normalement pas accès ou encore l’utilisation d’un logiciel qu’il n’utilise pas habituellement peuvent être des signes d’une activité malveillante.
L’analyse de signature : cette technique consiste à identifier les signatures de logiciels malveillants connus dans les logs. Par exemple, si un logiciel malveillant a été identifié sur un système, les logs peuvent être analysés pour identifier d’autres systèmes qui pourraient être infectés.
L’analyse de flux : cette technique consiste à examiner les flux de données entre les différents systèmes pour identifier les anomalies qui pourraient indiquer une activité malveillante. Par exemple, un flux de données sortant d’un système à un moment inhabituel peut être un signe d’une attaque.
En utilisant ces techniques et d’autres, les analystes de sécurité peuvent identifier les activités suspectes, évaluer le niveau de risque, déterminer si une attaque est en cours et prendre des mesures pour y remédier.
Les SIEM, des outils d’aide à l’analyse
En général, les logs ne sont pas juste remontés dans le serveur Syslog, ils servent aussi à nourrir un SIEM : une solution d’analyse et de corrélation des logs. Ce SIEM permet de mettre en place des règles de détection très précises, qui vont générer des alertes envoyées en temps réel au sysadmin. Par exemple : si le journal de logs de notre parc d’ordinateurs contient une donnée de connexion provenant d’un pays jugé à risque, et qu’au même moment une tentative de connexion a lieu sur le serveur Syslog en tant qu’administrateur avec une tentative de changement des configurations, alors il faut envoyer une alerte.
Voici quelques exemples de SIEM :
Splunk : il s’agit d’un outil qui permet de collecter, indexer et étudier des données de logs en temps réel. Splunk utilise des algorithmes de machine learning pour détecter les anomalies et les comportements inhabituels dans les logs.
ELK Stack : il s’agit d’un ensemble d’outils open source comprenant Elasticsearch, Logstash et Kibana. Elasticsearch est un moteur de recherche et d’inspection de logs, Logstash est un outil de collecte de données et Kibana est un outil de visualisation de données.
Graylog : c’est un outil open source qui permet de collecter, indexer et analyser des données de logs en temps réel. Comme Splunk, Graylog utilise des algorithmes de machine learning pour détecter les anomalies et les comportements inhabituels dans les logs.
AlienVault USM : il s’agit d’une plateforme de sécurité unifiée qui intègre la gestion des logs, la détection d’intrusion, la gestion des vulnérabilités et la conformité réglementaire. AlienVault USM utilise des algorithmes de machine learning pour détecter les menaces et les vulnérabilités.
LogRhythm : c’est une plateforme de gestion des logs et de sécurité qui permet de collecter, examiner et répondre aux menaces de manière proactive. Comme les précédents, LogRhythm utilise des algorithmes de machine learning pour détecter les comportements malveillants dans les logs.
Le SOC et le CERT : le retour de l’humain dans la détection.
Ces outils techniques peuvent être utilisés pour aider les analystes de sécurité à automatiser l’analyse de logs et à détecter plus rapidement les cyberattaques. Cependant, il est important de noter qu’ils ne remplacent pas la nécessité d’avoir des analystes de sécurité qualifiés pour interpréter les résultats de l’examen de logs et prendre des mesures pour remédier aux menaces détectées.
L’avant-dernière couche du système de surveillance, c’est donc le SOC : le Security Operation Center. Il s’agit d’une équipe composée d’analystes cyber humains, en général aidés d’outils et de Dashboard, qui reçoivent les alertes du SIEM et les traitent pour éliminer les faux positifs et comprendre et remonter les vrais incidents.
Enfin, la dernière couche, c’est le CERT : Computer Emergency Response Team, l’équipe qui reçoit les alertes envoyées par le SOC et qui est en charge de traiter l’incident en prenant les mesures d’endiguement et de remédiations qui s’imposent.
Il est rare qu’une TPE, ou même une PME, dispose d’un tel arsenal ; les CERT, les SIEM et les SOC sont souvent réservés aux grandes entreprises. Mais rien n’empêche une entreprise de taille plus modeste d’avoir des outils de détection de type EDR pour renvoyer les alertes les plus graves et bloquer les menaces les plus connues, un serveur Syslog pour faire du forensique en cas de besoin, et même de déléguer le traitement des alertes à un SOC externe.
Pour un particulier, il faudra simplement avoir un anti-virus sur son ordinateur mis à jour régulièrement, et éventuellement surveiller les alertes de sécurité sur son router, ainsi que les différentes connexions.
Dans ce pêle-mêle de pratique et d’outil d’analyse de logs, il est important de retenir qu’il faut identifier un besoin réel et des solutions pertinentes en fonction de chaque organisme ; mais négliger la gestion des logs et la surveillance du système, c’est s’aveugler dangereusement !
Article rédigé par : Kévin Rosemond, consultant chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Politique de Sécurité des Systèmes d’Information (PSSI)