Vidéo: [HACK] Un expert en sécurité pirate un appareil Android à distance 2025
La surveillance des événements liés à la sécurité est essentielle pour les efforts de sécurité en cours visant à décourager le piratage. Cela peut être aussi simple et banal que de surveiller les fichiers journaux sur les routeurs, les pare-feu et les serveurs critiques chaque jour. La surveillance avancée peut inclure la mise en œuvre d'un système de gestion des incidents de sécurité de corrélation pour surveiller tout ce qui se passe dans votre environnement. Une méthode courante consiste à déployer un système de prévention des intrusions ou un système de prévention des fuites de données.
Le problème de la surveillance des événements liés à la sécurité est que les humains trouvent cela très ennuyeux et très difficile à faire efficacement. Chaque jour, vous pouvez consacrer du temps à la vérification de vos fichiers journaux critiques de la nuit ou du week-end précédent afin de détecter les intrusions et autres problèmes de sécurité informatique et réseau. Cependant, voulez-vous vraiment vous soumettre vous-même ou quelqu'un d'autre à ce genre de torture?
Cependant, le filtrage manuel des fichiers journaux n'est probablement pas la meilleure façon de surveiller le système. Considérez les inconvénients suivants:
-
Trouver des événements de sécurité critiques dans les fichiers journaux système est difficile, voire impossible. C'est simplement une tâche trop fastidieuse pour l'humain moyen à accomplir efficacement.
-
Selon le type d'équipement de journalisation et de sécurité utilisé, il se peut que vous ne détectiez même pas certains événements de sécurité, tels que les techniques d'évasion du système de détection d'intrusion (IDS) et les hacks dans les ports autorisés du réseau.
Au lieu de parcourir tous vos fichiers journaux pour les intrusions difficiles à trouver, essayez ceci:
-
Activez la journalisation du système là où c'est raisonnable et possible. Vous n'avez pas nécessairement besoin de capturer tous les événements de l'ordinateur et du réseau, mais vous devez certainement rechercher certains événements évidents, tels que les échecs de connexion, les paquets mal formés et l'accès non autorisé aux fichiers.
-
Consignez les événements de sécurité à l'aide de syslog ou d'un autre serveur central de votre réseau. Ne conservez pas les journaux sur l'hôte local, si possible, pour empêcher les personnes malveillantes de falsifier les fichiers journaux pour couvrir leurs traces.
Voici quelques bonnes solutions au dilemme de la surveillance de la sécurité:
-
Achetez un système d'enregistrement des événements. Quelques solutions peu coûteuses mais efficaces sont disponibles, telles que GFI EventsManager. Généralement, les systèmes de consignation d'événements à bas prix prennent généralement en charge une seule plate-forme de système d'exploitation: Microsoft Windows est le plus répandu. Les solutions haut de gamme, telles que HP ArcSight Logger, offrent à la fois la gestion des journaux sur diverses plates-formes et la corrélation des événements pour identifier les sources de problèmes de sécurité et les différents systèmes affectés lors d'un incident.
-
Externaliser la surveillance de la sécurité auprès d'un fournisseur de services de sécurité gérés tiers (MSSP) dans le cloud. Quelques MSSP sont disponibles, tels que le service géré Assure de BT, Dell SecureWorks et Alert Logic. Maintenant considérés fournisseurs de services de cloud, ces entreprises ont souvent des outils que vous ne seriez probablement pas en mesure d'acheter et de maintenir. Ils ont également des analystes travaillant 24 heures sur 24 et des expériences de sécurité et des connaissances qu'ils acquièrent auprès d'autres clients.
Lorsque ces fournisseurs de services cloud découvrent une faille de sécurité ou une intrusion, ils peuvent généralement résoudre le problème immédiatement, souvent sans votre participation. Vérifiez si les entreprises tierces et leurs services peuvent libérer une partie de votre temps et de vos ressources. Ne pas dépendre uniquement de leurs efforts de surveillance; Un fournisseur de services cloud peut avoir du mal à détecter les abus d'initiés, les attaques d'ingénierie sociale et les hacks d'applications Web sur Secure Sockets Layer. Vous devez être impliqué.
