Supervision des attaques de réseaux avec PRTG

La supervision des attaques sur le réseau est le processus qui consiste à observer et à analyser en permanence l'activité du réseau afin de détecter, de réagir et de prévenir les activités malveillantes ou les failles de sécurité.

IT implique l'utilisation de divers outils, techniques et pratiques pour s'assurer que toute action non autorisée ou suspecte au sein d'un réseau est identifiée et atténuée immédiatement, par exemple :

• Les systèmes de détection d'intrusion (IDS)
• Les systèmes de prévention des intrusions (IPS)
• Les systèmes de gestion des informations et des événements de sécurité (SIEM)
• Outils d'analyse du trafic réseau (NTA)
• Outils de supervision du réseau
• Les pare-feu
• Détection et réponse des points finaux (EDR)
• Plateformes de renseignement sur les menaces
• Supervision continue
• Planification de la réponse aux incidents
• Chasse aux menaces
• Segmentation du réseau

Les attaques de réseau peuvent être classées en différentes catégories en fonction de leurs objectifs, de leurs techniques et de leurs cibles. Voici une Vue d'ensemble des principaux types d'attaques de réseau :

1. Les attaques par déni de service (DoS) et les attaques par déni de service distribué (DDoS)

• Attaque par déni de service: Inonder un réseau ou un serveur avec du trafic pour épuiser les ressources et le rendre indisponible pour les utilisateurs légitimes.
• Attaque DDoS: Semblable à l'attaque DoS, mais lancée à partir de plusieurs dispositifs compromis, ce qui la rend plus difficile à atténuer.
• Botnets: Réseaux d'ordinateurs compromis contrôlés à distance par des attaquants pour mener des attaques coordonnées, souvent des attaques DDoS.

2. Attaques de type "Man-in-the-Middle" (MitM)

• Écoute clandestine: Interception des communications entre deux parties à leur insu.
• Détournement de session: Prise en charge d'une session active entre deux parties par le vol de jetons de session.

3. Attaques de phishing et de spear phishing

• Phishing: envoi de communications frauduleuses, souvent des courriels, pour inciter des personnes à fournir des informations sensibles.
• Spear phishing: attaques de phishing ciblées visant des personnes ou des organisations spécifiques, également appelées "ingénierie sociale".

4. Attaques par injection SQL

Exploitation des vulnérabilités du logiciel d'une application en injectant des requêtes SQL malveillantes pour manipuler la base de données.

5. Scripts intersites (XSS)

Injection de scripts malveillants dans des pages web consultées par d'autres utilisateurs. Ces scripts peuvent voler des données, détourner des sessions d'utilisateurs ou effectuer des actions non autorisées.

6. Attaques par logiciels malveillants

• Virus: Code malveillant qui s'attache à un fichier hôte et se propage à d'autres fichiers.
• Vers : Logiciels malveillants autonomes qui se répliquent pour se propager à d'autres appareils.
• Chevaux de Troie: Logiciel malveillant déguisé en logiciel légitime.
• Ransomware: Il crypte les données de la victime et demande une rançon pour obtenir la clé de décryptage.

7. Informations d'identification

• Attaque par force brute: Tenter toutes les combinaisons possibles de mots de passe jusqu'à ce que le bon mot de passe soit trouvé.
• Informations d'identification (Credential stuffing) : Utilisation d'une liste de paires connues de noms d'utilisateur et de mots de passe, souvent issues de violations antérieures, pour obtenir un accès non autorisé.

8. Menaces internes

Attaques provenant de l'intérieur de l'organisation par des personnes de confiance qui abusent de leurs droits d'accès.

9. Exploitation de vulnérabilités non corrigées

Tirer parti de vulnérabilités connues dans des logiciels ou du matériel qui n'ont pas été corrigés ou mis à jour.

10. Reniflage de réseau et usurpation d'identité

• Reniflage: Capture et analyse des paquets passant par un réseau.
• Spoofing (usurpation d'identité) : Se faire passer pour un autre appareil ou utilisateur sur un réseau afin de voler des données, de diffuser des logiciels malveillants ou de contourner les contrôles d'accès.

La meilleure façon de prévenir les attaques de réseau est de réduire le nombre de points faibles dans votre réseau. Ces points faibles comprennent non seulement les failles logicielles, les erreurs d'exécution et les infrastructures IT complexes, mais aussi les employés négligents.

S'attaquer aux failles des logiciels

Il faut toujours partir du principe que les logiciels sont défectueux et que les bogues créent des passerelles. Les exploits utilisent les points faibles pour accéder à des ordinateurs externes et installer des logiciels malveillants. Ces exploits sont sauvegardés dans des "kits d'exploitation" et vendus à des parties intéressées avec des interfaces utilisateur pratiques. Si vous découvrez un point faible et constatez qu'un correctif ou une mise à jour est disponible, installez le correctif rapidement, de préférence à l'aide d'un distributeur de mises à jour automatisé qui couvre tous les postes de travail de votre entreprise.

Considérer la sécurité IT comme un processus continu

La technologie ne cesse d'évoluer, les logiciels offrant de plus en plus de nouvelles fonctions et les failles de sécurité apparaissant sans cesse. Lorsqu'un nouveau logiciel de sécurité est mis sur le marché, il y a déjà un hacker qui sait comment le pirater. Vous devez donc considérer la sécurité IT comme une tâche permanente qui ne s'achève jamais.

Mettre en place des mesures de sécurité globales

Une approche globale qui va au-delà des scanners de virus et des pare-feu est essentielle à la sécurité du réseau. La sécurité IT s'est élargie pour inclure des mises à jour, des sessions de formation, de la supervision, des outils de sécurité intelligents et même une collaboration avec d'autres entreprises de votre secteur pour aborder les développements actuels autour des questions de sécurité IT.

Réduire la complexité IT

Plus votre infrastructure est complexe, plus votre système est vulnérable. Simplifiez les structures IT et réduisez au minimum le nombre d'outils que vous utilisez pour vous aider à repousser les attaques potentielles. Tous les logiciels créent des passerelles, soit eux-mêmes, soit lorsqu'ils sont exécutés avec d'autres programmes. En gardant les choses simples, vous fermez les passerelles potentielles et empêchez les pirates de trouver un moyen d'y pénétrer.

Mettre la sécurité IT au premier plan

La sécurité IT doit être un élément majeur de tout nouveau projet, et pas seulement pour les responsables de la sécurité et de la protection des données. Les administrateurs IT et les développeurs de logiciels doivent également être au courant. Et si la direction peut confier des tâches spécifiques, elle doit également se tenir informée de tous les développements en matière de sécurité.

S'en tenir à l'état de l'art

La loi exige que les entreprises utilisent une technologie "de pointe", mais prévoit des exceptions dans certaines situations. Les entreprises doivent se tenir au courant de toutes les évolutions technologiques. Toutefois, les dispositions étant assez vagues et réparties entre plusieurs réglementations différentes, il est recommandé de formuler une stratégie avec les conseils d'un professionnel du droit.

Mettre les employés sur la même longueur d'onde

La formation des employés doit faire partie de votre modèle de sécurité. Votre plus grand défi sera d'intéresser les employés qui n'ont que peu d'intérêt pour la sécurité IT. Comme il s'agit d'une tâche permanente, la formation proactive des employés doit être un élément essentiel de votre approche.

Rendre la tâche coûteuse aux pirates informatiques

Les pirates professionnels ont des dépenses et cherchent à faire des bénéfices. Ils sont toujours à la recherche de cibles lucratives dont l'infiltration ne coûte pas cher. Les entreprises peuvent réduire les attaques en utilisant le cryptage, les systèmes de contrôle d'accès et les solutions de sécurité modernes pour rendre les attaques de réseau coûteuses pour les pirates.

Bloquer les voies d'attaque du réseau

Les ports ouverts, les pièces jointes conventionnelles contenant des virus, les chevaux de Troie ou les attaques "drive-by" lors de la visite de sites web infectés par des logiciels malveillants sont autant de voies d'accès courantes pour les attaques de réseau. Les pare-feu et les logiciels antivirus sont recommandés pour bloquer ces voies.

L'époque où l'on pouvait se contenter de rechercher des signatures est révolue. La simple recherche de motifs ne suffit plus dans la lutte contre les attaques de réseau.

Prévenir les failles de sécurité

Les programmes antivirus actuels recherchent des similitudes avec des intrusions antérieures, arrêtent les logiciels suspectés d'activité dangereuse et permettent d'encapsuler les logiciels malveillants en toute sécurité. Les clouds doivent également être vérifiés régulièrement.

L'analyse automatisée du comportement est indispensable, car la vitesse à laquelle les nouvelles menaces apparaissent ne peut plus être égalée par les ressources humaines. Mais même les outils d'apprentissage automatique nécessitent un savoir-faire humain. Aujourd'hui, les pare-feu peuvent également être dotés de composants de prévention qui recherchent des schémas suspects.

Exploiter les instruments techniques pour éradiquer les logiciels malveillants

Les systèmes devenant de plus en plus complexes et les vecteurs d'attaque de plus en plus intelligents, même les scanners de virus et les pare-feu modernes ne suffisent plus. De plus, les travailleurs négligents offrent aux pirates la possibilité de contourner les programmes de sécurité et d'accéder directement au réseau de l'entreprise. Des instruments techniques spéciaux sont donc nécessaires pour éradiquer les logiciels malveillants qui se sont introduits dans le réseau sans être détectés.

Utiliser un système de détection d'intrusion

Les systèmes de détection d'intrusion (IDS) sont utilisés pour identifier le trafic réseau suspect. Ces systèmes peuvent commencer par des commutateurs (par exemple), où ils parcourent le trafic de données et recherchent des logiciels malveillants. Les systèmes de prévention des intrusions (IPS) peuvent également être utilisés pour supprimer les logiciels malveillants. L'inconvénient de ces systèmes est qu'ils doivent se connecter à votre système pour fonctionner. Un IPS lui-même peut donc devenir une cible attrayante pour les pirates informatiques. Pour éviter les fausses alarmes lors du processus de détection, l'IDS doit être intégré à la stratégie de sécurité de l'entreprise.

Bien que PRTG ne puisse pas se substituer à un système de détection d'intrusion, il est doté de nombreuses fonctions qui contribuent à la protection contre les cyberattaques :

• PRTG supervise l'ensemble de votre réseau : serveurs, dispositifs de stockage, appareils connectés tels que routeurs, ordinateurs et imprimantes, trafic, etc.
• Grâce à notre solution de supervision tout-en-un PRTG, vous pouvez vous débarrasser des points faibles qui ont tendance à apparaître lorsque vous utilisez plusieurs programmes différents
• L'enregistrement du réseau vous permet de vérifier les anomalies de vos données et sert de base de données pour les systèmes de sécurité IT
• PRTG vérifie le fonctionnement des pare-feu, des antivirus, des logiciels de sécurité et des sauvegardes, ainsi que les droits d'accès aux salles de serveurs et à d'autres espaces

Dans PRTG, les « capteurs » sont les éléments de base de la supervision. Un capteur surveille généralement une valeur mesurée dans votre réseau, par exemple, le trafic d'un port sur un switch, la charge CPU d'un serveur ou l'espace libre d'un disque. En moyenne, vous avez besoin de 5 à 10 capteurs par équipement ou d'un capteur par port de switch.