Publié le 03-04-2009 dans le thème Réseau - Sécurité

Pays : International - Auteur : La rédaction

Pub : Tous les logiciels antispyware gratuits disponibles sur Internet

Retour d´expérience sur l´utilisation grandissante des technologies de scanners temps réel de réseaux.

L’utilisation des scanners actifs (également nommés scanners de vulnérabilités) est désormais extrêmement courante auprès des grands comptes et fait partie intégrante des processus de contrôle dictées par les DSI. En effet, cet outil s’avère très utile pour dresser la carte des machines et services présents dans le réseau ainsi que les vulnérabilités associées à ces actifs. Par ailleurs, de nombreux grands comptes utilisent ces informations dans un but de corrélation (soit au niveau d’un IDS pour en supprimer les faux positifs, soit au niveau d’un SIEM pour alimenter celui-ci).

Cependant l’utilisation de cette seule technologie comporte quelques contraintes et connait quelques limites. Par définition le scanner actif mène une action ponctuelle et prend donc une photographie de l’état du réseau. Les scans ont lieu régulièrement mais leur fréquence est d’une fois par trimestre, par mois, voire par semaine pour les plus réguliers. Ceci pose le problème de l’exactitude des informations au moment ou elles sont utilisées. Toute corrélation ou utilisation d’un résultat de scan actif est potentiellement fausse car obsolète. En effet, la mobilité des LapTops, la rapidité d’évolution du réseau accélérée par l’utilisation grandissante des outils de virtualisation, les campagnes régulières de patch management, sont autant de facteurs qui contribuent à rendre le réseau dynamique.

C’est dans ce contexte de réseaux de plus en plus dynamiques que l’utilisation des scanners passifs a tendance à s’étendre au sein des grands comptes.
Par définition, le scanner passif ne fait qu’écouter le réseau afin de le cartographier et n’envoi aucun paquet sur réseau. Il cartographie les OS (type, version), les services (type, version) et crée la carte des vulnérabilités associée aux actifs découverts. Il est généralement également capable d’enregistrer les flux (type netflow record). Son caractère « passif » lui confère surtout la capacité de détecter en « temps réel ». Ainsi, dès qu’une machine ou un service émet des paquets sur le réseau, elle ou il est détecté et intègre la cartographie réseau.
L’utilisation d’un scanner passif dans un but de corrélation ou d’alimentation d’un SIEM garantit donc la prise en compte en temps réel de la cartographie du réseau ce qui élimine les erreurs liées à l’obsolescence des données provenant d’un scan actif.

Cependant, étant passif, le scanner passif ne peut que soupçonner les vulnérabilités présentes sur les machines détectées sans avoir la capacité de les tester. Cela signifie que sa carte de vulnérabilités sera inexacte car trop riche.

Le meilleur des deux mondes
L’intérêt du scanner actif est de donner une image parfaite des vulnérabilités présentes au moment du scan. Son défaut est de ne pas garantir la qualité de cette information entre deux scans. L’intérêt du scanner passif est de surveiller constamment le réseau pour apporter une connaissance temps réel complète des machines et services qui y figurent. Son défaut est de ne pas être précis sur les vulnérabilités présentes sur les machines.

La qualité de l’un couvre le défaut de l’autre. La pratique recommandée est donc une utilisation combinée de ces deux technologies afin de conserver une connaissance temps réel du réseau et de bénéficier ponctuellement d’une information précise de vulnérabilités. Idéalement, la découverte passive d’une nouvelle machine doit pouvoir automatiquement déclencher le scan actif et complet de ladite machine…

A propos de Sourcefire
Sourcefire, Inc. (Nasdaq: FIRE), créateur de Snort®, acteur innovant sur le marché de l'open source et l’un des acteurs incontournable sur le marché des solutions de sécurité des réseaux d'entreprise (Enterprise Threat Management). Sourcefire révolutionne la façon de gérer le réseau des entreprises du Global 2000 et des organismes gouvernementaux en contrôlant et minimisant les risques de sécurité sur leur réseau avec son approche 3D - Découvrir, Déterminer, Défendre - pour sécuriser les réseaux en temps réel. Cette approche de la sécurité des réseaux, l'ETM, fournit aux utilisateurs un système de défense efficace et performant sur plusieurs niveaux - en protégeant le réseau avant, pendant et après une attaque. Depuis plusieurs années, Sourcefire est régulièrement reconnue pour son leadership industriel innovant par ses clients, les médias et les analystes – avec plus de 40 récompenses et consécrations à son palmarès. Aujourd'hui, le nom de Sourcefire et celui de son fondateur Martin Roesch sont devenus tous deux synonymes d'innovation et d'intelligence sur le marché de la sécurité informatique. Pour plus d'informations à propos de Sourcefire, rendez-vous sur http://www.sourcefire.com.

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Réagissez à ce contenu