Sécurité système

Journalisation et centralisation

Aider à comprendre ce qui se passe pour débugger
Assurer une traçabilité légale ou réglementaire
Contrôler : la confiance n’exclue pas le contrôle
Détecter et analyser les incidents de sécurité

La suite est librement inspirée des Recommandations de sécurité pour l’architecture d’un système de journalisation, ANSSI

Journaliser ?

Authentifications et élévations de privilèges
Gestion des comptes, rôles (groupes) et privilèges
Modification des stratégies de sécurité (dont journalisation)
Accès aux ressources sensibles (RWX + suppression)
Activité des processus volumétrie
Activité des systèmes (démarrage, modules noyau, matériel…)

Événements de sécurité pare-feu

Prévoir la fonctionnalité dans les applications
Activité système, processus… : auditd(8)
Fonctionnalité native ou syslog/journald + logrotate
Identifier la source des journaux (application & système)
Horodater ! (avec une même source de temps : NTP)
Données structurées

Collecter et centraliser

Assurer le stockage dans la durée (plusieurs mois) Espace disque local probablement faible
Assurer l’intégrité des journaux face à un attaquant
- Contrôle de l’équipement contrôle des journaux exportés
- Privilégier l’export en temps-réel !
Faciliter la recherche avec un outil adapté (grep )
Corréler les événements de plusieurs sources (SIEM)

Utiliser des protocoles sécurisés (confidentialité, intégrité, authentification) natifs ou avec TLS, à défaut SSH ou IPSec
Durcir et cloisonner la plateforme de centralisation (+ MCS)
Prévoir une partition dédiée (cf. principes généraux)
Superviser la volumétrie peut vite déborder
Préférer une base de données structurée et indexée à des fichiers à plat
- comme Elasticsearch + Logstash
- à défaut, syslog-ng / rsyslog

Recherche des anomalies “évidentes” (utilisateurs ou horaires atypiques, erreurs)
Superviser les scénarios de risques ou de menaces identifiés (analyse de risques)
Leitmotiv : tout ce qui n’est pas normal est anormal !

Questions ?