Zatoichi, le samouraï aveugle
La sécurité : les gens en prennent conscience. Ils savent que leurs applications / services / machines sont vulnérables et qu’il faut trouver les failles et les corriger… Mais ils n’ont aucune idée de comment commencer :
- Pen-test ?
- Audit de code ?
- Formation ?
- Sécurité organisationnelle ?
Il est vrai qu’à voir les offres de sécurité, il y a de quoi être perdu. Franchement le point de départ est pourtant simple, suite à la prise de conscience, il faut se donner les moyens d’avoir de la visibilité sur ce qui se passe dans son SI, voir les application planter, les systèmes se comporter anormalement, recueillir les traces et prendre le temps de les analyser pour comprendre ce qui se passe et l’améliorer.
Beaucoup mettent en place des super outils partout partout, ils sont armés jusqu’aux dents et se prennent pour Zatoichi… mais ils n’en ont pas le niveau et ils ne voient pas venir l’attaquant. Pire, telle une victime de Ken le survivant, ils sont corrompus, mais ils ne le savent pas encore.
LISEZ vos LOGS, je ne vous parle pas de mettre en place un système de corrélation mais simplement d’avoir des logs stockés quelque part, que vous pouvez consulter à loisir, voir défiler sur un écran, recevoir par e-mail… et ensuite chercher pourquoi tel ou tel message d’erreur est apparu. Cela demande un peu de temps et de ressource, mais sans ça… vous ne verrez rien venir. A quoi bon bâtir des murailles si c’est pour les laisser sans surveillance.
Je vous renvoie donc à l’article de Linux Mag HS n°37 sur syslog-ng, et vous invite à installer un serveur central syslog-ng, pour ces messieux sous Windows jetez un oeuil à NTsyslog ou Snare. Pour vos applis Web, utilisez le système de log intégré dans votre API, et tout remontera via syslog 😉
Cela demande quelques bouts de scripts / configuration à droite à gauche dans votre SI mais vous en apprendrez beaucoup, et vous pourrez remonter les bugs a vos développeurs/fournisseurs, voir votre site web crasher suite à une requête malformée, vos services segfaulter, bref réaliser le chemin à parcourir pour gouverner votre SI et ne plus être à la merci de l’inconnu.
Franchement c’est un vieil adage, c’est l’invention de l’eau chaude… mais c’est un bon début. Et concrètement comment vous faites ? bah… Google est votre ami 😉 ce n’est pas les tutos
qui manquent.