Hack.lu 2011 - How Visualization makes it possible
How Visualization makes it possible
Une présentation sur Picviz : un outil de visualisation de logs qui déchire 😉 firewall, AV, WAF, IDS, SIEM tout ça c’est bien sympa… mais bah, les attaques passent quand même… et le problème c’est de trouver les deux trois alertes levées par l’attaquant qui s’est faufilé dans le SI. On est donc obligé de faire appel à des êtres humains pour trouver ce type d’attaque discrètes et pourtant efficaces.
La bonne pratique veut que les logs soient centralisées dans une machine pour éviter que celles-ci disparaissent suite à un piratage. Après normalisation, tous ces logs peuvent être stockées dans une base de données, et les données ainsi récoltées alimentent une super interface flashy avec tout plein de graphs de partout ! Bon, en tant que manager, c’est incompréhensible, alors on monte un CERT avec des experts qui galèrent.
Bon forcément, quand on gère un vrai gros réseau, la théorie ne tient pas, et on se retrouve enterré sous des tonnes de logs à analyser 🙁 mais c’est le seul moyen de découvrir de telles attaques qui tiennent à 4-5 lignes de logs. Pour détecter ces attaques on se base sur des informations comme la bande passante consommée, OSSEC, Netflow, Wireshark, des Honeypot, ou … grep. Mais tout ça ne passe pas à l’échelle.
Petite parenthèse sur la visualisation des données dans wireshark avec 3 projets du google summer of code encadré par le honeynet project : WireViz, WireBrowse et WireShnork
Bon les graphiques restent limités quand on à un grand nombre de données à exploiter, et qu’il faut gérer plus de 3 dimensions. C’est là qu’interviennent les coordonnées parallèles. Le principe c’est de grapher les données sur X dimensions, une barre pour chaque axe d’analyse. Et là les attaques sautent aux yeux, car sur un axe ou un autre, elles dénotent.