Supervision : retours d'expériences autour des SIEM

Lecteur de GNU/Linux Magazine depuis le 1er numéro, j’ai passé grâce à ce magazine des dizaines d’heures à expérimenter les merveilles parfois incongrues des langages Scheme, les perles de Mongueurs, le ray tracing avec POV, ou encore les bases de l’administration système. J’ai parfois été dérouté par l'enthousiasme du rédacteur en chef pour GNU Hurd comme j’avais pu l’être à la lecture des articles sur Amiga ou BeOS par la rédaction de Dream mais, sans flagornerie, une très grande partie des compétences informatiques dont je disposais à la sortie d’école d’ingénieur, je la devais à la lecture de la presse spécialisée.

Ô temps ! suspends ton vol, et vous, heures propices ! Suspendez votre cours !

GootKit est un malware bancaire assez répandu depuis quelques années et présentant un certain nombre de caractéristiques intéressantes. Sa payload principalement écrite en JavaScript a déjà fait l'objet d'un article dans votre magazine préféré [1]. Nous nous concentrerons ici sur l'écosystème local de GootKit et plus précisément sur son dropper ou plutôt son loader, en perpétuelle évolution dont l'architecture et les fonctionnalités méritent une étude détaillée.

Beaucoup de buzz, doutes, confusions et incertitudes tournent autour du SDN (Software Defined Networking), de ses multiples déclinaisons dans des produits commerciaux. Dans cette époque de cyberguerre, beaucoup de craintes portent aussi sur la sécurité de l'architecture SDN. Dans cet article, après une introduction à l'approche SDN, nous présentons des vulnérabilités récemment découvertes par la brigade securité et performance du projet open source ONOS (Open Network Operating System).

Pas besoin d’avoir fait des lettres LA Teen pour savoir que 10 ans est une étape importante. Le projet commencé en 2008 par Victor Julien sous le nom de VIPS pour Victor’s IPS a bien changé. Son évolution fonctionnelle témoigne de la transformation des menaces et les techniques de sécurisation du développement utilisées sont la preuve des progrès réalisés dans ce domaine.

Comment concevoir et optimiser la mise place d’infrastructures de type SIEM, dans des environnements relativement complexes ? Hétérogénéité des composants, tailles des infrastructures, limitations sur les moyens humains et financiers, défis technologiques et organisationnels, pressions et menaces internes et externes...

Nous parlerons ici de solutions face aux problématiques de création d’un Security Information Management System totalement open source en utilisant la stack Elastic.

La mise en place d’un SOC est un projet bien moins technique qu’organisationnel. Dans le cadre de la supervision sécurité d’installations industrielles isolées, la collecte de logs peut cependant présenter quelques spécificités techniques qu’il semble intéressant d'aborder dans cet article.Les postes de supervision et les serveurs de contrôle-commande constituant un point d'entrée important vis-à-vis d'une malveillance informatique sur un système industriel, leurs journaux systèmes représentent une source d'informations intéressante à collecter. L'article propose un retour d'expérience sur la mise en œuvre d'une infrastructure de collecte des journaux Windows et de leurs transferts vers un SOC, dans le respect d'une exigence d'isolation.

Suricata est un moteur IDS open source avec des fonctionnalités NSM. Cette approche hybride est une des clefs lors de son intégration dans un SOC ou avec un SIEM. Contrairement à certains produits sur étagère, les possibilités sont légion.

Certaines librairies Java permettent de transformer un objet en un flux d’octets et vice-versa. Ces processus sont appelés sérialisation et déserialisation, respectivement. Ces processus ne manipulent qu’un flux d’octets qui représente des données et non du code. Nous présentons dans cet article les bases de la sérialisation en Java et nous analysons une méthode présente dans les libraires standards de la machine virtuelle Java qui ouvre la porte à une vulnérabilité de désérialisation.

Nous présentons dans cet article comment sécuriser la centralisation du calcul des routes. Après une présentation sur la nécessité de la centralisation du calcul des routes, nous présenterons les concepts autour du PCE (Path Computation Element) et décrirons menaces et contre-mesures à mettre en œuvre.