Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Intrusions : prévenir ou tolérer ?

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

Commentaires Commentaires fermés sur Intrusions : prévenir ou tolérer ?

Et s’il était illusoire de vouloir empêcher à tout prix les intrusions ? Plutôt que de prévenir le piratage, les universitaires de SCIT Labs proposent plutôt d’en réduire l’impact au point qu’une intrusion deviendrait presque un événement anodin. Utopie ou vraie tendance ? Leur idée a en tout cas déjà séduit l’armée américaine.

Lâchez prise ! Ce pourrait être le slogan de SCIT Labs, une spinoff de l’université américaine Georges Masson, en Virginie.

« Notre solution est bâtie sur l’hypothèse que les intrusions se produiront toujours, quelles que soient les mesures de sécurité mises en oeuvre. Il faut accepter cela et au lieu d’essayer de résister à tout prix, faire plutôt en sorte de limiter le coût et l’impact d’une intrusion réussie », explique Arun Sood, professeur d’informatique à Georges Masson University et responsable du projet SCIT (Self Cleaning Intrusion Tolerance).

Pour le professeur, une solution chargée de réduire l’impact d’une intrusion réussie devra répondre à trois critères essentiels :

Etre indépendante des menaces

Etre résiliante (permettre la continuité de l’activité même si l’outil est compromis)

Etre rapide à mettre en oeuvre (permettre une remise en route très rapide après la compromission)

Quadrature du cercle ? Le problème semble en tout cas intéresser du monde, puisque la recherche a notamment été financée par l’US Army et le NIST (via son Critical Infrastructure Protection Program), avec l’assistance des avionneurs Lockheed Martin et Northrop Grumman.

Aujourd’hui, l’équipe d’Arun Sood pense avoir trouvé la solution avec SCIT Server, une solution que la spinoff de l’université cherche désormais à commercialiser.

SCIT Server est basé sur une vieille pratique en vigueur chez les services informatiques vraiment paranoïaques : écraser et remplacer régulièrement les systèmes de production par des images toutes propres. SCIT Server reprend l’idée et va plus loin dans l’automatisation, en exploitant notamment les techniques de la virtualisation et de la gestion des sessions.

Toutes les minutes SCIT Server remplace automatiquement le serveur actif (OS, applications) par une version toute fraîche et propre, clonée à partir d’un modèle qui n’est jamais accessible en ligne. Les sessions en cours sont alors transférées de manière transparente depuis le serveur détruit au clone propre qui prend le relais.

La procédure permet bien entendu de se débarrasser au passage de tout malware ou tout outil de piratage qui aurait pu être installé par un attaquant via une vulnérabilité connue. Les intrusions ont ainsi, au mieux, une durée de vie d’une minute.

Bien entendu, SCIT Server ne fait rien pour corriger les vulnérabilités elles-mêmes, et le risque demeure donc que la nouvelle image mise en ligne soit aussitôt compromise. « C’est exact, mais nous pouvons aussi faire en sorte que chaque image soit basée sur un OS et des applicatifs différents », précise Arun Sood. Ainsi, pour un serveur Web, un Linux / Apache pourra succéder aléatoirement à un Windows / IIS, puis un FreeBSD / lighttpd par exemple, et embrouiller plus encore l’attaquant.

Bien entendu, une vulnérabilité applicative web (une injection SQL par exemple) permettra toujours d’attaquer un serveur situé en dehors du périmètre SCIT. Ce a quoi Arun Sood, quittant sa casquette de professeur pour celle de business man, répond qu’il est parfaitement possible de placer d’autres types de serveurs sous SCIT (bases de données, serveurs applicatifs, par exemple). Nous avons toutefois des doutes quant à l’application de cette méthode à un serveur de base de données particulièrement sollicité. Mais de toute manière rien ne dit que SCIT Server dispense des bonnes pratiques en manière de gestion des vulnérabilités et de patch management !

La solution est toutefois complexe et SCIT Labs reconnaît volontiers un impact sur les performances des serveurs protégés. Celui sera fonction de la fenêtre d’exposition souhaitée : avec une rotation des serveurs toutes les quatre minutes l’impact sera de 3 à 5%, mais il pourra atteindre 10 à 15% pour une rotation chaque minute.

La durée de cette rotation n’est toutefois pas une valeur figée : « nous pouvons imaginer que l’IDS détectant une attaque demande alors à notre solution de réduire provisoirement le temps de rotation des serveurs. Durant une attaque, un impact plus élevé sur les performances peut être acceptable si cela signifie une meilleure sécurité. Mais une telle fonctionnalité n’est pas encore présente dans SCIT Server », indique Arun Sood.

Bien que complexe et certainement pas adaptée à toutes les situations, l’approche de SCIT Labs a le mérite de poser la question de la tolérance aux intrusion. Et une telle réflexion peut mener bien au delà d’un simple produit : des mesures, processus et bonnes pratiques spécifiques peuvent elles aussi probablement contribuer à rendre l’entreprise plus « tolérante » aux intrusions. Gageons donc que la réflexion n’est pas prête d’être close sur le sujet !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.