Cet article est le 6ème d’une série d’articles consacré à la convergence pare-feux – sondes, à l’occasion de la sortie de son produit CyFRONT « Frontal de Sécurité ».
- http://cours-piano-toulouse.fr/?kanava=rencontres-sur-taverny&22a=f2 Article 1 : Pare-feu, IDS, IPS en environnement industriel
- annonce adulte à nevers Article 2 : Approche par signature ou comportementale
- http://audrex.fr/?syspilstvo=salon-de-provence-femme-seule&986=94 Article 3 : Cas d’Application CyFRONT
- Article 4 : Protection en cas d’attaque externe
- Article 5 : Protection accès Télémaintenance
Cas 3 : Intrusion et latéralisation
Ce cas illustre la progression d’une attaque depuis l’IT. C’est en effet le scénario le plus probable pour une attaque ciblée.
On se trouve face à un attaquant qui a réussi à pénétrer dans le SI du client. Le positionnement proposé du CyFRONT ne protège pas le LAN Sécurité, mais toute la partie process.
La sonde doit être dans ce cas configurée pour détecter des écarts fins, car l’attaque est élaborée et l’attaquant a probablement du temps et des moyens. Par exemple, les temps de traitement des trames peuvent être plus complexes ou plus simples avec des scans les fragmentant, ou gérant des exceptions protocolaires inhabituelles dans les couches basses.
Le volume moyen des payload peut également être surveillé avec une certaine finesse, d’autant que pour un système industriel c’est une métrique assez stable sur les conversations concernant les machines du LAN Terrain et du LAN Supervision.
Ce ne sont que des exemples, les règles sont différentes pour chaque conversation (pour faire simple, 2 hosts et un protocole), permettant une granularité très fine.
Il est bien entendu possible de faire l’analyse du trafic sur les deux segments de réseaux qui sont indiqués sur le dessin, ou au contraire d’être sélectif sur le brin que l’on souhaite surveiller, selon les résultats de l’analyse de risque.
A noter, à partir de ce cas d’usage, les alertes vers le SOC ne sont pas figurées, mais elles sont bien présentes.
