Surveillance de l’intégrité des données et fichiers Windows critiques

Surveillance de l'intégrité des données

Récemment, nous avons travaillé sur la conformité PCI-DSS et plus précisément sur le déploiement d’une solution de surveillance de l’intégrité des données (FIM). Pour ceux qui ne sont pas des experts de la sécurité, les solutions d’intégrité des données visent à suivre l’état d’un ensemble de fichiers (ceux que l’on pense être critiques) et à mettre en place une alerte dès qu’un changement inattendu a lieu (autorisations, contenu, etc. .). Dès lors qu’une alerte survient, l’administrateur doit veiller à surveiller de plus près les données affectées afin de s’assurer que ce ne soit pas une cyberattaque. Pour être clair, la surveillance de l’intégrité des données n’est pas une solution de prévention contre les attaques potentielles. C’est plutôt la dernière ligne de défense, c’est-à-dire un outil qui entre en jeu lorsque toutes les autres méthodes de défense ont échoué.

Surveillance de l'intégrité des données

Cela étant dit, nous avons dû faire face à un plus grand problème. Celui d’identifier les donnée les plus critiques à surveiller sur les serveurs Windows et les postes de travail. Bien que ce processus peut sembler simple, il s’agit d’un problème délicat qui doit être évalué avant de mettre en place une solution d’intégrité des données.

En effet, une entreprise ne peut pas surveiller l’ensemble de ses fichiers et dossiers car cela entraînerait beaucoup d’inconvénients. D’abord, la quantité de données à traiter serait si grande que les ressources humaines à mobiliser induiraient des coûts supplémentaires. Deuxièmement, la surveillance de tant de fichiers produirait un nombre énorme d’alertes et de faux positifs. Ce qui aurait comme effet négatif de détourner l’attention des données qui compte vraiment.

D’autre part, la surveillance trop restrictive de quelques fichiers ne serait pas une bonne protection et serait probablement inefficace lorsque vous essaierez de savoir ce qui a été modifié au cours d’une attaque.

Par conséquent, il appartient à l’administrateur de décider soigneusement quels fichiers et dossiers doivent être surveillés. Un mauvais choix pourrait provoquer un échec de détection d’une attaque ciblée qui a modifié certains fichiers critiques.

 

Exemple de surveillance de l’intégrité des données

Après quelques jours de recherche et plusieurs discussions, nous avons trouvé une liste de fichiers et de dossiers qui peuvent être considérés comme critiques (ou sécuritaires). Ils doivent donc être surveillés. Nous avons décidé de les partager avec vous afin que vous puissiez nous donner votre avis :

  • Tous les fichiers et dossiers sous C:\WINDOWS exceptés les dossiers de la liste ci-dessous qui contiennent des fichiers journaux (la raison est expliquée ci-dessous), des fichiers de cache et d’autres fichiers sans importance : NtServicePackUninstall, NtUninstall, assembly, CSC, DEBUG, HELP, I386, LogFiles, Minidump, Prefetch, Shelliconcache, SoftwareDistribution, system32\Catroot, system32\LogFiles, system32\NtmsData, system32\winevt\Logs, System32\wdi\LogFiles, system32\wbem, Temp, winsxs, rescache, serviceprofiles\networkservice\appdata\local\temp
  • Les dossiers suivants (aucun fichier et sous-dossier) sous C:\WINDOWS : assembly, CSC, DEBUG, security, system32\NtmsData, Temp
  • Les dossiers suivants dans C:\ : autoexec.bat, boot.ini, config.sys, io.sys, msdos.sys, ntbootdd.sys, ntdetect.sys, ntldr
  • Les dossiers suivants (aucun fichier et sous-dossier) : C:\Documents and Settings, C:\Users, C:\System Volume Information
  • Les dossiers suivants (avec fichiers et sous-dossiers) dans C:\ : ProgramFiles, ProgramFiles(x86)

Enfin, un œil expert peut vous suggérer que le Registre Windows est un autre actif important qui doit être surveillé. C’est tout à fait vrai ! Cependant, les fichiers stockant les clés du Registre semblent être verrouillés (au moins dans certaines versions de Windows). Les solutions de surveillance d’intégrité des données ne peuvent pas garantir leur intégrité. Avec Elastic Detector, nous essayons de résoudre ce problème en exploitant notre approche unique basée sur le clonage des machines virtuelles afin de détecter des changements inattendus dans le registre Windows. Ceci sans impact sur les performances et la productivité grâce à des analyses sur des clones. Nous pouvons utiliser l’API Windows pour analyser l’ensemble du Registre et toutes ses clés sans accéder directement aux fichiers bruts.

registry_editor_location

Enfin, les fichiers journaux doivent être surveillés afin de s’assurer qu’aucune modification non autorisée n’a eu lieu. Malheureusement, les outils standard de contrôle de l’intégrité des données ne sont pas très bien adaptés aux fichiers journaux. En effet, par nature, ils sont sujets à des changements fréquents. Plus précisément, si un fichier journal a été modifié, un outil FIM standard n’est pas capable de distinguer un comportement non autorisé d’un comportement normal. Il ne pourra pas détecter si un fichier journal a été altéré (par exemple certaines lignes ont été supprimées afin de couvrir une attaque) ou non (par exemple, certaines lignes ont été ajoutées).

Cela étant dit, il est clair que des solutions ad-hoc et personnalisées sont nécessaires pour surveiller l’intégrité des fichiers journaux. Chez SecludIT, nous sommes prêts à relever le défi suivant : surveiller l’intégrité des fichiers journaux sans impact sur les performances des serveurs de production.

On vous laisse tester gratuitement Elastic Detector, alors dites-nous si on le défi a été relevé 🙂

Leave a Reply