Série de webinaires sur l'automatisation en quelques minutes >
Retour

Être un détective de réseau au 21e siècle

  • Accueil
  • Chevron avant
  • Blog
  • Chevron avant
  • Détective réseau 21e siècle

by Philippe Gervasi Le 25 octobre 2017

Mon ami, Dave, est un officier de police de l'État de New York, et quand je vais chez lui pour des barbecues, j'aime écouter ses histoires pendant que nous nous asseyons autour du feu de camp.

Lors d'un barbecue particulier l'été dernier, il a raconté une récente excitation.

«Nous avons fait une descente dans ce laboratoire de drogue à quelques reprises auparavant, nous savions donc dans quoi nous nous embarquions. Tommy a enfoncé la porte et nous sommes entrés avec la police locale qui nous a couvert.

Ouah. Je crois que j'en ai entendu parler aux infos.

Quand il a fini, j'ai eu l'impression que c'était à mon tour de dire quelque chose. J'ai commencé par faire une blague sur la façon dont je m'amuse avec des ordinateurs toute la journée. Il m'a regardé avec un visage solennel et m'a expliqué : « Tu ne veux pas faire des descentes dans des laboratoires de drogue, Phil. Soyez reconnaissant pour ce que vous avez.

Des mots gentils, mais j'avais toujours l'impression que Gomer Pyle parlait à Rambo. Néanmoins, il a insisté sur le fait que la majorité de son temps est passée à un bureau, dans une cabine, à taper des rapports.

« Phil, commença-t-il, quatre-vingt-dix-neuf pour cent du temps, je suis assis à faire un travail ennuyeux et fastidieux, attendant que quelque chose d'excitant se produise. Et quand c'est enfin le cas, c'est fini en un éclair.

Cela a résonné en moi. Vous voyez, j'ai vraiment adoré être un ingénieur réseau traditionnel. C'est peut-être parce que j'ai travaillé pour des revendeurs à valeur ajoutée et que j'ai pu mettre la main sur les nouveaux équipements les plus récents et les plus cool, mais je pense que c'était plus parce que j'ai eu l'opportunité de voler d'un projet à l'autre en tant que héros du réseau. Chaque jour ressemblait à de l'excitation, du chaos organisé et de l'aventure.

La sécurité du réseau est cependant un jeu de balle très différent. Aujourd'hui, je travaille pour un service informatique interne, pas un cabinet de conseil, et au lieu d'aller de projet en projet en tant que héros du réseau, je passe mes journées dans l'ennui et la monotonie des tâches de sécurité. Rassembler et examiner d'énormes quantités d'informations à partir d'analyses et d'audits de réseau n'est pas passionnant du tout, mais cet ennui est au cœur de la sécurité de l'information.

Dave me l'a expliqué. Dans le domaine de l'application de la loi, la collecte et la catégorisation des informations susceptibles de conduire à une arrestation et, en fin de compte, de devenir des preuves devant un tribunal revêtent une importance primordiale. Rien ne peut être manqué, et tout doit être fait parfaitement. La partie passionnante ne dure peut-être que quelques minutes, mais le travail fastidieux qui l'amène et qui en résulte est tout aussi important.

La sécurité de l'information a de nombreux parallèles. L'une des raisons pour lesquelles le travail que je fais est si ennuyeux, c'est que, eh bien, c'est tellement ennuyeux. Gérer des scripts pour collecter des données, superviser une poignée de plates-formes de numérisation qui génèrent une tonne de bruit et consulter les e-mails de résumé d'audit qui inondent ma boîte aux lettres chaque matin ne me motive pas à sortir du lit chaque jour. La fatigue de la sécurité est une réalité.

Mais ensuite c'est arrivé. Alors que notre conversation passait à parler de nos enfants, mon téléphone a commencé à bourdonner frénétiquement. J'ai tâtonné avec le bouton de déverrouillage dans le noir pour voir que c'était mon patron qui m'envoyait un texto disant que les serveurs de fichiers étaient verrouillés. Cela ressemblait à une attaque de ransomware, et je savais pourquoi il était si inquiet. Ces serveurs contenaient une tonne de propriété intellectuelle précieuse.

Immédiatement, je me suis levé et je me suis excusé d'avoir dû partir précipitamment. Normalement, je n'utilisais que le VPN sur le réseau de l'entreprise, mais je n'avais pas mon ordinateur portable et la connexion Internet par satellite de Dave était catastrophique. De plus, dans une situation comme celle-ci, je voulais autant de moniteurs devant moi que possible ainsi que les grands écrans au mur affichant des tableaux de bord de surveillance de la sécurité en temps réel.

Après être arrivé au bureau, séparer le site du reste du réseau mondial était la première étape. Le plan de haut niveau était simple : atténuer le risque pour le reste du réseau et arrêter l'hémorragie

  1. Tuez le WAN.
  2. Verrouillez le VLAN du serveur.
  3. Recherchez les adresses IP du serveur de fichiers dans IPAM.
  4. Vérifier que je peux accéder aux serveurs dans la console VMware et arrêter leur mise en réseau individuellement.
  5. Obtenez avec les personnes de sauvegarde et de serveur pour voir si les serveurs peuvent être effacés et reconstruits à partir de la sauvegarde.

Après qu'une petite équipe se soit réunie et ait vérifié les ransomwares sur le reste du réseau, les choses se sont calmées. Le CIO a appelé à la recherche d'une mise à jour. Avons-nous perdu des données ? Comment ce rançongiciel est-il entré ? Comment s'est-il propagé ? Avons-nous de bonnes sauvegardes ?

C'est là que le caoutchouc rencontre la route en matière de sécurité de l'information. Quand tout est verrouillé et que l'hémorragie est arrêtée, les questions commencent. Tout comme cette rafale rapide d'action intense suivie d'un retour au banal que mon ami a décrit autour du feu de camp, c'était le moment pour moi de m'installer et de rechercher des indices dans la myriade de données de numérisation.

Mais gardez à l'esprit que ce n'est pas une tâche triviale. Aucun script automatisé n'a démarré lorsqu'une activité anormale a été détectée, et j'avais plusieurs outils à examiner afin d'obtenir une image complète. J'ai dû regarder les journaux. J'ai dû faire défiler des dizaines de graphiques. Je devais réveiller les gens tard le soir. J'ai dû me connecter à des dizaines d'appareils. Si seulement j'avais à portée de main les informations sur ce qui s'est passé juste au moment de l'attaque.

C'est ennuyeux, c'est de l'inefficacité, c'est sujet aux erreurs, et ce n'est certainement pas la façon de gérer une cyberattaque au 21e siècle. Mais c'est ce que j'avais, et j'avais besoin de savoir comment ce logiciel malveillant était entré et s'était acheminé vers les serveurs de fichiers.

Inversement, NetBrain automatise tout ce processus. Dans mon cas particulier, Executable Runbooks auraient pu être lancés automatiquement pour exécuter des scripts collectant des informations en temps réel. Cela aurait mis des informations spécifiques et pertinentes à portée de main de notre équipe lorsque nous en avions besoin.

Ce n'est pas un avantage mineur dans un post-mortem de sécurité. J'ai dû faire cavalier seul, en cherchant dans les journaux générés à partir d'appareils gérés par plusieurs équipes. automatique Runbook sorties auraient mis à la disposition de toutes nos équipes les mêmes informations pertinentes en même temps.

Et tout aussi important que de savoir comment et quand les malfaiteurs sont entrés, c'est comment le malware s'est propagé sur notre réseau. NetBrain Dynamic Mapping fournit le dépannage visuel que j'ai dû comprendre manuellement. Au lieu d'explorer les appareils un par un, ce qui est à la fois fastidieux et source d'erreurs, NetBrain fournit une méthode déclenchée par l'API pour créer dynamiquement un carte du réseau d'un chemin d'attaque en temps réel.

Nous n'étions pas complètement préparés pour une attaque principalement à cause du temps et de l'énergie nécessaires pour être préparés et réagir de manière appropriée. Un logiciel robuste qui automatise l'ensemble du processus m'aurait permis d'améliorer considérablement la posture de sécurité de mon entreprise sans avoir à embaucher des équipes de stagiaires pour lire les fichiers journaux.

Malheureusement, j'étais coincé à l'âge de pierre. Après avoir appelé ma femme pour lui faire savoir que je serais un moment, je me suis versé une tasse de café frais, pris une profonde inspiration et commencé à creuser manuellement dans les bûches. . . une ligne à la fois.

Services Connexes

Diagnostic automatisé

Les 5 meilleurs tickets de support réseau à automatiser

Qu'est-ce qui vous frustre le plus dans le support réseau ? Rien de mieux que de jouer au détective sur un problème de réseau obscur et d'être le héros informatique qui le résout. Mais trop...
Prévenir les pannes

Automatisation en quelques minutes : 10 principales évaluations pour prévenir les pannes

Les temps d’arrêt coûtent cher. Plus de la moitié (54 %) des personnes interrogées dans le cadre de l'enquête 2023 sur les centres de données de l'Uptime Institute déclarent que leur dernière panne importante, grave ou grave a coûté plus de...
Diagnostic automatisé

Meilleures pratiques pour automatiser le flux de travail de dépannage dans les environnements réseau multifournisseurs

Soyons réalistes : le dépannage manuel des réseaux hybrides est pénible et prend du temps. Chaque problème est résolu comme si le problème ne s'était jamais produit auparavant et divers ingénieurs réseau appliquent différentes...