Home » Économie » Conseils sur la criminalistique numérique et les spécifications de surveillance de la protection pour les producteurs d’appareils réseau et d’appareils
Économie

Conseils sur la criminalistique numérique et les spécifications de surveillance de la protection pour les producteurs d’appareils réseau et d’appareils

by Nouvelles

Ces directives ont été élaborées avec des contributions des agences de partenariat et sont incluses dans une série de publications visant à attirer l’attention sur l’importance des mesures de cybersécurité des dispositifs Edge.

Il est produit par le Royaume-Uni National Cyber ​​Security Center (NCSC) en partenariat avec l’Australian Signals Direction (ASD), US Cybersecurity and Infrastructure Security Agency (CISA), le Centre canadien de cybersécurité – une partie de l’établissement de sécurité des communications (CSE) , le Federal Bureau of Investigation (FBI) et le National Cyber ​​Security Center (NCSC-NZ) de la Nouvelle-Zélande.

Contexte de cette direction

À mesure que le nombre d’acteurs malveillants et leurs capacités contre les infrastructures critiques et d’importance systémique augmente, le nombre de compromis de dispositifs et d’appareils réseau. Les compromis antérieurs ont affecté les appareils de réseau physique et virtuel, tels que les solutions et les routeurs de sécurité de périmètre Edge, ainsi que le stockage connecté au réseau.

Les appareils et les appareils réseau sont des cibles de choix pour les acteurs malveillants car ils jouent un rôle crucial sur la gestion et le traitement du trafic. Lorsque vous ciblez ces appareils, les acteurs malveillants ont exploité vulnérabilités et peu sûr Caractéristiques de conception pour gagner et maintenir des accès précieux. Ces acteurs peuvent rester à l’intérieur des réseaux jusqu’à la détection et refuser l’accès.

Ces appareils et appareils peuvent être ciblés lorsqu’ils manquent de sécurisation par des aspects de conception / par défaut, des mises à jour régulières du micrologiciel ou s’ils ont de faibles mesures d’authentification et fournissent une journalisation limitée, ce qui rend difficile la détection de l’activité suspecte. De plus, ils ne peuvent pas être configurés en toute sécurité, manquent de segmentation du réseau approprié et utilisent un matériel non pris en charge ou de fin de vie (EOL), augmentant leur vulnérabilité aux attaques.

À quoi et à quoi sert ces conseils?

Ces directives décrivent les attentes pour le Exigence minimale de visibilité médico-légalePour aider les défenseurs de réseaux à sécuriser les réseaux organisationnels avant et après un compromis. Défenseurs du réseau sont encouragés à considérer ces fonctionnalités lors de la sélection de nouveaux appareils réseau physiques et virtuels.

Fabricants d’appareils sont encouragés à inclure et à permettre la journalisation standard et les fonctionnalités médico-légales qui sont robustes et sécurisées par défaut, afin que les défenseurs du réseau puissent plus facilement détecter une activité malveillante et étudier après une intrusion.

En suivant les niveaux minimaux d’observabilité et de base de la criminalistique numérique décrite dans cette direction, fabricants d’appareils Et leurs clients seront mieux équipés pour détecter et identifier l’activité malveillante contre leurs solutions. Les fabricants d’appareils devraient également l’utiliser pour établir une base de référence de fonctionnalités standard à inclure dans l’architecture des appareils et appareils réseau, afin de faciliter l’analyse médico-légale pour les défenseurs du réseau.

Exigences de journalisation

Dans la mesure du possible, mettre en place les fonctionnalités ci-dessous, car les exigences minimales prendront en charge la détection et la réponse des menaces pour les périphériques de réseau physique et virtuel.

  • Authentification comprenant le nom d’utilisateur, la méthode utilisée (telle que le mot de passe, la clé SSH, le certificat, l’authentification multi-facteurs), l’adresse IP source ou le nom d’hôte et les identifiants de session pertinents pour les tentatives réussies et infructueuses
  • Événements et interactions de support technique qui s’appuient sur des outils de fournisseurs nécessitant une authentification à l’aide d’une clé de licence spécialisée du fabricant de périphériques réseau
  • La journalisation du service et au niveau de l’application, telles que les demandes et réponses HTTP / HTTP la quantité de données transférées
  • Création de processus, y compris le processus parent, le chemin exécutable, le nom d’utilisateur et les arguments
  • Enregistrez le code de sortie du processus et la raison de la fin (comme la sortie normale, le crash, tué par signal)
  • Chargement dynamique et déchargement des modules et bibliothèques, y compris le nom du module ou de la bibliothèque, la version, le chemin du fichier, l’ID de processus associé et le contexte de l’utilisateur
  • Création, modification et suppression du système de fichiers qui pourraient faciliter les enquêtes post-infraction, en particulier dans les répertoires critiques tels que la racine Web, les répertoires de configuration et les binaires système
  • Les requêtes DNS effectuées, y compris les enregistrements A, AAAA, TXT, SOA, NS, MX et PTR, leurs réponses, le processus de requête et le serveur DNS de destination
  • Les mises à jour du micrologiciel ou logicielles, y compris les tentatives réussies et infructueuses, les numéros de version actuels et cibles, la source de mise à jour (telle que l’URL ou le référentiel), les signatures numériques ou les sommes de contrôle vérifiées, l’utilisateur ou le processus initiant la mise à jour et les messages d’erreur complets rencontrés
  • Modifications de configuration d’un appareil, surtout si elle est connectée directement à Internet (voir les États-Unis Directive opérationnelle de liaison (BOD) 23-02 Pour en savoir plus sur les risques associés aux interfaces exposées à Internet), les paramètres de journalisation ont changé, les valeurs antérieures et nouvelles, l’utilisateur ou le processus faisant le changement et la méthode de changement (tels que CLI, API, interface Web)
  • Opérations de sauvegarde, d’exportation et / ou de téléchargement de configuration
  • Log Tentatives pour effacer, faire pivoter ou manipuler les fichiers journaux
  • Événements de diagnostic, de récupération et de sécurité
  • insertions périphériques, comme USB, MMC, SDCard, etc.

Note: Pour éviter les problèmes locaux de stockage de données, il est recommandé que les organisations utilisent des solutions de journalisation à distance appropriées où sont réalisables, en tenant compte des exigences en matière de bande passante, mais les recommandations ici peuvent également être prises en compte pour les configurations de journalisation locales ou distantes.

Actions de journalisation sécurisées

Si un incident se produit, la journalisation sécurisée aidera les enquêtes. Mettre en place les actions recommandées ci-dessous soutiendra ces travaux.

  • Les journaux doivent être collectés dans un format facilement ingérable qui peut être importé pour l’analyse médico-légale dans les outils de gestion des informations de sécurité et d’événements (SIEM). Tous les horodatages avec des événements importants, tels que les bottes et les redémarrages de l’appareil, devraient être au format ISO 8601, y compris les millisecondes, et réglé sur la norme universelle coordonnée (UTC), par exemple: 2024-06-27T14: 58: 43.085872Z.
  • Tous les systèmes doivent exécuter le protocole de temps de réseau (NTP) à partir de sources réputées et redondantes et alerter bruyamment lorsqu’il y a une défaillance du NTP, afin que les défenseurs du réseau sachent enquêter et résumer.
  • Les journaux doivent contenir un ID globalement unique (GUID) pour chaque appareil.
  • Une capacité de stockage locale suffisante doit être disponible avant le roulement du journal, au maximum.

Prise en charge de la journalisation à distance / push des événements

Les périphériques et les appareils doivent prendre en charge le transfert de journal à temps presque réel à l’aide d’un protocole basé sur des normes, protégé en utilisant le cryptage de sécurité de la couche de transport (TLS) dans une configuration sécurisée reconnue. Les formats de journal doivent être entièrement documentés pour permettre aux plates-formes et outils tiers pour les ingérer et être lisibles par la machine à l’aide d’un format standardisé.

Les appareils et les applications doivent inclure par défaut des fonctionnalités standard qui servent à générer des messages de main-d’œuvre (rythme cardiaque, comme preuve qu’ils fonctionnent correctement même lorsqu’il n’y a pas d’événements générateurs de log). Ces messages de rythme cardiaque devraient inclure:

  • numéro de version
  • SHA256 Digest de la configuration actuelle
  • Dernière date et heure de redémarrage de l’appareil
  • Son ID globalement unique (GUID)

Les appareils et les applications réseau doivent être emballés avec des fonctionnalités de sécurité de journalisation à distance par défaut et, dans la mesure du possible, les plans de gestion séparés. Les appareils et les applications doivent avertir les administrateurs réseau si la journalisation à distance est désactivée ou mal configurée via l’interface d’administration.

Exigences d’acquisition de données médico-légales

Collecte de données volatiles

Grâce à une interface privilégiée locale ou à distance, les appareils et les applications doivent prendre en charge la collecte volatile de l’état en cours d’exécution actuel de l’appareil ou de l’appareil.

Cette fonction de collecte de données volatils devrait déclencher une génération de journaux pour aider à faciliter l’analyse automatique, ainsi que les chercheurs humains pour détecter les événements anormaux.

La collecte de ces informations peut également aider un acteur malveillant autant que les défenseurs, il est donc important de construire cette fonctionnalité de manière sécurisée.

Lorsqu’il est pris en charge par le système d’exploitation, l’enregistrement des données volatiles devrait prendre en charge la collecte de:

  • traiter les informations, y compris les relations et les arguments des parents / enfants
  • traiter les cartes de mémoire
  • traiter les modules chargés dynamiquement, y compris le chemin
  • traiter les informations de gestion, y compris les fichiers et les prises
  • traiter les variables d’environnement
  • Mémoire à la fois au niveau du noyau et du processus individuel
  • Règles de traitement du pare-feu et / ou des paquets
  • Systèmes de fichiers montés
  • Connexions réseau, y compris les adresses source et de destination, les ports et les protocoles
  • Adresses actuelles Protocole de résolution (ARP) Entrées de cartographie des adresses IP aux adresses MAC
  • Pour les commutateurs réseau – Tables de mémoire adressable du contenu répertoriant les adresses MAC associées à des ports de commutation spécifiques
  • Tables de location du protocole de configuration de l’hôte dynamique (DHCP), y compris les adresses MAC client, les adresses IP attribuées, les durées de location et les options fournies
  • Sessions administratives et utilisateur actives, quelle que soit l’interface et le transport
  • modules chargés dynamiquement du noyau
  • Contenu des systèmes de fichiers volatils, tels que./tmp
  • Systèmes de fichiers volatils bruts
  • Crash / Core Dumps
  • Tous les journaux disponibles disponibles à partir d’un système et d’un niveau d’application

Si les informations doivent être expurgées dans le cadre de la collecte volatile pour protéger la propriété intellectuelle d’un fournisseur, leur sécurité ou l’intégrité d’une posture de sécurité des services, cette rédaction devrait être évidente, par exemple, en la marquant comme * expurgé *, dans les artefacts collectifs et documenté de manière appropriée.

Collecte de données non volatile

Les appareils et les appareils doivent prendre en charge la collecte complète de stockage non volatile de toute la capacité de stockage de données de l’appareil, idéalement via des interfaces standard. Un propriétaire de système devrait être en mesure de décrypter le contenu des données stockées, impliquant potentiellement le support des fournisseurs, pour l’inspecter avec des outils standard dans la mesure du possible et où les risques de sécurité de pouvoir faire sont gérés.

La configuration initiale du système peut être nécessaire pour rendre cela possible, par exemple «apporter votre propre clé». Il est recommandé que la protection des clés soit une considération principale. De plus, pour les appareils physiques, le micrologiciel et le matériel de l’appareil doivent être conçus pour empêcher l’extraction de données non autorisée, telles que la mise en œuvre de processus de démarrage sécurisé, l’intégration de la plate-forme de fiducie (TPM) et la désactivation des interfaces physiques inutiles qui pourraient être exploitées. Toutes les interfaces utilisées pour la collecte de données non volatiles devraient nécessiter de solides contrôles d’authentification et d’autorisation pour éviter une mauvaise utilisation.

Des ressources supplémentaires

Sécurisé par des conseils de conception

Ces directives soutiennent les principes de conception plus sécurisés par les principes de conception. Pour en savoir plus, voir:

Autres conseils

#Conseils #sur #criminalistique #numérique #les #spécifications #surveillance #protection #pour #les #producteurs #dappareils #réseau #dappareils

You may also like

L’Irlande doit construire 93 000 maisons par an...

Borsa Italiana, le commentaire de la session du...

Le projet de loi du Sénat plafondait les...

Prix ​​dynamiques de l’électricité et marketing de flexibilité...

Ils enquêtent sur une agression brutale de deux...

Politique de migration: quelle migration coûte vraiment l’État...

Le nombre de passagers à l’aéroport de Cork...

Doit lire: qu’il s’agisse ou non d’un krach...

L’AFD n’appartient pas au didacta | Givrer

La fusion de Honda et Nissan, près de...

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.