Vous avez besoin d’auditer des réseaux ? Security Onion est la suite la plus complète
Des millions de collaborateurs d’organisations à travers le monde ont migré vers le travail à distance, par conséquent, les organisations se sont mobilisées à cet égard pour fournir à leurs systèmes une sécurité adéquate dans leurs systèmes. Les possibilités d’une cyberattaque augmentent de façon exponentielle, et non seulement les grandes organisations sont dans la ligne de mire des cybercriminels, mais les petites et moyennes entreprises le sont également, car elles ont tendance à être des entreprises avec moins de mesures de sécurité que les «grandes». Par conséquent, en tant qu’administrateur réseau ou spécialiste de la sécurité informatique, nous devons disposer des outils nécessaires pour assurer la sécurité de notre infrastructure. Aujourd’hui, dans RedesZone, nous allons vous montrer tout ce que Security Onion a, une suite complète d’audits de réseau entièrement gratuits et open source.
Il s’agit d’une distribution Linux orientée vers la détection des menaces, la surveillance de la sécurité et la gestion des journaux. L’une des caractéristiques les plus remarquables de Security Onion est qu’il a plusieurs outils inclus par défaut, nous n’aurons donc pas à installer quoi que ce soit ou à trop nous compliquer la vie pour le démarrer. Par exemple, vous pouvez accéder à Elasticsearch, Snort, Zeek, Wazuh, Cyberchef et NetworkMiner entre autres outils. En revanche, elle est très simple à mettre en œuvre, car elle dispose d’un assistant d’installation qui permet à cette suite d’être opérationnelle en quelques minutes.
L’une des raisons pour lesquelles Security Onion doit être pris en compte pour les audits de réseau et de sécurité est la possibilité de regrouper plusieurs outils de sécurité réseau de premier plan dans un seul package . Cela facilite non seulement l’administration, mais permet également aux organisations de toutes sortes d’accéder plus facilement à une solution complète. En d’autres termes, une solution complète qui garantit que les responsables de l’infrastructure et de la sécurité du réseau disposent d’une image complète.
Cette suite ne contient pas seulement des outils réactifs, tels que ceux pour la réponse aux incidents ou la sécurité informatique légale. Il contient également des outils proactifs qui nous aident à comprendre ce qui se passe avec notre réseau. Quelles vulnérabilités vous avez avec les différents scanners de vulnérabilité , quels ports sont inutilement ouverts et un long etcetera.
Cependant, un aspect très important qui se reflète clairement dans sa documentation est que cet outil n’est pas magique. Ce n’est pas non plus un outil qui fait tout pour vous, l’optimisation et l’automatisation des processus réseau sont sans aucun doute un grand avantage, cependant, il faut prendre le temps de connaître des suites d’outils comme celle-ci. Aussi, tirez-en le meilleur parti.
Quels outils contient Security Onion ?
Nous allons maintenant parler de certains programmes présents dans Security Onion. Certains des programmes intégrés sont, par exemple, netsniff-ng , cet outil capture toutes les informations liées à l’activité du réseau. De plus, il s’adapte à la capacité de stockage de votre infrastructure en éliminant les données très anciennes afin de gagner de la place. La capture de paquets est utile pour découvrir les vulnérabilités et les événements suspects. Seule la capture de paquets permet de détecter des situations telles que des fuites de données, des événements de phishing, des intrusions dans le trafic réseau et bien d’autres.
D’autre part, il dispose d’outils pour les systèmes de détection et de prévention des intrusions (IDS/IPS). D’une part, il dispose d’outils basés sur des règles, qui sont Snort et Suricata , ces deux outils fonctionnent sur la base de règles, qui aident à détecter les intrusions pour un blocage ultérieur par le pare-feu. Ce qui se passe donc, c’est que les outils détectent de telles intrusions et correspondent aux «empreintes» que vos systèmes ont dans leurs bases de données, détectant ainsi efficacement toute preuve de trafic irrégulier sur le réseau.
D’autre part, il dispose d’un outil IDS/IPS basé sur des analyses comme Zeek . Il est responsable de la surveillance de l’activité du réseau, en plus de la collecte des enregistrements de connexion, des requêtes DNS, des services et logiciels réseau, des certificats SSL, etc. De même, il collecte les journaux d’activité des protocoles HTTP, FTP, IRC, SMTP, SSH, SSL et Syslog.
L’un des avantages de cet outil est que vous pouvez analyser les données d’événements en temps réel. Un exemple très intéressant que cite sa documentation est que vous pouvez importer des informations dans Zeek, qui peuvent plus tard devenir un script qui a la capacité de lire des fichiers csv (fichier séparés par des virgules) qui contiennent des données de collaborateurs d’une organisation, et c’est croisé avec des journaux d’ activité tels que les événements de téléchargement de fichiers Internet, les connexions, etc. De cette façon, Zeek devient un pont pour alimenter d’autres outils tels que antivirus, antimalware, SIEM et plus encore, afin que l’action contre les menaces de sécurité soit plus directe et efficace.
Wazuh est un autre outil IDS disponible, sa particularité étant qu’il est basé sur l’hôte. Ce dernier signifie qu’il est installé sur les terminaux , c’est-à-dire sur les ordinateurs de chaque utilisateur. Pour votre tranquillité d’esprit, cet outil est compatible avec Windows, Linux et mac OS. Avec Wazuh, vous aurez un aperçu complet de chaque hôte actif sur le réseau. Il est capable d’effectuer une analyse des journaux d’événements de chaque hôte, ainsi que des contrôles d’intégrité des fichiers, une surveillance des politiques réseau et une détection des rootkits. Son efficacité devient encore plus proactive grâce aux alertes émises en temps réel et à ses actions contre les menaces.
Comme nous pouvons le voir, il est important de disposer de cette variété d’outils IDS / IPS car cela aide à identifier avec succès les cyberattaques. A cela s’ajoute la possibilité de connaître leur origine exacte, puis notre infrastructure réseau s’améliore en fonction des informations fournies par ces outils.
Outils d’analyse de données
Comme vous pouvez le voir, Security Onion dispose de plusieurs sources pour générer des données concernant l’activité du réseau. Cependant, que pouvons-nous faire avec ces données? La meilleure idée est de les analyser et il dispose de 3 outils pour cela.
Sguil
Fournit une visibilité sur toutes les données collectées. Il a un lien direct vers les outils mentionnés ci-dessus : Snort, Suricata et Wazuh. Une des particularités de Sguil est qu’il agit comme un pont entre les outils IDS/IPS et les outils de capture de paquets. L’utilité directe de ceci est qu’il est plus efficace lorsqu’il s’agit d’identifier le problème, que faire à ce sujet, qui devrait le faire et, selon le cas, l’escalader afin que les bonnes personnes puissent le résoudre en temps opportun .
Il est plus facile d’avoir une interface qui favorise la collaboration entre les membres de l’équipe informatique et/ou de sécurité de l’information. Il n’y a rien de plus laborieux que d’identifier une cybermenace sans en connaître la raison ou l’origine. Le responsable qui doit tout revoir peut ne pas très bien savoir si la menace est interne ou externe, cet outil est donc très utile pour ce scénario.
Les autres outils disponibles sont Squert , Kibana et CapMe . Pratiquement tous ont pour objectif central d’analyser les multiples données générées à partir des outils IDS/IPS et des outils de capture de paquets. Il est clair qu’il n’est plus possible de passer trop de temps à essayer de tirer le meilleur parti des données. S’il existe des outils qui peuvent le faire pour nous, rien de mieux que d’opter pour eux.
Comment commencer à utiliser Security Onion ?
La première chose que nous devons faire est d’accéder au téléchargement sur Github afin que vous puissiez commencer dès que possible. Cependant, il est fortement recommandé d’accéder au site de documentation . La section Mise en route se caractérise par être extrêmement large et offre à l’utilisateur de multiples possibilités pour faire fonctionner Security Onion.
Vous n’avez pas d’ordinateur avec une distribution Linux ? Pas de problème, la documentation de cette suite envisage la possibilité de virtualiser en utilisant des solutions bien connues telles que Virtual Box et VMware. Dans les deux cas, il vous fournit des instructions sur la façon de créer des machines virtuelles à partir de zéro, en particulier pour monter la suite Security Onion et commencer à effectuer des audits de réseau.
Un autre aspect remarquable est que la documentation met à disposition une feuille de triche (modèle de note) où vous pouvez avoir les commandes les plus importantes en un coup d’œil. Par exemple, vous saurez quelles sont les commandes générales des tâches de maintenance. D’autre part, dans le même modèle, il y a un résumé des fichiers importants et le chemin de chacun. C’est extrêmement utile surtout lorsque l’on veut localiser les logs de chacun des outils de cette suite.