Compte rendu de l'OSSIRB du 07/10/08 sur la "représentation graphique" en sécurité

Cette présentation était vraiment intéressante et très pragmatique. La visualisation d’évènements sécurité sous forme de schémas ou de graphiques est vraiment un plus d’un point de vue décideur. Mais d’un point de vue humain, l’appréhension de problèmes de sécurité peut être simplifiée par des représentations graphiques, permettant une meilleure analyse d’une grande quantité de données (fichiers de logs pouvant peser plusieurs giga). Cette session de l’OSSIRB fut découpée en 2 parties :

Partie 1 : Représentation graphique d’évènements de sécurité

Cette première partie présente un petit outil « DPViz » permettant grâce à l’analyse de fichiers de log, de représenter de manière assez simple certains flux réseaux. Les flux étant représentés graphiquement par des sources, des destinations et des nœuds servant à la fois de source et de destination (« rebonds »). Grâce à cette représentation graphique il est facile de mettre en évidence des évènements remarquables comme des DDoS, des propagations de vers, des flux illégitimes, etc. Ainsi, un DDoS est représenté comme plusieurs sources et une seule destination sous forme d’étoile, les machines vulnérables sont le plus souvent modélisées comme « rebond » avec une seule source et plusieurs destinations (comme la méthode de propagation d’un vers). Bien sûr sans exemple graphique il m’est impossible d’étayer ce que je raconte, mais c’est bien entendu sur le site de l’OSSIRB qu’il faudra se rendre pour jeter un coup d’œil aux slides de la présentation.

Partie 2 : Apport de la visualisation dans la détection d’intrusion

Ici, une approche un peu moins pragmatique mais tout aussi efficace. La présentation nous montre des exemples de visualisation reposant sur la technique des coordonnées parallèles. Finalement cette approche un peu obscure au début se révèle fort efficace si les données en entrées sont correctement filtrées (c’est aussi le cas d’ailleurs pour les représentions graphiques vues en Partie 1). Il est possible alors d’obtenir assez facilement sur un système d’information une petite analyse comportementale, le schéma étant suffisamment parlant pour afficher le trafic important et souvent légitime, ainsi que le trafic qui peut paraitre à première vue un peu plus suspect. Je n’ai malheureusement aucun exemple sous la main, il faudra aller voir encore le site de l’OSSIRB. On voit rapidement le rapport de cette technique avec la détection d’intrusion (en particulier un Méta-IDS corrélant les logs de plusieurs sources). Cette corrélation difficile à analyser devient plus facile avec cette méthode de représentation. Cela permet aussi dans l’immédiat de customiser les règles de l’IDS et de développer les règles adéquates en fonction du contexte d’utilisation. L’outil en question est disponible sous licence GPL et se trouve ici, il s’appelle PicViz.