| 12-02-2010 09:58:22 | #1 | | K-ZimiR | Un hacker declenche une alerte (que ce soit a l'entree du noeud ou pdt sa passe matricielle)
Comment reagi le noeud ?
- Est ce qu'une alerte signifie automatiquement detection du hacker ? ou bien une alerte signifie qu'il y a un "fonctionnement anormal" dans le noeud et donc qu'il faut pister l'ano (i.e le hacker) pour pouvoir la traiter ... |
|
| 12-02-2010 10:33:45 | #2 | | okhin | Il y a deux niveaux d'alertes: Passive et Active.
La première alerte va déclencher des CI automatisés (et donner un Bonus de Firewall au système pour griller le hacker). Généralement, on va commencer par de la CI Trace pour repérer le hacker. Le système n'est pas encore aware qu'il y a une intrusion, et il va chercher à en savoir plus
Lorsque le hacker est repéré (j'ai plus les règles en tête), on passe agressifs. En général, on essaye de limiter la casse et, de fait, on essaye de déconnecter le hacker, de l'isoler, de el tenir à l'écart des données. Si le spider doit engager le cybercombat, il le fera dans des parties du node faites pour (les DMZ), là où les dégats limiterons l'impact.
Après, c'ets toujours pareil, ça dépend des nodes et des adminsys locaux. Il y a des nodes que l'on peut facilement rebooter sans peine, car il n'y a pas de trucs forcément critiques dessus, et d'autres ou c'ets hors de question.
Okhin |
|
| 12-02-2010 10:58:42 | #3 | | Vinci² | SR4A évoque les alertes restreintes et les alertes générales -sans entrer dans les détails mécaniques de la gestion. |
|
| 12-02-2010 13:49:34 | #4 | | Valérian | Le truc a savoir, c'est qu'en cas d'alerte avec identification du coupable (typiquement, vous vous faites repérer en tentant de rentrer de force dans le node), ce dernier se voit privé des droits spéciaux qu'il devrait avoir s'il dispose d'un compte sécurité ou admin (donc on ne peut pas rentrer en force en essayant de se choper un compte admin, se faire repérer et bénéficier des avantages d'administration). |
|
| 12-02-2010 13:50:57 | #5 | | K-ZimiR | Jusqu'ou iront les CI a l'encontre du hacker ?
Une fois qu'il quitte le noeud ou l'ensemble de noeud du systeme dans lequel il s'est introduit, la poursuite se termine ?
Ou faut-il qu'il se deconnecte ? |
|
| 13-02-2010 18:01:48 | #6 | | Blade | Alors en fait c'est complètement configurable. Le livre de base propose quelques réactions qu'un système matriciel peut avoir face à un envahisseur : tenter de le déconnecter, envoyer un (ou plusieurs) CI, passer en alerte active, prévenir un hacker, redémarrer...
La configuration va dépendre des besoins de sécurité, des contraintes et des utilisateurs.
Par exemple, une caméra ne risque pas de redémarrer, parce que sinon il suffit au hacker de déclencher une alerte pour que lui et son équipe puisse passer le temps que la caméra redémarre. Un serveur public très visité ne vas pas passer en alerte active dès la moindre détection de détournement, tout comme un magasin ne va pas fermer les issues et faire débouler tous les agents de sécurité dès que qu'un gamin pousse une porte "réservée aux employés"...
Bref, une fois encore on peut utiliser la comparaison avec un lieu physique : selon la situation et le bâtiment, la réaction à une alerte pourra être de fermer les portes et de faire sonner la sirène, d'envoyer un agent (ou drone) vérifier ce qui se passe, envoyer toute un escadron... |
|