Un
scénario d’attaque décrit les possibilités techniques et organisationnelles par
lesquelles un attaquant potentiel pourrait exploiter une ou plusieurs
vulnérabilités en vue de s’introduire illégalement dans un système d’information. Un ensemble
de scénarii d’attaques peut être utilisé pour calculer les chemins d’attaque
potentiels à partir d’une configuration cible et des vulnérabilités connues qui lui sont rattachées. Le département des sciences informatiques du NIST vient de
sortir un article fort intéressant sur l’utilisation d'une nouvelle technique améliorant
l'analyse forensique (enquête technique post-incident).
L’idée,
relativement simple et se basant sur l'expérimentation d'un cas pratique d'attaque sur une base de données,
est d’utiliser les preuves récoltées, souvent éparses, pour raffiner les scénarii d’attaques.
La complexité du modèle réside dans l’utilisation par les attaquants d’outils
et de techniques anti-forensiques pour réduire, obfusquer voire supprimer tout
élément de preuve. L’étude semble montrer des résultats significatifs grâce à l’amélioration
des scénarii d’attaques tenant compte des mesures anti-forensiques.
Très évolués, ils corrèlent l’absence de preuve qui semble pouvoir être déterminée par l’utilisation de chemins d’attaque plus longs afin d’effacer
toute preuve potentielle. Sans entrer davantage dans les concepts et les
résultats de cette approche originale, retenons simplement la
nouveauté. Qui est d'utiliser un nouveau type de nœuds
appelé nœud d'activité anti-forensique généré en modélisant les dépendances entre ce
type nœuds et sa capacité à prévenir les effets des outils anti-forensique !
Finalement, les résultats de l’étude et du cas pratique semblent montrer
qu’il est possible de retrouver les chemins d’attaque à partir d’éléments de
preuve partiels. Il pourrait donc s’agir d’une évolution considérable dans l’efficacité
des résultats d’enquêtes post-intrusion dans un système d’information.
Aucun commentaire:
Enregistrer un commentaire