Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FireEye annonce GeoLogonalyzer un outil d’analyse des logs d’authentification d’accès distants

juin 2018 par Marc Jacob

FireEye annonce GeoLogonalyzer, un outil d’authentification des accès à distance basé sur la faisabilité géographique. Par exemple, un utilisateur qui se connecte à un VPN à Paris à 13 heures a peu de chances de se connecter légitimement au même VPN à Sydney en Australie cinq minutes après.

Les utilisateurs ont besoin depuis longtemps d’accéder à d’importantes ressources telles que des réseaux VPN, des applications web et des serveurs de mail à toute heure et n’importe où dans le monde. Cette capacité est impérative pour beaucoup de professionnels, mais aujourd’hui un nombre croissant de criminels exploitent des identifiants volés pour accéder à des systèmes et à des données. En raison du gros volume des demandes d’accès à distance, il est devenu difficile pour les organisations de distinguer entre celles qui sont légitimes et celles qui ne le sont pas.

Une fois installé l’outil GeoLogonalyzer, les analystes peuvent commencer à identifier les activités d’authentification incohérentes avec des scénarios normalisés et les pratiques de l’entreprise, tels que :
 Un compte utilisateur qui s’authentifie à partir de deux lieux différents dans un intervalle de temps incohérent compte tenu des temps de transport actuels.
 Un compte utilisateur qui se connecte habituellement à partir d’une adresse IP dédiée à un lieu physique tel qu’une ville, un état ou un pays, mais qui se connecte aussi à partir de lieux où l’utilisateur a très peu de chances de se rendre.
 Un compte utilisateur qui se connecte à partir d’un site à l’étranger dans lequel aucun employé de l’organisation ne réside ou est censé se rendre, et dans lequel l’organisation n’a aucun contact commercial.
 Un compte utilisateur qui se connecte habituellement à partir d’une adresse IP source, un sous réseau ou un ASN, mais qui se connecte en de rares occasions à partir d’une adresse IP source, un sous réseau ou un ASN différent.
 Un compte utilisateur qui se connecte habituellement à partir de son domicile et du réseau d’entreprise, mais qui se connecte aussi à partir d’une adresse IP enregistrée chez un hébergeur de serveurs cloud.
 Un compte utilisateur qui se connecte à partir de multiples hôtes sources ou de multiples clients VPN.

GeoLogonalyzer peut aider à identifier tous ces types d’incohérences en analysant des logs d’authentification contenant des horodatages, des noms d’utilisateur et des adresses IP source. Les sources de logs applicables comprennent, mais ne sont pas limitées à : des VPN ; des clients Email ou des applications web ; des environnements client léger tels que Citrix ; des applications en mode SaaS.

Analyse de la Faisabilité Géographique de l’Adresse IP

Pour un log d’authentification à distance qui enregistre une adresse IP source, il est possible d’estimer le lieu d’origine de chaque connexion en utilisant la base de données gratuite GeoIP de MaxMind par exemple. Avec des informations supplémentaires, telles qu’un horodatage et un nom d’utilisateur, les analystes peuvent identifier une évolution du lieu d’origine dans le temps pour déterminer si cet utilisateur a pu légitimement se déplacer dans l’intervalle de temps indiqué.

Analyse des hébergeurs de données dans le cloud

Beaucoup de criminels savent que des organisations peuvent soit bloquer soit surveiller des connexions provenant de sites non répertoriés. Pour contourner le problème, ils pourront installer un proxy soit sur un serveur compromis dans un autre pays, ou même via un serveur loué dans un autre pays chez un hébergeur tel qu’AWS.

Heureusement, le client « client9 » de GitHub surveille de nombreux hébergeurs dans un format facilement exploitable. Avec cette information, il est possible de détecter les criminels utilisant un proxy hébergé dans un data center pour déjouer l’analyse de faisabilité géographique.

Utilisation

GeoLogonalyzer accepte des données au format -csv avec les caractéristiques suivantes :
 Les données à analyser doivent être classées par horodatage.
 Les horodatages doivent tous être calculés dans le même fuseau horaire, pour éviter des problèmes liés à l’heure d’été par exemple.
 Le format des données doit respecter la structure CSV suivante : YYYY-MM-DD HH :MM :SS, nom d’utilisateur, IP source, nom du hôte source (optionnel), coordonnées du client VPN (optionnel).

GeoLogonalyzer peut être téléchargé sur le GitHub FireEye.


Voir les articles précédents

    

Voir les articles suivants