Sécurité collaborative : contrer ensemble les cyberattaques

La sécurité par le nombre adopte une approche dans laquelle une communauté combat ensemble les cybercriminels. La technologie s’inspire de Fail2Ban. Des outils tels que CrowdSec (https://crowdsec.net/) et d’autres solutions collectent les signaux des ordinateurs de la communauté et les évaluent. Ces systèmes de prévention des intrusions (IPS) collectent généralement des données provenant de nombreuses sources par le biais d’agents. Si l’on prend l’exemple des IPS open source basés sur la sécurité par le nombre, les solutions peuvent évaluer les données collectées auprès de tous les participants et protéger les membres de la communauté à partir des données collectées. Les sources sont par exemple Syslog, CloudTrail ou les outils SIEM. Les membres de la communauté reçoivent des informations sur les données évaluées et peuvent construire leur propre système de détection des intrusions (IDS). L’envoi et la réception d’informations peuvent également être complètement automatisés par le système de sécurité par le nombre.

Dans un tel système, tous les participants peuvent utiliser les données collectées par la communauté pour leur propre protection et combattre ensemble les cybercriminels en bénéficiant de la puissance de la communauté. Un des piliers importants de la protection offerte par la sécurité par le nombre est la collecte des adresses IP des attaquants. En collectant et en évaluant les données, la communauté peut identifier et vérifier les adresses IP des attaquants et ainsi bloquer tout accès provenant de ces adresses IP.

La sécurité collaborative travaille localement et agit mondialement

Le logiciel utilisé dans un réseau de sécurité par le nombre travaille à l’échelle locale, mais peut accéder aux données de la communauté à travers l’Internet. Cela permet aux adresses IP des attaquants de la communauté d’être détectées par l’agent du logiciel de sécurité par le nombre en utilisant ces données issues de la communauté dans le centre de données local. Si l’agent détecte de nouvelles adresses IP, il peut à son tour les téléverser dans le Cloud ; après vérification, ces nouvelles adresses IP sont alors mises à la disposition de la communauté. Il en résulte un système collaboratif qui profite à tous les participants.

La sécurité collaborative fonctionne avec des scénarios

Pour travailler avec le principe de sécurité par le nombre, il n’est pas nécessaire que la solution couvre toutes les zones de sécurité. Les différents domaines et les différentes possibilités d’attaque peuvent être divisés en « scénarios ». Un de ces scénarios peut être l’exploitation de la vulnérabilité Log4j. Il est également possible d’ajouter vos propres scénarios. Ce fonctionnement permet aux organisations de déterminer contre quelles attaques potentielles le système de sécurité par le nombre doit se défendre et avec lesquelles de ses informations elle souhaite contribuer à la lutte collective menée par la communauté. Les scénarios sont souvent des fichiers YAML qui peuvent être facilement intégrés dans l’environnement d’une organisation.

Les systèmes de sécurité par le nombre fonctionnent toujours en parallèle avec des pots de miel qui ont pour but d’attirer les attaquants. Les données collectées ici sont également accessibles au grand public. Cela permet de créer des bases de données de réputation très fiables et de les mettre ensuite à la disposition de la communauté. La flexibilité de la sécurité par le nombre est donc un argument en faveur de l’utilisation de cette technologie. En effet, les entreprises ne doivent pas remplacer l’ensemble de leur sécurité : elles peuvent simplement mettre en œuvre des domaines particuliers de la solution, les évaluer, puis étendre la solution en fonction de leurs expériences.

Les informations non validées sont un inconvénient

Bien sûr, dans une communauté, chaque participant peut publier des informations de sécurité auxquelles les autres membres sont censés se fier. Cependant, il n’y a aucune garantie quant à la correction des informations. Par conséquent, un système de sécurité par le nombre n’est utile que si les informations publiées et analysées sont vérifiées. Les bons systèmes sont capables de faire une telle vérification et de fournir aux participants des données qualifiées. Les adresses IP faussement positives peuvent être évitées en utilisant un algorithme de consensus.

Protection des données

Le pilier élémentaire de la sécurité par le nombre est l’échange de données au sein de la communauté. Le système de sécurité par le nombre collecte et traite des données provenant des appareils de ses membres. Bien sûr, ces données font l’objet d’une protection importante, avec par exemple le RGPD en Europe. C’est pourquoi les organisations doivent accorder davantage d’attention à la protection des données si elles utilisent la sécurité par le nombre.

Conclusion

Les cybercriminels agissent souvent comme une communauté. Pour réussir à les contrer, une possibilité consiste à fonctionner aussi comme une communauté. Il est important que les données collectées soient vérifiées et passent par un algorithme de consensus. Cela permet de garantir que les données collectées sont également fiables.

Les systèmes open source constituent un grand avantage pour de nombreux domaines d’application, car une communauté peut souvent résoudre les problèmes plus efficacement que des organisations individuelles. La sécurité par le nombre peut également devenir un outil important dans le secteur de la sécurité, qui pourra alors être utilisé en parallèle avec les systèmes établis. Les systèmes modernes prennent désormais en charge la plupart des distributions Linux, mais aussi macOS et Windows. En tant que protection supplémentaire, la sécurité par le nombre peut offrir des expériences positives similaires à celles intégrées dans les solutions actuelles de protection contre les spams.