Cadre architectural pour la surveillance de sécurité des points d'extrémité infonuagiques sans agent (anglais)

Ce document présente un cadre logiciel pour surveiller la sécurité des points d'extrémité infonuagiques sans installer d'agents sur les instances surveillées.

Problématique: Les approches traditionnelles nécessitent l'installation d'agents sur chaque hôte, ce qui entraîne des problèmes d'évolutivité, de sécurité, de performance et de maintenance. Les agents augmentent la surface d'attaque et consomment des ressources.

Solution proposée: Un cadre sans agent qui collecte les données à distance depuis un serveur central en utilisant des protocoles standards (SSH, SFTP).

Architecture principale:

• Contrôleur: gère les connexions sécurisées avec les points d'extrémité
• Moteur de récupération: collecte les données des hôtes
• Répertoire de données: stocke les données collectées en format JSON
• Modèles de sécurité: analysent les données pour détecter les comportements malveillants
• Tableau de notifications: affiche les alertes

Types de données collectées:

• Activités des utilisateurs (connexions, échecs de connexion)
• Processus en cours d'exécution
• Opérations sur le système de fichiers
• Registre Windows
• Connexions réseau
• Consommation des ressources (mémoire, CPU, disque)

Évaluation de sécurité: Le cadre résiste aux attaques par reniflage d'identifiants, rejeu, usurpation d'identité, interception, déni de service et compromission des points d'extrémité.

Évaluation de performance: Les tests montrent une consommation mémoire d'environ 12-13 Mo et un temps de collecte de 0,5 à 0,7 seconde par instance, avec un impact minimal lors de l'ajout d'instances supplémentaires.

Cas d'utilisation: Un modèle de détection d'intrusion en temps réel surveille les tentatives de connexion échouées pour identifier les attaques par force brute et les mascarades, avec un seuil configurable basé sur le profil comportemental normal.