La validation continue est un élément essentiel de la méthodologie de sécurité de PagerDuty ; elle s’effectue par une surveillance et des alertes permanentes. Un système de surveillance robuste nous permet de détecter les problèmes de manière proactive et de les résoudre rapidement.

Voici quelques exemples de tactiques de surveillance et d'alerte que nous utilisons.

Surveillance de la disponibilité des ports

Grâce à nos pare-feu dynamiques, nous gérons une liste des ports qui doivent être ouverts ou fermés. Ces informations étant stockées sur notre serveur Chef, nous pouvons configurer les vérifications des ports à ouvrir ou à fermer sur chaque serveur. Ces vérifications sont ensuite exécutées en continu et, en cas d'échec, Nous recevons une alerte PagerDuty à ce sujet. Pour ce faire, nous utilisons un framework appelé Gauntlt, car il simplifie grandement les vérifications de sécurité de l'infrastructure.

Enregistrement et analyse centralisés

Nous utilisons actuellement Sumologic pour la gestion centralisée de nos journaux. Du point de vue de la sécurité, ce choix est justifié par le fait que l'une des premières actions d'un attaquant consiste à désactiver la journalisation pour effacer ses traces. En externalisant ces journaux et en configurant des alertes basées sur des modèles spécifiques, nous pouvons réagir rapidement aux problèmes détectés. Par ailleurs, nous utilisons également OSSEC pour collecter et analyser l'ensemble des données syslog et des journaux d'applications.

Réponse active

Enfin, pour les attaques bien connues, nous disposons d'outils capables d'agir automatiquement, sans intervention de nos équipes. Notre approche proactive est encore à ses débuts, mais à mesure que notre infrastructure se développe, nous devrons multiplier ces solutions afin de ne plus avoir à réagir constamment aux incidents de sécurité.

• Nous avons déployé DenyHosts sur tous les serveurs de notre infrastructure. En cas de tentative de connexion d'un utilisateur inexistant ou d'attaque par force brute, l'adresse IP est bloquée. Bien que le SSH externe soit désactivé sur notre infrastructure, nous utilisons des serveurs passerelles pour y accéder. Depuis la mise en place de ce dispositif en juillet dernier, nous avons bloqué l'accès à notre infrastructure à 1 085 adresses IP uniques.

• Nous utilisons OSSEC, un système de détection d'intrusion open source, pour détecter les comportements anormaux sur nos serveurs. Il analyse en continu les fichiers journaux et les répertoires critiques afin d'y déceler toute modification anormale. OSSEC propose différents niveaux d'alerte : les alertes de niveau faible et moyen génèrent un e-mail, tandis que les alertes de niveau élevé créent un incident PagerDuty permettant à un membre de notre équipe d'exploitation d'intervenir immédiatement. Nous n'utilisons pas actuellement les fonctionnalités de blocage intégrées à OSSEC, mais nous prévoyons de les activer à mesure que nous en apprendrons davantage sur les modes opératoires des attaques courantes sur notre infrastructure.

La surveillance proactive nous permet de garantir la disponibilité de nos services. Les outils de réponse proactive mentionnés ci-dessus donnent un aperçu de l'orientation que nous souhaitons donner à notre architecture de sécurité.