Détection d'intrusion, collecte des preuves légales, contrôle des sites web et analyse des capacités de rétablissement du système sur les serveurs et postes de travail Windows 2000/XP

Londres, Royaume-Uni, 12 décembre 2002 - Il faut des années de dur labeur pour acquérir connaissances, réputation et clients - mais tout peut être perdu en l'espace d'une minute. C'est le temps qu'il faut à un pirate malveillant ou un employé mécontent pour installer un Troyen qui peut détruire des années de travail. Voir une attaque lorsqu'elle arrive, stopper sa progression, récupérer les fichiers perdus et découvrir l'origine sont des conditions essentielles pour mener ses affaires dans un monde connecté. Tout ceci peut maintenant tout être réalisé avec le nouveau freeware de détection d'intrusion de GFI, GFI LANguard System Integrity Monitor (S.I.M.).

Contrôle les fichiers système importants à la recherche de changements
Comme toutes les bonnes idées, le concept sous-jacent est simple, tandis que sa mise en oeuvre est astucieuse. Pour qu'un intrus puisse installer un Troyen qui n'est pas immédiatement apparent, il doit modifier des fichiers existants ; pour qu'un employé mécontent puisse causer des dommages, il doit modifier ou détruire des fichiers. GFI LANguard S.I.M. fonctionne comme un service et contrôle les fichiers systèmes importants. Si quelque chose leur arrive, il envoie immédiatement une alerte à un administrateur.

GFI LANguard S.I.M. crée une valeur de contrôle (checksum) des fichiers importants. Ceci est réalisé grâce à la norme MD5, un algorithme de contrôle à sens unique développé par un des plus grands cryptographes mondiaux (Ronald Rivest, le 'R' de 'RSA'). La valeur résultat (checksum) est ensuite stockée dans une base de données de GFI LANguard S.I.M. A des intervalles prédéterminés, une nouvelle valeur (checksum) est produite et comparée à celle stockée dans la base de données. Si elle diffère de celle-ci cela signifie que le fichier a été modifié et est par conséquent suspect. Un mail d'alerte est alors immédiatement envoyé à un administrateur.

Le résultat est qu'aucun fichier système ne peut être infecté par un virus ou un troyen sans que l'administrateur n'en soit immédiatement informé - même lorsque le criminel est un nouveau malware, qui ne peut pas encore être détecté par des applications antivirales traditionnelles. L'administrateur est en position d'agir immédiatement. Il sera informé de tous les fichiers infectés / modifiés dans le réseau local et sera par conséquent à même de désinfecter totalement le système sans crainte de réinfection par des fichiers oubliés.

La séquence d'événements est aussi enregistrée par sécurité sous les logs d'évènements de GFI LANguard S.I.M., qui peuvent être visionnés par la visionneuse d'évènements logs de Windows, ce qui signifie :

• Qu'il est relativement facile de restaurer complètement le système (car l'administrateur sait quels fichiers ont été endommagés) ;
• Que l'administrateur peut accumuler des preuves contre le criminel (ce qui est en particulier utile quand il s'agit d'une personne interne) ; et
• Que les administrateurs peuvent comprendre les réelles intentions de n'importe quel pirate informatique externe.

« Il est essentiel pour les administrateurs de savoir lorsque des fichiers système ont été modifiés ou supprimés, mais jusqu'à présent cette information était extrêmement délicate » à déceler. « En utilisant GFI LANguard S.I.M., les administrateurs disposent maintenant d'un moyen simple mais efficace d'être avertis de tels changements lorsqu'ils arrivent, » affirme André Muscat, Manager de produit de GFI LANguard S.I.M.

Intégration avec GFI LANguard S.E.L.M.
GFI LANguard S.I.M. s'intègre avec GFI LANguard Security Event Log Monitor (S.E.L.M.), le système de détection d'intrusion basé sur la machine hôte de GFI, et conçu pour contrôler les réseaux Windows en temps réel, à la recherche de failles de sécurité. GFI LANguard S.E.L.M. scanne en continu tous les évènements logs de nature sécuritaire de toutes les machines Windows NT/2000/XP du réseau. S'il détecte un événement anormal, tel que l'accès à un fichier confidentiel d'un utilisateur non-autorisé, il envoie une alerte en temps réel à l'administrateur système, accordant ainsi une attention immédiate à de potentielles attaques lors de leur occurrence.

Ses capacités de consolidation et de rapports sont renforcées lorsqu'il est utilisé en combinaison avec GFI LANguard S.I.M. Puisqu'un important pourcentage des attaques malveillantes provient de l'intérieur même du réseau, GFI LANguard S.E.L.M. peut corréler les données fournies par GFI LANguard S.I.M. pour mettre en évidence des comportements suspects, des logons échoués, des tentatives d'accès ou de suppression/remplacement de dossiers confidentiels. Ces modèles comportementaux peuvent être utilisés pour identifier des problèmes internes potentiels avant qu'ils ne causent des dégâts sérieux.

Autres fonctionnalités de GFI LANguard S.I.M.
GFI LANguard S.I.M. possède également ces fonctions :

• Diverses possibilités de balayages multiples permettant aux administrateurs contrôler les différents types de fichiers à différents intervalles.
• Des alertes email peuvent être envoyées à différentes personnes selon le type de balayage effectué.
• Scanne les sites web à la recherche de changements, et peut détecter immédiatement le vandalisme web.
• Tamperproof - il note les changements de fichier dans le journal d'évènements de GFI LANguard S.I.M.
  

Davantage d'informations et une version d'évaluation gratuite vous attendent sur http://www.gfsfrance.com/lansim/index.html.