Si votre entreprise ne dispose que de technologies et procédures désuètes pour se protéger (pas d’IPS, pas de HIDS, pas de renforcement des configurations, pas d’équipe de sécurité dédiée, etc.), il est fort probable que des hackers aient déjà élu domicile au sein même de votre réseau.
Pour détecter et éradiquer ces menaces, il vous faudra mettre en œuvre des solutions de sécurité capables de vous aider à repérer ce qui est suspect au sein de votre environnement informatique :
Anomalies relatives au trafic réseau interne et internet
- Est-ce qu’un serveur se connecte à une IP internet inconnue ?
- Est-ce qu’un ordinateur réalise un grand nombre de requêtes DNS ?
- Est-ce qu’un système communique avec une IP identifiée comme malicieuse par une des nombreuses bases de données répertoriant les menaces (threat intelligence) ?
- Etc.
L’analyse du trafic réseau permet de détecter des menaces
Anomalies relatives aux logs d’authentification et logs transactionnels :
- Est-ce qu’une adresse IP russe se connecte au VPN avec les identifiants d’un employé Français ?
- Est-ce qu’un administrateur se connecte la nuit pour administrer des serveurs critiques ?
- Est-ce qu’un technicien informatique se connecte à l’ordinateur de votre PDG ?
- Est-ce que de nombreux achats e-commerce ont été réalisés à partir d’une même IP mais avec des cartes de crédit différentes ?
- Etc.
L’analyse des logs d’authentification permet de détecter des comportements suspects. Ici un utilisateur connecté au réseau d’entreprise à partir de deux pays.
Anomalies relatives aux configurations et comportements de vos systèmes :
- Est-ce que des programmes suspects sont automatiquement exécutés lors du démarrage d’un système ?
- Est-ce que des programmes bureautiques (Word, Outlook, Excel, PDF, etc.) ont subitement un comportement anormal sur un ordinateur ?
- Est-ce que des utilisateurs normaux exécutent sur leurs ordinateurs des commandes normalement utilisées par des administrateurs (powershell.exe, ping.exe, net.exe, etc.) ?
- Est-ce que des comptes locaux ont été créés pour conserver des accès ?
- Etc.
L’analyse des comportements des ordinateurs permet de détecter des attaques ne pouvant être détectées par des antivirus traditionnels. Ici un document PDF est exploité par un hacker afin d’exécuter des commandes malicieuses.
Vous pouvez faire appel à des sociétés de sécurité telles qu’Oppidum sécurité pour savoir si votre entreprise a été compromise par des menaces persistantes avancées (APT).
Si vous désirez détecter ces menaces de manière continue nous vous conseillons d’acheter et opérationnaliser des technologies capables de vous aider à détecter des caractéristiques suspectes au seins même de vos trafics réseaux, logs et systèmes.
A titre d’information, voici plusieurs solutions capables de vous aider à détecter des menaces persistantes avancées (liste non exhaustive) :
http://www.cisco.com/c/en/us/products/security/ngips/index.html
https://www.fidelissecurity.com/
https://www.rsa.com/en-us/products-services/threat-detection-and-response/netwitness-logs-and-packets
http://www-03.ibm.com/software/products/fr/qradar-siem
https://logrhythm.com/fr/
https://www.rsa.com/en-us/products-services/threat-detection-and-response/netwitness-logs-and-packets
http://www-03.ibm.com/software/products/fr/qradar-siem
https://logrhythm.com/fr/
http://www.splunk.com/fr_fr
https://www.rapid7.com/products/insightidr/
https://www.carbonblack.com/products/cb-response/
https://www.tanium.com/
https://www.crowdstrike.com/
http://www.countertack.com/
http://france.emc.com/security/rsa-ecat.htm
Des questions concernant cet article ?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel :
info@oppidumsecurity.com
Ou nous parler via notre site internet :
https://oppidumsecurity.com/
Vous pouvez faire appel à des sociétés de sécurité telles qu’Oppidum sécurité pour savoir si votre entreprise a été compromise par des menaces persistantes avancées (APT).
Si vous désirez détecter ces menaces de manière continue nous vous conseillons d’acheter et opérationnaliser des technologies capables de vous aider à détecter des caractéristiques suspectes au seins même de vos trafics réseaux, logs et systèmes.
A titre d’information, voici plusieurs solutions capables de vous aider à détecter des menaces persistantes avancées (liste non exhaustive) :
Analyse du trafic réseau :
https://www.fidelissecurity.com/
https://www.rsa.com/en-us/products-services/threat-detection-and-response/netwitness-logs-and-packets
http://www-03.ibm.com/software/products/fr/qradar-siem
https://logrhythm.com/fr/
Analyse des logs :
http://www-03.ibm.com/software/products/fr/qradar-siem
https://logrhythm.com/fr/
http://www.splunk.com/fr_fr
https://www.rapid7.com/products/insightidr/
Analyse des systèmes :
https://www.tanium.com/
https://www.crowdstrike.com/
http://www.countertack.com/
http://france.emc.com/security/rsa-ecat.htm
Des questions concernant cet article ?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel :
info@oppidumsecurity.com
Ou nous parler via notre site internet :
https://oppidumsecurity.com/
