Le Système d'Information (SI) des entreprises est un capital de ressources à protéger des attaques et, si une attaque réussit, la compromission et les évasions de données doivent être détectées le plus tôt possible. Pour détecter des postes compromis sur le réseau de l'entreprise, des solutions complexes et onéreuses sont souvent proposées aux Directeurs Informatiques (DSI), mais le plus souvent, peu de solutions de détection anti-intrusions sont effectivement en place. Or, la bonne compréhension à la fois de son architecture et du comportement des codes malicieux présents sur les postes compromis permet de proposer une première réponse élégante, peu coûteuse et efficiente à cette problématique.
1. Introduction
1.1 Compromission de postes : une détection, quelle détection ?
Afin de sécuriser son SI, une entreprise doit déployer un filtrage applicatif à base de proxies et de serveurs dédiés au niveau des interconnexions (exemples : filtrage HTTP/SMTP, relais DNS) afin de pouvoir fixer des règles de sécurité consistantes.
Cependant, une fois cette architecture déployée, la majorité des entreprises ne semble pas se préoccuper des tentatives d'accès direct à l'extérieur depuis un poste compromis du réseau. Elles se reposent généralement sur les différentes alertes que peuvent remonter les antivirus des postes et des serveurs.
Or, si les protections amont de filtrage des flux HTTP/SMTP sont utiles, la détection des postes compromis est nécessaire tant sur le plan de l'intégrité des données de son SI, que sur le plan de la responsabilité de l'entreprise qui pourrait ainsi fournir une base à des réseaux de postes zombies. De même, la...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première