Comment détecter un attaquant à l'intérieur de votre réseau ? Cet article couvre l'examen des points terminaux, c’est-à-dire les serveurs et les stations de travail.
Votre téléphone sonne, seul « numéro inconnu » s'affiche, il est 18h30 et vous savez que ce n'est pas bon signe. Bingo, c'est votre autorité de tutelle qui vous informe que l'un des ordinateurs de votre société se connecte au serveur d'un groupe d'attaquants qui était surveillé.
1. La réponse sur incident
1.1 Élaborer une campagne de recherche
Vous raccrochez, avec à la clef, quelques marqueurs qui vous permettront de détecter les malwares sur votre parc informatique. Ces fameux « indicateurs de compromission » (IOC) sont en fait des traces que laisse l’exécution d’un programme sur un système (on parle également d'artefacts).
Ces marqueurs peuvent être variés : empreinte MD5, nom de named pipe, nom de mutex, clé de registre, nom de fichier, extension particulière, empreinte de la table des imports (imphash), chaîne de caractères singulière, etc.
1.2 Exploitation des marqueurs
…- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première