Menu

TECH-AWARENESS #4 - Activité malveillante

60 % des petites entreprises font faillite dans les six mois qui suivent une violation de données ou une cyber-attaque. La sécurité financière et l'avenir de votre entreprise étant en jeu, il est essentiel que les organisations de toutes tailles mettent en place des mesures de surveillance des activités suspectes sur les réseaux.


Vendredi 25 octobre, Rachid Belouche nous a fait un magnifique exposé sur ce sujet crucial. Il a fait un exposé très complet sur les logiciels malveillants et sur ce qu'il faut faire pour les détecter et les combattre. Voici une liste des principaux points abordés :


Qu'est-ce qui constitue une activité suspecte ?


Une activité suspecte sur un réseau peut se référer à un certain nombre de comportements différents qui impliquent des modèles d'accès anormaux, des activités de base de données, des modifications de fichiers et d'autres actions hors du commun qui peuvent indiquer une attaque ou une violation de données. Il est important de pouvoir reconnaître ces activités car cela peut aider à identifier la source et la nature de la violation, vous permettant d'agir rapidement pour corriger la menace de sécurité et minimiser les dommages. Les exemples les plus courants de vecteurs d'attaque sont :

- DNS Tunneling ( Envoi de données sensibles en utilisant le protocole DNS dans la charge utile pour éviter d'être détecté lors de la transmission de données confidentielles )

- Pivotage (technique unique d'utilisation d'une instance pour pouvoir se déplacer à l'intérieur d'un réseau)

- SQLI (utiliser les vulnérabilités de SQL Injection pour contourner les mesures de sécurité des applications).

- XSS Reflected (le script est activé par un lien, qui envoie une requête à un site web présentant une vulnérabilité qui permet l'exécution de scripts malveillants).

- RCE (désigne le processus par lequel un agent peut exploiter une vulnérabilité du réseau pour exécuter un code arbitraire sur une machine ou un système ciblé. )

- OS Command (se produit lorsqu'un attaquant tente d'exécuter des commandes au niveau du système par le biais d'une application web vulnérable).

- CSRF (Cross-site request forgery ; permet à un attaquant de contourner partiellement la même politique d'origine, qui est conçue pour empêcher les différents sites web d'interférer entre eux).

- LFI (Local File Inclusion ; se produit lorsqu'une application utilise le chemin d'accès à un fichier en entrée).

Il existe deux outils que nous devrions pouvoir utiliser pour identifier et éliminer les signaux d'alerte : SysLog, SIEM (ELSA, Splunk, Intel Security...)


La vérification des 5 types d'informations à l'aide de l'analyse PCAP permet d'identifier les modèles de comportement suspect.


Présentation très interactive, car nous avons pu voir des exemples en temps réel qui nous ont beaucoup aidé à comprendre le cœur du sujet et à prendre conscience de l'importance croissante de la sécurisation des environnements de réseau. Merci à Rachid de nous avoir fait partager son expérience.