Que sont les indicateurs d’une compromission ?

Les Indicateurs de Compromission (IdC) sont la preuve qu’une cyberattaque a eu lieu. Les IdC fournissent des informations précieuses sur ce qui s’est passé, mais peuvent également être utilisés pour préparer l’avenir et empêcher des attaques similaires Les logiciels antimalware et les technologies de sécurité similaires utilisent des indicateurs de compromission connus, comme la signature d’un virus, pour se prémunir de manière proactive contre les menaces évasives. Les indicateurs de compromission peuvent également être utilisés dans des analyses heuristiques.

Lorsqu’une attaque de logiciel malveillant est en cours, des traces de son activité peuvent être laissées dans les fichiers système et les fichiers journaux. Ces IdC soulignent cette activité sur votre réseau, que vous ne pourriez autrement pas voir en temps réel, et qui pourrait suggérer qu’une activité potentiellement malveillante est en cours. Si une faille de sécurité est identifiée, les IdC et l’analyse criminalistique des données sont effectuées à partir de ces fichiers par des professionnels de l’informatique. Les systèmes modernes antimalware utilisent des indicateurs de compromission connus pour détecter les infections par des logiciels malveillants, les violations de données et d’autres activités menaçant la sécurité à un stade précoce, afin que les organisations puissent être proactives dans la prévention des attaques et la protection de leurs données et systèmes informatiques.

Forcepoint Advanced Malware Detection n'a pas d’équivalent en termes de sécurité et d’efficacité. Même les menaces les plus évasives sont mises à jour grâce à l’inspection approfondie du contenu de l’activité sur plusieurs niveaux, par la détection de code dormant et d’autres indicateurs de compromis souvent négligés par les technologies de sécurité par sandboxing

Les failles de sécurité peuvent prendre de nombreuses formes différentes : des comportements réseau étranges, un comportement inhabituel de certains comptes, des changements de configuration inattendus ou inexpliqués et de nouveaux fichiers inconnus sur les systèmes peuvent indiquer la présence d’une compromission.

Voici quelques-uns des IdC les plus communs aujourd’hui :

Trafic réseau sortant inhabituel

L’un des signes les plus courants indiquant une faille de sécurité est sans doute les anomalies dans la structure et le volume du trafic sur le réseau. En plus d’analyser le trafic qui entre dans votre réseau, vous devez également surveiller ce qui en sort. Des changements dans le trafic sortant peuvent indiquer qu’une attaque est en cours sur votre réseau. La meilleure approche consiste à surveiller toute l’activité sur votre réseau, qu’elle soit entrante ou sortante.

Irrégularités géographiques

Si vous avez déjà reçu un courrier électronique de votre prestataire courriel vous avertissant que votre boîte aux lettres électronique a été consultée depuis un autre pays, vous comprendrez ce qu’est une irrégularité géographique et combien ces indicateurs de compromission peuvent être utiles pour sécuriser vos données et vos informations personnelles.

Imaginez donc la valeur que peuvent avoir pour les entreprises les IdC qui surveillent les irrégularités géographiques. Ces irrégularités dans les modes d’accès et de connexion peuvent fournir des preuves utiles que les agresseurs tirent les ficelles depuis un autre pays ou un autre continent.

Anomalies avec des comptes d’utilisateurs privilégiés

Pouvoir accéder à un compte avec des privilèges élevés est comme toucher le jackpot pour un assaillant. Ils procèdent généralement en accédant à des comptes dotés de privilèges administratifs ou en augmentant les autorisations sur les comptes auxquels ils ont déjà accès. Les changements dans l’activité du compte, tels que le volume d’informations consultées ou modifiées, ou le type de système accédé, sont de bons indicateurs à surveiller.

Une augmentation substantielle du volume de lecture des bases de données

La plupart des organisations stockent leurs données les plus confidentielles et personnelles dans des bases de données. C’est pour cette raison que vos bases de données seront toujours une cible privilégiée pour les attaquants. Un pic dans le volume de lecture d’une base de données est un bon indicateur qu’un assaillant tente de s’infiltrer dans vos données.