Video Screencast Help
Security Community Blog

Managed Security Services - Détection des attaques ciblées

Created: 14 Jun 2013
Evelyne Lescuyer's picture
0 0 Votes
Login to vote

Les Managed Security Services Symantec permettent la détection des incidents de sécurité à partir des logs d’équipements, de serveurs et de postes de travail.

L’efficacité de la détection d’attaques ciblées résulte de la coordination des forces du service :

  • Collecte globale de tous les logs

  • Moteurs d’analyse avancés

  • Corrélation avec les informations provenant du Global Information Network de Symantec

  • Réévaluation des incidents par des analystes experts en fonction du contexte

  • Notification dans les 10 minutes suivant la détection d’un incident critique

Voici par exemple de quelle manière a été traité le cas réel W32.Morto :

W32.Morto est un vers qui se répand en scannant le réseau pour trouver des machines acceptant des connexions RDP (Remote Desktop Protocol).

Dès sa découverte, MSS a implémenté des méthodes de détection pour identifier W32.Morto chez les clients MSS disposant de sondes IDS.

En outre, d’autres moyens de détection suivants ont été mis en œuvre :

  • Hot IP Detection : les connexions vers des botnets ayant une activité autour de W32.Morto sont détectées au niveau des firewalls par MSS

  • Web Security Monitoring Detection : les connexions vers des botnets ayant une activité autour de W32.Morto sont détectées au niveau des proxys par MSS

  • Brute Force Signatures : Les tentatives répétées et manquées d’attaque par brute force pour deviner un mot de passe sur des comptes administrateurs sont détectées par MSS

  • Aggressive Scan Signatures : Les connexions depuis des machines infectées vers les machines du réseau en RDP sont également détectées par MSS

En 24h, MSS a détecté plus de 120 infections potentielles chez les clients MSS.

Cela démontre la force des services MSS de Symantec :

  • Importance du Global Intelligence Network : Avec près de 200 millions d’outils et équipements anti-malware installés, Symantec a accès à une gigantesque base de connaissance sur les menaces, en temps réel.

  • Importance de l’implication des analystes experts en sécurité : dans ce cas précis, 61% des incidents potentiels avaient été identifiés comme des faux positifs. Il est très difficile d’identifier des incidents sans confronter les indices d’attaques au contexte technique par les analystes.

  • Importance de la couverture des équipements périmétriques aux postes de travail : dans ce cas, 87% des détections valides provenaient d’événements liés aux logs de firewall. C’est pour cette raison qu’il est important de combiner logs d’IDS et autres logs (firewall, proxy, serveurs…)

  • Importance de recevoir TOUS les logs, sans filtrage préalable : Si les logs sont filtrés à la source, il y a un risque non négligeable de manquer un flux comme ce flux RDP qui était naturellement accepté en tant que flux interne.

Pour en savoir plus :

http://www.symantec.com/business/theme.jsp?themeid=confidence-in-managed-services