Quels sont les indicateurs publics de compromission (IdC) ?
Découvrez comment surveiller, identifier, utiliser et répondre aux indicateurs de compromission.
Indicateurs de compromission (IOC) expliqués
Un indicateur de compromission (IOC) est une preuve que quelqu’un a pu s’introduire dans le réseau ou le point de terminaison d’une organisation. Ces données forensiques n’indiquent pas seulement une menace potentielle, elles signalent qu’une attaque, telle qu’un logiciel malveillant, des informations d’identification compromises ou l’exfiltration de données, s’est déjà produite. Les professionnels de la sécurité recherchent des IdC sur les journaux des événements, les solutions de détection et de réponse étendues (XDR) et les solutions de Gestion des informations et des événements de sécurité (SIEM). Lors d’une attaque, l’équipe utilise des IdC pour éliminer la menace et atténuer les dommages. Après la récupération, les IdC aident une organisation à mieux comprendre ce qui s’est passé, afin que l’équipe de sécurité de l’organisation puisse renforcer la sécurité et réduire le risque d’un autre incident similaire.
Exemples d’IdC
Dans la sécurité de l’IdC, le service informatique surveille l’environnement pour obtenir les indices suivants indiquant qu’une attaque est en cours :
Anomalies du trafic réseau
Dans la plupart des organisations, il existe des modèles cohérents pour le trafic réseau qui transite et sort de l’environnement numérique. Si la situation change, par exemple si le nombre de données quittant l’organisation augmente de manière significative ou si l’activité provient d’un endroit inhabituel du réseau, cela peut être le signe d’une attaque.
Tentatives de connexion inhabituelles
Tout comme le trafic réseau, les habitudes de travail des personnes sont prévisibles. Elles se connectent généralement à partir des mêmes emplacements et à peu près aux mêmes heures pendant la semaine. Les professionnels de la sécurité peuvent détecter un compte compromis en prêtant attention aux connexions à des heures inhabituelles de la journée ou à partir de zones géographiques inhabituelles, comme un pays où l’organisation n’a pas de bureau. Il est également important de prendre note de plusieurs échecs de connexion à partir du même compte. Même si les gens oublient parfois leur mot de passe ou éprouvent des difficultés à se connecter, ils parviennent généralement à résoudre le problème après quelques tentatives. Des tentatives d’ouverture de session qui échouent à plusieurs reprises peuvent indiquer que quelqu’un essaie d’accéder à l’organisation à l’aide d’un compte volé.
Irrégularités des privilèges de compte
De nombreux attaquants, qu’ils soient internes ou externes, sont intéressés par l’accès aux comptes administratifs et l’acquisition de données sensibles. Un comportement atypique associé à ces comptes, tel qu’une tentative d’escalade des privilèges, peut être le signe d’une violation.
Modifications apportées aux configurations des systèmes
Les logiciels malveillants sont souvent programmés pour modifier la configuration des systèmes, par exemple en permettant l’accès à distance ou en désactivant les logiciels de sécurité. En surveillant ces changements de configuration inattendus, les professionnels de la sécurité peuvent identifier une brèche avant que les dégâts ne soient trop importants.
Installations ou mises à jour inattendues de logiciels
De nombreuses attaques commencent par l’installation d’un logiciel, tel qu’un logiciel malveillant ou un rançongiciel, conçu pour rendre les fichiers inaccessibles ou pour permettre aux attaquants d’accéder au réseau. En surveillant les installations et les mises à jour logicielles non planifiées, les entreprises peuvent détecter rapidement ces IdC.
De nombreuses requêtes pour le même fichier
Des requêtes multiples pour un même fichier peuvent indiquer qu’un acteur malveillant tente de le voler et a essayé plusieurs méthodes pour y accéder.
Requêtes inhabituelles de systèmes de noms de domaine
Certains acteurs malveillants utilisent une commande et un contrôle d’appel de méthode d’attaque. Ils installent un logiciel malveillant sur le serveur d’une organisation qui crée une connexion avec un serveur qu’ils possèdent. Ils envoient ensuite des commandes de leur serveur à la machine infectée pour tenter de voler des données ou de perturber les opérations. Les requêtes inhabituelles de systèmes de noms de domaine (DNS) aident les services informatiques à détecter ces attaques.
Pourquoi les IdC sont importants ?
La surveillance des IdC est essentielle pour réduire le risque de sécurité d’une organisation. La détection précoce des IdC permet aux équipes de sécurité de répondre aux attaques et de les résoudre rapidement, réduisant ainsi les temps d’arrêt et les perturbations. Une surveillance régulière permet également aux équipes de mieux connaître les vulnérabilités de l’organisation, qui peuvent alors être atténuées.
Réagir aux indicateurs de compromission
Une fois que les équipes de sécurité ont identifié un IdC, elles doivent réagir efficacement afin de limiter autant que possible les dommages causés à l’organisation. Les étapes suivantes aident les organisations à rester concentrées et à arrêter les menaces aussi rapidement que possible :
Élaborer un plan de réponse aux incidents
La réponse aux incidents est stressante et prend du temps, car plus les attaquants restent non détectés, plus ils ont de chances d’atteindre leurs objectifs. De nombreuses organisations élaborent un plan de réponse aux incidents en cas d’incident afin de guider les équipes pendant les phases critiques de la réponse. Le plan décrit la manière dont l’organisation définit un incident, les rôles et les responsabilités, les étapes nécessaires pour résoudre un incident et la manière dont l’équipe doit communiquer avec les employés et les parties prenantes externes.
Isoler les systèmes et les appareils compromis
Une fois qu’une organisation a identifié une menace, l’équipe de sécurité isole rapidement les applications ou les systèmes attaqués du reste des réseaux. Cela permet d’empêcher les attaquants d’accéder à d’autres parties de l’entreprise.
Effectuer une analyse d’investigation
L’analyse forensique aide les organisations à découvrir tous les aspects d’une violation, y compris la source, le type d’attaque et les objectifs de l’attaquant. L’analyse est effectuée pendant l’attaque pour comprendre l’étendue de la compromission. Une fois que l’organisation s’est remise de l’attaque, une analyse supplémentaire aide l’équipe à comprendre les vulnérabilités possibles et d’autres insights.
Éliminer la menace
L’équipe élimine l’attaquant et tout logiciel malveillant des systèmes et ressources affectés, ce qui peut impliquer la mise hors ligne des systèmes.
Implémenter des améliorations de sécurité et de processus
Une fois que l’organisation s’est remise de l’incident, il est important d’évaluer pourquoi l’attaque s’est produite et s’il y a quelque chose que l’organisation aurait pu faire pour l’éviter. Il peut s’agir de simples améliorations des processus et des stratégies qui réduiront le risque d’une attaque similaire à l’avenir, ou l’équipe peut identifier des solutions à plus long terme à ajouter à une feuille de route en matière de sécurité.
Solutions de l’IdC
La plupart des atteintes à la sécurité laissent des traces dans les fichiers journaux et les systèmes. Apprendre à identifier et à surveiller ces IdC permet aux organisations d’isoler et d’éliminer rapidement les attaquants. De nombreuses équipes se tournent vers des solutions SIEM, telles que Microsoft Sentinel et Microsoft Defender XDR, qui utilisent l’IA et l’automatisation pour mettre en évidence les IdC et les mettre en corrélation avec d’autres événements. Un plan de réponse aux incidents permet aux équipes d’anticiper les attaques et de les arrêter rapidement. En matière de cybersécurité, plus les entreprises comprennent rapidement ce qui se passe, plus elles ont de chances d’arrêter une attaque avant qu’elle ne leur coûte de l’argent ou ne nuise à leur réputation. La sécurité des IdC est essentielle pour aider les organisations à réduire le risque d’une violation coûteuse.
En savoir plus sur la Sécurité Microsoft
Protection Microsoft contre les menaces
Identifiez les incidents et répondez-y dans l’ensemble de votre organisation grâce aux outils de protection contre les menaces les plus récents.
Microsoft Sentinel
Découvrez les menaces sophistiquées et réagissez de manière décisive grâce à une solution SIEM puissante basée sur le cloud.
Microsoft Defender XDR
Stoppez les attaques dans l’ensemble des points de terminaison, services de courrier, identités, applications et données avec les solutions XDR.
Communauté de la veille des menaces
Obtenez les dernières mises à jour de l’édition de la communauté de Microsoft Defender Threat Intelligence.
Foire aux questions
-
Il existe plusieurs types d’IdC. Les plus courants sont les suivants :
- Anomalies du trafic réseau
- Tentatives de connexion inhabituelles
- Irrégularités des privilèges de compte
- Modifications apportées aux configurations du système
- Installations ou mises à jour inattendues de logiciels
- De nombreuses requêtes pour le même fichier
- Requêtes inhabituelles de systèmes de noms de domaine
-
Un indicateur de compromission est une preuve numérique qu’une attaque a déjà eu lieu. Un indicateur d’attaque est une preuve qu’une attaque est susceptible de se produire. Par exemple, une campagne de phishing est un indicateur d’attaque, car il n’y a aucune preuve que le pirate a pénétré dans l’entreprise. Toutefois, si une personne clique sur un lien d’hameçonnage et télécharge un logiciel malveillant, l’installation de ce dernier est un indicateur de compromission.
-
Les indicateurs de compromission de l’e-mail comprennent un afflux soudain de courrier indésirable, des pièces jointes ou des liens étranges, ou un e-mail inattendu provenant d’une personne connue. Par exemple, si un employé envoie à un collègue un e-mail contenant une pièce jointe étrange, cela peut indiquer que son compte a été compromis.
-
Il existe plusieurs façons d’identifier un système compromis. Une modification du trafic réseau en provenance d’un ordinateur particulier peut indiquer que celui-ci a été compromis. Si une personne qui n’a généralement pas besoin d’un système commence à y accéder régulièrement, c’est un signal d’alarme. Des modifications de la configuration du système ou l’installation inattendue d’un logiciel peuvent également indiquer qu’il a été compromis.
-
Trois exemples d’IdC sont les suivants :
- Un compte utilisateur basé en Amérique du Nord commence à se connecter aux ressources de l’entreprise à partir de l’Europe.
- Des milliers de requêtes d’accès sur plusieurs comptes d’utilisateurs, indiquant que l’organisation est victime d’une attaque par force brute.
- Nouvelles requête de systèmes de noms de domaine provenant d’un nouvel hôte ou d’un pays où les employés et les clients ne résident pas.
Suivez la Sécurité Microsoft