Selon un étude d’IBM, les organisations mettent en moyenne plus de 190 jours pour identifier une violation de données et 60 jours supplémentaires ou plus pour remédier au problème. Les implications financières d’un tel événement, y compris l’atténuation et la remédiation, s’élèvent à des millions et peuvent constituer un risque sérieux pour la continuité des activités.
Cependant, les organisations peuvent gérer efficacement ces scénarios à l’aide de solutions de sécurité robustes et de processus bien définis. En conséquence, une organisation peut minimiser les dommages financiers et sa réputation en réduisant les délais de détection et de réponse.
Cette histoire met en évidence comment Flux de progrès, une solution de surveillance de réseau haute puissance a joué un rôle déterminant dans la détection d’une violation subie par l’un de nos estimés clients gouvernementaux et démontre comment la situation a été gérée efficacement avec l’aide de Flowmon.
Récemment, l’un de nos clients gouvernementaux a été victime d’une violation.
Un serveur dans la DMZ exécutant une application propriétaire spécifique a été compromis et l’attaquant a pris le contrôle de l’appareil. Depuis sa position initiale, l’attaquant a tenté de pivoter sur le réseau, de se déplacer latéralement et de compromettre autant d’appareils que possible, laissant ainsi une empreinte sur le réseau.
Voici ce qui s’est passé minute par minute.
Temps 0 – Analyse du protocole de résolution d’adresse (ARP)
L’attaquant a d’abord procédé à une énumération des appareils sous tension et répondant aux requêtes ARP dans le même sous-réseau réseau /24. Flowmon a identifié cette activité grâce à l’analyse ARP de 252 appareils. Pas un seul appareil n’a répondu.
Temps 0+3 minutes – Analyse ICMP (Internet Control Message Protocol)
L’attaquant a ensuite énuméré les appareils du réseau à l’aide du protocole ICMP. Plus de 100 000 appareils ont été contactés, créant tout un bruit sur le réseau. Flowmon a détecté cette activité à la fois sous forme d’inondation de ping ICMP et d’analyse ICMP, fournissant la preuve de plus de quatre millions de requêtes ICMP cachées dans le trafic réseau.
Temps 0+31 minutes – Attaque Secure Shell (SSH)
Une attaque par pulvérisation de mot de passe a été lancée contre les services SSH sur plusieurs serveurs accessibles depuis les hôtes initialement compromis. Flowmon a détecté une attaque infructueuse contre le service SSH exécuté sur 21 serveurs distincts, fournissant la preuve de près de 3 000 tentatives de connexion.
Temps 0+45 minutes – Analyse d’événements basée sur l’IA
Le moteur d’analyse d’événements alimenté par l’IA Flowmon a fait le lien entre toutes les activités malveillantes menées par un seul appareil. Ceci, à son tour, a augmenté le score de menace de l’appareil compromis à 49 (sur 100 maximum), ce qui en fait la préoccupation numéro un du réseau et le signale comme une priorité pour une intervention humaine.
Temps <1 heure – Correction d'événement
Le centre des opérations de sécurité a immédiatement déconnecté l’appareil compromis du réseau et collecté les preuves nécessaires pour que l’autorité nationale de cybersécurité signale l’incident. Il n’y a eu aucun impact supplémentaire sur l’environnement de l’organisation, car l’attaque a pu être arrêtée dès le début.
Comme décrit ci-dessus, Flowmon a réussi à détecter l’attaque en temps réel et a fourni des informations précieuses aux administrateurs réseau pour neutraliser la menace. Le moteur alimenté par l’IA Flowmon a identifié avec précision l’appareil compromis au sein d’un réseau complexe. Cela a permis à l’organisation de prendre des mesures correctives et d’économiser immédiatement de l’argent et des ressources.
Contactez-nous pour voir un démo guidée de Flowmon détectant les menaces à temps et minimisant leur impact.
janvier 27, 2025
Comment Progress Flowmon a détecté une attaque en temps réel
Selon un étude d’IBM, les organisations mettent en moyenne plus de 190 jours pour identifier une violation de données et 60 jours supplémentaires ou plus pour remédier au problème. Les implications financières d’un tel événement, y compris l’atténuation et la remédiation, s’élèvent à des millions et peuvent constituer un risque sérieux pour la continuité des activités.
Cependant, les organisations peuvent gérer efficacement ces scénarios à l’aide de solutions de sécurité robustes et de processus bien définis. En conséquence, une organisation peut minimiser les dommages financiers et sa réputation en réduisant les délais de détection et de réponse.
Cette histoire met en évidence comment Flux de progrès, une solution de surveillance de réseau haute puissance a joué un rôle déterminant dans la détection d’une violation subie par l’un de nos estimés clients gouvernementaux et démontre comment la situation a été gérée efficacement avec l’aide de Flowmon.
Récemment, l’un de nos clients gouvernementaux a été victime d’une violation.
Un serveur dans la DMZ exécutant une application propriétaire spécifique a été compromis et l’attaquant a pris le contrôle de l’appareil. Depuis sa position initiale, l’attaquant a tenté de pivoter sur le réseau, de se déplacer latéralement et de compromettre autant d’appareils que possible, laissant ainsi une empreinte sur le réseau.
Voici ce qui s’est passé minute par minute.
Temps 0 – Analyse du protocole de résolution d’adresse (ARP)
L’attaquant a d’abord procédé à une énumération des appareils sous tension et répondant aux requêtes ARP dans le même sous-réseau réseau /24. Flowmon a identifié cette activité grâce à l’analyse ARP de 252 appareils. Pas un seul appareil n’a répondu.
Temps 0+3 minutes – Analyse ICMP (Internet Control Message Protocol)
L’attaquant a ensuite énuméré les appareils du réseau à l’aide du protocole ICMP. Plus de 100 000 appareils ont été contactés, créant tout un bruit sur le réseau. Flowmon a détecté cette activité à la fois sous forme d’inondation de ping ICMP et d’analyse ICMP, fournissant la preuve de plus de quatre millions de requêtes ICMP cachées dans le trafic réseau.
Temps 0+31 minutes – Attaque Secure Shell (SSH)
Une attaque par pulvérisation de mot de passe a été lancée contre les services SSH sur plusieurs serveurs accessibles depuis les hôtes initialement compromis. Flowmon a détecté une attaque infructueuse contre le service SSH exécuté sur 21 serveurs distincts, fournissant la preuve de près de 3 000 tentatives de connexion.
Temps 0+45 minutes – Analyse d’événements basée sur l’IA
Le moteur d’analyse d’événements alimenté par l’IA Flowmon a fait le lien entre toutes les activités malveillantes menées par un seul appareil. Ceci, à son tour, a augmenté le score de menace de l’appareil compromis à 49 (sur 100 maximum), ce qui en fait la préoccupation numéro un du réseau et le signale comme une priorité pour une intervention humaine.
Temps <1 heure – Correction d'événement
Le centre des opérations de sécurité a immédiatement déconnecté l’appareil compromis du réseau et collecté les preuves nécessaires pour que l’autorité nationale de cybersécurité signale l’incident. Il n’y a eu aucun impact supplémentaire sur l’environnement de l’organisation, car l’attaque a pu être arrêtée dès le début.
Comme décrit ci-dessus, Flowmon a réussi à détecter l’attaque en temps réel et a fourni des informations précieuses aux administrateurs réseau pour neutraliser la menace. Le moteur alimenté par l’IA Flowmon a identifié avec précision l’appareil compromis au sein d’un réseau complexe. Cela a permis à l’organisation de prendre des mesures correctives et d’économiser immédiatement de l’argent et des ressources.
Contactez-nous pour voir un démo guidée de Flowmon détectant les menaces à temps et minimisant leur impact.
Source link
Partager :
Articles similaires