Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Fortinet : Entreprises à Risque – Cinq Façons de Repérer et de Noter les Mauvais Clients IP

février 2013 par Fortinet

Identifier le comportement douteux parmi les appareils connectés au réseau est primordial pour toute organisation préoccupée par les Menaces Persistantes Avancées ou APT (Advanced Persistent Threats en anglais). Compte tenu de l’évolution rapide des attaques ciblées de ces logiciels malveillants, Fortinet® liste les cinq principaux types de comportements qui pourraient indiquer qu’un appareil est compromis.

1) Tentatives de Connexion Erronées

Les logiciels malveillants classiques tentent souvent de se connecter à des hôtes qui n’existent pas sur Internet. Même si certaines mauvaises connexions sont dues à une erreur de la part de l’utilisateur ou à de mauvais liens, une série de connexions erronées peut être un signe d’infection par logiciels malveillants.

2) Choix de l’Application

Un hôte qui installe une application de partage de fichiers P2P peut être considéré comme plus risqué qu’un hôte qui installe un jeu. Certaines organisations peuvent considérer ces deux actions problématiques. La capacité de ‘mesurer’ chaque action permet à chaque risque d’être noté en conséquence.

3) Situation Géographique

Dans certains pays, se rendre sur certains hôtes peut être assimilé à un comportement à risque, surtout s’il y a une quantité importante de trafic impliqué. L’identification de tels comportements peut être complétée par l’approche de la liste blanche permettant d’identifier les sites légitimes dans ces pays et donc aider de détecter les clients infectés.

4) Informations de Session

Quand un appareil commence à écouter sur un port pour se connecter depuis l’extérieur mais qu’il n’établit pas la connexion, cela peut être dû à une infection APT.

5) Catégorie de Destinations

La visite de certains types de sites Web, tels que les sites de jeu d’argent et pour adultes ainsi que ceux connus pour contenir du code malveillant, peut également indiquer infection par APT.

“Identifier le comportement des applications et des utilisateurs à risque représente la prochaine étape dans la protection contre les APT. La protection basée sur les signatures ne suffit plus. Il est important de dresser un panorama complet, évolutif et mis à jour du comportement des clients réseaux,” explique Christophe Auberger, Responsable Technique chez Fortinet. “La réputation et la notation client sont des éléments essentiels au classement et à la compréhension de l’énorme quantité d’informations de sécurité disponible au sein des organisations. Ils sont également importants dans la mise en application d’une réponse de sécurité dynamique et ciblée.”

Ces conclusions sont examinées de manière plus poussées dans le nouveau livre blanc de Fortinet : “Detecting What’s Flying Under the Radar : The Importance of Client Reputation in Defending Against Advanced Threats”. La fonctionnalité de réputation client, unique à Fortinet et en instance de brevet, est l’une des caractéristiques principales de son dernier système d’exploitation, FortiOS 5.




Voir les articles précédents

    

Voir les articles suivants