Les Managed Security Services Symantec permettent la détection des incidents de sécurité à partir des logs d’équipements, de serveurs et de postes de travail.
L’efficacité de la détection d’attaques ciblées résulte de la coordination des forces du service :
Collecte globale de tous les logs
Moteurs d’analyse avancés
Corrélation avec les informations provenant du Global Information Network de Symantec
Réévaluation des incidents par des analystes experts en fonction du contexte
Notification dans les 10 minutes suivant la détection d’un incident critique
Voici par exemple de quelle manière a été traité le cas réelW32.Morto :
W32.Morto est un vers qui se répand en scannant le réseau pour trouver des machines acceptant des connexions RDP (Remote Desktop Protocol).
Dès sa découverte, MSS a implémenté des méthodes de détection pour identifier W32.Morto chez les clients MSS disposant de sondes IDS.
En outre, d’autres moyens de détection suivants ont été mis en œuvre :
Hot IP Detection : les connexions vers des botnets ayant une activité autour de W32.Morto sont détectées au niveau des firewalls par MSS
Web Security Monitoring Detection : les connexions vers des botnets ayant une activité autour de W32.Morto sont détectées au niveau des proxys par MSS
Brute Force Signatures : Les tentatives répétées et manquées d’attaque par brute force pour deviner un mot de passe sur des comptes administrateurs sont détectées par MSS
Aggressive Scan Signatures : Les connexions depuis des machines infectées vers les machines du réseau en RDP sont également détectées par MSS
En 24h, MSS a détecté plus de 120 infections potentielles chez les clients MSS.
Cela démontre la force des services MSS de Symantec :
Importance du Global Intelligence Network : Avec près de 200 millions d’outils et équipements anti-malware installés, Symantec a accès à une gigantesque base de connaissance sur les menaces, en temps réel.
Importance de l’implication des analystes experts en sécurité : dans ce cas précis, 61% des incidents potentiels avaient été identifiés comme des faux positifs. Il est très difficile d’identifier des incidents sans confronter les indices d’attaques au contexte technique par les analystes.
Importance de la couverture des équipements périmétriques aux postes de travail : dans ce cas, 87% des détections valides provenaient d’événements liés aux logs de firewall. C’est pour cette raison qu’il est important de combiner logs d’IDS et autres logs (firewall, proxy, serveurs…)
Importance de recevoir TOUS les logs, sans filtrage préalable : Si les logs sont filtrés à la source, il y a un risque non négligeable de manquer un flux comme ce flux RDP qui était naturellement accepté en tant que flux interne.
Pour en savoir plus :
http://www.symantec.com/business/theme.jsp?themeid=confidence-in-managed-services