Les 5 phases d’une cyberattaque

15,134 views

Published on

Afin de protéger votre entreprise, il est important de comprendre comment les attaquants opèrent. Dans ce livre blanc, nous vous proposons d’analyser les 5 phases d’une attaque, les principales techniques employées, ainsi que les solutions adaptées à chaque phase.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
15,134
On SlideShare
0
From Embeds
0
Number of Embeds
12,996
Actions
Shares
0
Downloads
61
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Les 5 phases d’une cyberattaque

  1. 1. Se préparer auxcyberattaquesPROTÉGEZ VOS EMPLOYÉS ETVOS INFORMATIONS GRÂCEAUX SOLUTIONS DE SÉCURITÉDE SYMANTEC
  2. 2. SOMMAIRE PAGE1. RECONNAISSANCE 42. INCURSION 53. DÉCOUVERTE 64. CAPTURE 75. EXFILTRATION 8SOLUTIONS SYMANTEC 9
  3. 3. 3INTRODUCTIONPour protéger votre entreprise contre les cyberattaques, ilest important de comprendre comment procède uncybercriminel pour voler les informations stratégiques. Lesattaques se décomposent généralement en cinq étapesdistinctes : reconnaissance, incursion, découverte, captureet exfiltration. Chaque étape fait appel à différents outilset techniques. Pour chaque phase, il existe néanmoins dessolutions Symantec™ conçues pour offrir une solide protectionà votre entreprise et empêcher les cybercriminels datteindreleur but.
  4. 4. RépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebAssaillantUtilisateurs ciblesUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareServeur WebpublicAssaillantUtilisateurs ciblesUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareAssaillantUtilisateurs ciblesUtilisateursciblesUtilisateurs ciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareAssaillantUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareAssaillantUtilisateurs ciblesUtilisateursciblesServeur WebpublicRECONNAISSANCE1Le cybercriminel exploite les informations issues de divers facteurs afin decomprendre sa cible ; il identifie notamment les serveurs vulnérables, lesapplications non protégées et les systèmes sans correctif pouvant êtrecompromis.1. Le cybercriminel sonde les réseaux et systèmes pour enidentifier les faiblesses, en veillant à ne pas être détecté.2. Le cybercriminel cherche également des employés à ciblerpar le biais de sources publiquement disponibles.4. La recherche peut également identifier les sites Webfréquentés pouvant être infectés par un logiciel malveillant.3. Le cybercriminel cherche à les infecter par le biais despams ou dattaques de phishing.CONTROL COMPLIANCE SUITE (CCS)Détecte les vulnérabilités des serveurs et dautrespériphériques et permet dy remédier de façon proactiveavant quune attaque ne se produise.CERTIFICATS SSL, VIP ET SYMANTEC O3Authentification et sécurité renforcées pour valider lesutilisateurs, les serveurs et les sites Web, et empêchertoute fraude ou piratage de session.MANAGED SECURITY SERVICES ET SSIMDétecte rapidement les événements de reconnaissanceen identifiant les utilisateurs ou serveurs qui tentent dese connecter à un site ou hôte malveillant, limitant ainsile risque dexposition.4Les fondements dune défense efficace :
  5. 5. RépertoireLDAPDNSContrôleurde domaineSensitiveApplicationE-mailBase dedonnéesServeur WebServeurmalwareAssaillantUtilisateurs ciblesUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareAssaillantUtilisateurs ciblesUtilisateursciblesServeur WebpublicUtilisateurs ciblesRépertoireLDAPDNSContrôleurde domaineSensitiveApplicationE-mailBase dedonnéesServeur WebServeurmalwareAssaillantServeur WebpublicUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineSensitiveApplicationE-mailBase dedonnéesServeur WebServeurmalwareAssaillantUtilisateurs ciblesServeur WebpublicUtilisateurscibles5INCURSION2WEB SECURITYProtège les utilisateurs qui naviguent sur Internet desattaques cachées véhiculées par le Web.EMAIL SECURITYBloque les messages électroniques contenant des logicielsmalveillants complexes cachés dans les pièces jointes,ainsi que dautres attaques de phishing.1. Le cybercriminel exploite les faiblesses des réseaux et dessystèmes pour y accéder.Les cybercriminels accèdent au réseau, installent des logiciels malveillantssur les systèmes et ordinateurs vulnérables, souvent sans que lutilisateursoit conscient dêtre pris pour cible.3. Les messages électroniques de type "spear phishing" apriori inoffensifs contiennent également des pièces jointesinfectées par des chevaux de Troie.2. Le cybercriminel peut essayer de duper les utilisateursen leur demandant de cliquer sur le lien dun site Webmalveillant ou dinstaller une application factice.MANAGED SECURITY SERVICES ET SSIMSurveillance permanente (7j/7 et 24h/24) pourdétecter de façon précoce les attaques et lesconnexions à des hôtes malveillants.ENDPOINT PROTECTION (SEP)Les contrôles de sécurité de pointe détectent lesmenaces évoluées. Associés à Symantec ProtectionCenter, ils identifient rapidement toute activité anormale,y compris les attaques de logiciels malveillants.MOBILE MANAGEMENT SUITEDétecte et élimine les applications et logicielsmalveillants conçus pour voler les informations ouanalyser les réseaux internes.Les fondements dune défense efficace :
  6. 6. RépertoireLDAPDNSContrôleurde domaineApplicationsensibleUtilisateursciblesE-mailBase dedonnéesServeur WebServeurmalwareServeurC & CAssaillantServeur WebpublicUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareServeurC & CAssaillantUtilisateursciblesUtilisateursciblesUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareServeurC & CAssaillantUtilisateursciblesServeurmalware ServeurC & CRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebAssaillantUtilisateurs ciblesUtilisateursciblesUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareServeurC & CAssaillantUtilisateurscibles6DÉCOUVERTE31. Un serveur de contrôle et commande (C&C) est désormaisconfiguré.2. Les données sont analysées et le logiciel malveillant contactele cybercriminel via des réseaux de contrôle et commande(C&C).ENDPOINT PROTECTION (SEP)Bloque les connexions de périphériques inconnus ou nonautorisés et vous informe rapidement de toute activitéinhabituelle.CRITICAL SYSTEM PROTECTIONProtège les systèmes et les informations contre les niveauxdaccès non autorisés grâce à un contrôle granulaire etdes alertes.ENCRYPTIONUtilise une approche orientée plate-forme pour empêcherles utilisateurs non autorisés daccéder aux informationsconfidentielles.MANAGED SECURITY SERVICES ET SSIMIdentifie et signale les événements inhabituels ainsi queles hôtes internes se comportant de façon suspecte ouessayant de se connecter à des hôtes malveillants.Une fois quils accèdent au réseau, les cybercriminels se font discretspour éviter dêtre détectés. Ils mappent ensuite les défenses de lentreprisedepuis lintérieur et créent un plan de bataille pour récupérer les informationsciblées.3. Le cybercriminel collecte les données volées grâce à unlogiciel malveillant afin de récupérer les identifiants deconnexion et les mots de passe lorsque les utilisateursaccèdent aux principaux serveurs.4. Le cybercriminel exploite les données, mots de passe etidentifiants de connexion volés pour mapper le réseau,accéder à dautres systèmes et identifier les informationsprésentant de lintérêt.Les fondements dune défense efficace :
  7. 7. ServeurmalwareDropServerServeurC & CRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebAssaillantUtilisateurs ciblesUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareServeurC & CAssaillantUtilisateurs ciblesUtilisateursciblesUtilisateurs ciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareServeurC & CDropServerAssaillantUtilisateursciblesUtilisateurs ciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareServeurC & CDropServerAssaillantUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareServeurC & CDropServerAssaillantUtilisateurs ciblesUtilisateurscibles7CAPTURE4CRITICAL SYSTEM PROTECTIONVerrouille les systèmes critiques et bloque tout comportementinhabituel pour éviter aux serveurs dêtre infectés.IT MANAGEMENT SUITEVeille à ce que les systèmes soient mis à jour et corrigés,et détecte les systèmes inconnus et suspects.SOLUTIONS DATA LOSS PREVENTION (DLP)Détectent les informations stratégiques lorsquellessont stockées ou déplacées, et empêchent leur copie.Suppriment également les informations se trouvant aumauvais endroit.1. Les ressources présentant de lintérêt ont désormais étéidentifiées.Les cybercriminels accèdent aux systèmes non sécurisés et capturent lesinformations stratégiques sur les systèmes savérant vulnérables. Ils peuventégalement installer des logiciels malveillants en vue de récupérer secrètementdes données ou de perturber les opérations.3. Le cybercriminel configure un serveur de stockage interne. 4. Les données souhaitées sont ensuite copiées sur unserveur intermédiaire sur site.2. Le cybercriminel cherche à entrer dans les systèmesinfectés pour accéder aux informations.Les fondements dune défense efficace :
  8. 8. RépertoireLDAPDNSContrôleurde do-maineApplicationsensibleE-mailBase dedonnéesServeur WebServeurmalwareAssaillantUtilisateurs ciblesUtilisateursciblesDropServerServeurC & CRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeurWebServeurmalwareDropServerServeurC & CAssaillantUtilisateurs ciblesUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeurWebServeurmalwareDropServerServeurC & CAssaillantUtilisateurs ciblesUtilisateursciblesRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeurWebServeurmalwareDropServerServeurC & CAssaillantUtilisateurs ciblesUtilisateursciblesDropServerServeurC & CRépertoireLDAPDNSContrôleurde domaineApplicationsensibleE-mailBase dedonnéesServeurWebServeurmalwareAssaillantUtilisateurs ciblesUtilisateurscibles8EXFILTRATION5DATA LOSS PREVENTION (DLP) NETWORKVérifie le trafic sortant pour détecter les vols ou perteséventuels et empêche la transmission des données.DEEPSIGHT & THREAT INTELLIGENCEDonne des informations supplémentaires sur les hôtesInternet auxquels ces flux dinformations sont transmis.1. Les données souhaitées se trouvent sur leserveur provisoire sur site.Les informations stratégiques récupérées sont renvoyées chez lecybercriminel pour analyse, exploitation, fraude, ou pire encore.3. Le cybercriminel copie les données souhaitées. 4. Les données sont exfiltrées vers le serveur de stockageexterne. .2. Le cybercriminel configure un serveur de stockage externe.Les fondements dune défense efficace :
  9. 9. 9DÉCOUVREZ COMMENT LES SOLUTIONS DE SYMANTEC PEUVENT VOUS AIDERPour chaque phase dune cyberattaque, Symantec proposedes solutions toutes aussi efficaces comme produits répondantà une problématique particulière que comme éléments dunedéfense complète pour offrir une solide protection à votreentreprise afin dempêcher les cybercriminels datteindreleur but.
  10. 10. SOLUTIONS DE SÉCURITÉ DE SYMANTECControl Compliance SuiteA lheure actuelle, la gestion de la conformité et des risques informatiques représenteun véritable défi pour les entreprises. En tant que responsable de la sécurité, vous êtesconfronté à un nombre croissant de réglementations et facteurs opérationnels, àun paysage de menaces en pleine évolution et à des infrastructures informatiquesde plus en plus complexes. Symantec Control Compliance Suite vous aide à résoudreces problèmes en proposant une infrastructure solide pour le développement devotre programme de gouvernance, de gestion des risques et de conformité informatique.Control Compliance Suite vous permet de communiquer les risques informatiquesdans des termes pertinents pour lentreprise, de hiérarchiser les mesures correctivesgrâce à une vue composite des risques et dautomatiser les processus dévaluationafin daméliorer votre sécurité globale et de renforcer la mise en conformité.Certificats SSL, VIP et Symantec O3Les solutions dauthentification renforcée proposées par Symantec assurent uneauthentification à deux facteurs et des services dinfrastructure PKI pratiques etsûrs en mode cloud. Elles protègent ainsi les identités en ligne et les interactionsentre clients, partenaires et employés.Symantec O3 est une plate-forme cloud de protection des informations qui fournitaux utilisateurs d’applications et de services cloud un contrôle d’accès contextuel, lasécurité et la gestion des informations sous forme de service. Elle prend en chargenimporte quel terminal, y compris mobile. Elle fournit des informations de conformitépour les événements daccès et dinformation qui facilitent les audits et lanalysejuridique.Web SecurityLa gamme de produits Symantec Web Security comprend des solutions de référenceà installer sur site ou en mode cloud. Ensemble, elles protègent les entreprises desmenaces véhiculées par le Web et permettent de contrôler, surveiller et appliquer lespolitiques dutilisation acceptable du Web. Des couches de protection contre lesprogrammes malveillants automatiquement mises à jour empêchent les menacesdatteindre votre réseau, tandis que des politiques de filtrage des URL et des quotasde trafic Web réduisent les risques dutilisation abusive du Web et vous aident àpréserver votre bande passante. Basé sur Insight, la technologie innovante de filtragede Symantec basée sur la réputation, Symantec Web Gateway sappuie sur un réseaumondial de plus de 210 millions dutilisateurs pour identifier les nouvelles menacesavant quelles ne causent des dommages aux entreprises.DeepSight & Threat IntelligenceLe réseau Symantec Global Intelligence Network constitue une source inégaléedinformations sur les menaces Internet et facilite lidentification des nouvellesmenaces qui ne cessent dévoluer. Le réseau Symantec Global Intelligence Networkpossède plus de 240 000 capteurs dans plus de 200 pays qui surveillent lactivité liéeaux attaques, ainsi que plus de 133 millions de systèmes qui fournissent desinformations sur les codes malveillants. Symantec conserve également une basede données complète des vulnérabilités comprenant plus de 40 000 enregistrements.Les services Symantec DeepSight Early Warning permettent aux entreprisesdaméliorer leur sécurité et de contrôler lintégrité de leurs informations de façonproactive. DeepSight aide les clients à adapter les profils de risque aux modificationsdu paysage des menaces en proposant des stratégies dinformation, danalyse etde contrôle sur mesure et en recommandant des bonnes pratiques sur les menaceset vulnérabilités connues et émergentes. DeepSight, qui intègre des déclencheursdalertes personnalisées et une analyse dexperts, permet aux entreprises doptimiserleurs ressources informatiques afin de protéger les informations stratégiques contretoute attaque potentielle, de limiter les menaces et déliminer les risques liés à lasécurité.Critical System ProtectionLes grandes entreprises utilisent Symantec Critical System Protection pour sécuriserleurs datacenters physiques et virtuels. En combinant la détection dintrusion surlhôte et la prévention dintrusion, Symantec propose une solution complète etreconnue de sécurisation des serveurs. Bénéficiez dune protection complète pourVMware vSphere®, contrez les attaques de type "zero-day" et les attaques ciblées,et profitez dune visibilité et dun contrôle de conformité en temps réel grâce à SymantecCritical System Protection.Data Loss PreventionSymantec Data Loss Prevention (DLP) est une solution de prévention contre lespertes de données sensibles au contenu pour lentreprise, qui localise, surveille etprotège les données confidentielles, quel que soit lendroit où elles sont stockéesou utilisées : sur vos terminaux, réseaux et systèmes de stockage.10
  11. 11. Mobile Management SuiteSymantec Mobile Management Suite est une solution complète de mise en service detechnologies mobiles, conçue pour répondre à une grande diversité de besoins demobilité dentreprise. Avec une gestion évolutive des périphériques, des fonctionsinnovantes de gestion des applications et une technologie fiable de protection contreles menaces, Mobile Management Suite offre aux entreprises toutes les fonctionnalitésnécessaires pour mettre en œuvre, sécuriser et gérer les périphériques, les applicationset les données mobiles.Endpoint ProtectionSymantec Endpoint Protection repose sur plusieurs couches de protection, y comprisSymantec Insight et SONAR qui assurent la protection contre les nouvelles menaceset les menaces inconnues. Conçu pour les environnements virtuels, il peut sintégrerà VMware vShield Endpoint pour une amélioration sensible des performances. SymantecEndpoint Protection inclut les toutes nouvelles fonctionnalités qui améliorent lasécurité, les performances et la gestion.EncryptionLes solutions de chiffrement de Symantec permettent aux entreprises dassurer laprotection des données et la gestion centralisée des politiques via lutilisationfacultative dEncryption Management Server. Nos solutions reposent sur une technologienormalisée, avec une gestion centralisée des politiques, des fonctions de générationde rapports basées sur la conformité et une véritable gestion universelle des terminaux,du courrier électronique et des produits de chiffrement de fichiers.Email SecurityLa gamme de produits Symantec dédiée à la sécurité de la messagerie électroniquecomprend des solutions sur site de pointe et des solutions en cloud de référence.Ensemble, elles offrent aux clients une protection maximale, ainsi que la flexibilitéet le choix des formats.IT Management SuiteAltirisITManagementSuiteestunesuitedeproduitsintégrésquiaidentlesdépartementsinformatiques à fournir à leur entreprise des services plus prévisibles et plus rapides.Grâce à elle, les infrastructures de gestion de lorganisation peuvent aisément prendreen charge de nouvelles technologies, sont aptes à sadapter rapidement à lévolutiondes processus et des besoins métier, et sont en mesure de fournir toutes les informationsnécessaires à la prise de décisions plus pertinentes basées sur les données.Managed Security Services et Security InformationManagerSymantec Security Information Manager est une solution de gestion des événementset informations de sécurité (SIEM) complète qui offre aux entreprises de nombreusesfonctions de collecte, de gestion et de conservation de logs pour permettre decentraliser et danalyser des volumes importants de données provenant de différentsjournaux. Notre moteur de mise en corrélation, leader du marché, regroupe lesdonnées organisationnelles, les informations sur les événements de sécurité et lesinformations sur les menaces. Cela permet aux entreprises de traiter les incidentsde sécurité par ordre de priorité en fonction du risque quils représentent pourlentreprise.Les Symantec Managed Security Services élargissent cette approche et permettentaux entreprises de développer et de maintenir un programme résilient de gestiondes incidents et des événements, proposé sous forme de service. La présence etlenvergure internationales de Symantec lui permettent de satisfaire les plus grandesentreprises.Les Symantec Managed Security Services vous donnent la possibilité daccéder àtout moment (24h/24 et 7j/7) à notre équipe de haut niveau qui compte plus de500 professionnels de la sécurité dans 4 centres dexploitation de sécurité (SecurityOperations Centers) et 11 centres de recherche sur la sécurité (Security ResponseCenters) à travers le monde. Léquipe Symantec est composée danalystes etdingénieurs, certifiés GIAC et CISSP. Cette équipe est une source essentielle dansle traitement des informations sur les menaces collectées par le réseau SymantecGlobal Intelligence Network.11
  12. 12. www.symantec.com/frÀ PROPOS DE SYMANTECSymantec protège les informations échangées à traversle monde et se positionne comme leader mondial dessolutions de sécurité, sauvegarde et disponibilité. Nosproduits et services innovants protègent les individus etles informations dans nimporte quel environnement, duplus petit appareil mobile au datacenter dentreprise etsystèmes dans le cloud. Notre expertise inégalée en matièrede protection des données, identités et interactions donneconfiance à nos clients dans le monde interconnecté actuel.Pour plus dinformations, rendez-vous surwww.symantec.comou rejoignez Symantec surgo.symantec.com/socialmediaPour connaître les coordonnées des bureaux dans unpays spécifique, consultez notre site Web.www.symantec.com/frSymantec France17 avenue de l’Arche92671 Courbevoie CedexCopyright © 2013 Symantec Corporation. Tous droits réservés. Symantec, lelogo Symantec et le logo en forme de coche sont des marques commercialesou des marques déposées de Symantec Corporation ou de ses filiales auxÉtats-Unis et dans dautres pays. Les autres noms peuvent être des marquescommerciales de leurs détenteurs respectifs.

×