Sommaire

Indicateurs de compromission réseau IOC:réseau

1. Présentation

Les indicateurs de compromission réseau sont très puissants et généralement simples à mettre en place de manière globale. En effet, la plupart des infrastructures de systèmes d’information n’ont qu’une sortie vers Internet : de telles sorties étant coûteuses, il est rare de les multiplier. Bien sûr, il existe des exceptions, mais les sorties Internet constituent un élément essentiel de la frontière d’un réseau. Ainsi, il est facile de sonder les sorties vers Internet à la recherche des indicateurs réseau liés au comportement réseau d’un malware communiquant sur Internet.

Les proxys et les systèmes de détection d’intrusion (IDS, Intrusion Detection System) sont des appareils très commodes pour contrôler ces indicateurs de compromission. De plus, de tels composants réseau sont souvent déjà présents dans la plupart des réseaux d’entreprise. Ainsi, la mise en place d’un contrôle d’indicateurs de compromission à ce niveau est souvent peu coûteuse en termes d’investissement.

Les indicateurs réseau permettent aussi très facilement de réaliser une cartographie de l’infection d’un malware dans un réseau. Imaginons qu’un malware se connecte au Command and Control suivant : http://attaquant.com. ...