| Présentation |
Dans un monde où la cybercriminalité est de plus en plus répandue, le recul est vraiment une bonne chose, et peut-être l'arme la plus puissante pour une entreprise. Lorsqu'ils enquêtent sur un incident de cyberattaque, les analystes de la sécurité de l'information doivent souvent collecter des données provenant de diverses sources pour reconstituer l'incident, notamment des fichiers journaux, un trafic réseau de haut niveau (NetFlow) et plusieurs outils de surveillance de la sécurité différents. |
Dans les incidents de cyberattaque, il est très important de quantifier rapidement et précisément l’impact de l’incident. Comme l’ont démontré plusieurs récentes violations de données très médiatisées, l’incapacité à comprendre et à communiquer rapidement et précisément les cyberattaques peut avoir un impact catastrophique sur la confiance des clients, la fidélité à la marque et, en fin de compte, sur les résultats financiers.
Dans un monde où la cybercriminalité est de plus en plus répandue, le recul est vraiment une bonne chose et peut être l’arme la plus puissante d’une entreprise. Lorsqu'ils enquêtent sur un incident de cyberattaque, les analystes de la sécurité de l'information doivent souvent collecter des données provenant de diverses sources pour reconstituer l'incident, notamment des fichiers journaux, le trafic réseau de haut niveau (NetFlow) et plusieurs outils de surveillance de sécurité différents. Comme vous pouvez l’imaginer, cela peut être un processus extrêmement lent et souvent inefficace. En conséquence, les entreprises accumulent souvent un grand nombre d’événements non résolus et continuent de constituer des menaces inconnues.
Gérer avec succès une attaque signifie être capable de comprendre rapidement quand et comment l'attaque s'est produite, d'identifier les failles par lesquelles l'attaquant est entré dans les systèmes de l'entreprise, ainsi que les données et les systèmes qui ont pu être divulgués ou détruits. Ceci est essentiel pour protéger la cybersécurité de votre entreprise.
Sans ce niveau de visibilité du réseau, les organisations ont peu de possibilités de répondre de manière appropriée aux attaques ou de prévenir de futures attaques. C’est là qu’intervient l’enregistrement des données brutes : mais qu’implique exactement l’enregistrement des données brutes ? Comment peut-il aider les entreprises mondiales ?
Évaluez le trafic de votre réseau
La communication entre divers composants de l'infrastructure, tels que les serveurs, les systèmes de bureau, les ordinateurs portables et les appareils mobiles, est capturée sous la forme d'un flux de « paquets » réseau. Ces données contiennent diverses informations brutes, telles que la source du trafic, le flux de destination, la « charge utile » transmise – les données réelles, etc.
Le paquet de données équivaut à la « source unique de vérité », ce qui présente deux avantages :
1. Obtenir des sources d'informations complètes sur les données originales pour les enquêtes sur les incidents de cybersécurité ;
2. Examinez les données du point de vue des performances pour identifier et résoudre les problèmes susceptibles d'avoir un impact sur les performances.
Deux scénarios d'application typiques sont les suivants :
Scénario 1 : Il a été compromis et il est temps d'avertir les clients du fait que la sécurité de leurs données a été compromise.
Le bon côté des choses, avoir 1 mois de données réseau brutes à analyser vous permet de décrire le problème plus précisément, plutôt que de simplement dire « Nous avons été compromis, attention client ! Vous pouvez connaître l'heure exacte de l'incident, l'heure exacte de l'incident ! » l'étendue de l'intrusion de l'attaquant dans le réseau ; il est également possible de déterminer si l'attaquant a effectué des opérations de « reconnaissance » avant l'invasion, quelles données spécifiques ont été volées, comment et où les données ont été exfiltrées, etc.
Il s’agit d’un sous-ensemble d’informations puissant à utiliser lors de la communication avec les clients et qui contribue à renforcer la sécurité.
Scénario 2 : Une grave défaillance des performances se produit dans votre réseau, qui affecte même la fourniture de services aux clients.
Si le problème ne vient pas de votre FAI, il ne s'agit probablement pas d'un problème lié à votre réseau. En analysant les paquets, les organisations peuvent souvent identifier et résoudre rapidement les problèmes de performances courants. Par exemple, des problèmes tels que la manière dont l'application interagit avec une base de données donnée.
L'intégration est la clé
Les entreprises disposent de plusieurs solutions de sécurité, ce qui rend souvent difficile l'obtention d'une vue unifiée et cohérente des menaces et des activités sur le réseau. Cela montre que nous avons besoin d’une meilleure intégration.
Le processus d'intégration ne doit pas nécessairement être compliqué et n'implique pas nécessairement le déploiement et la mise en œuvre d'une nouvelle infrastructure. En intégrant des fonctionnalités de journalisation réseau dans les outils existants, les analystes peuvent passer directement des alertes de ces outils à l'examen de l'historique du réseau sous-jacent au niveau des paquets pour voir quelles transactions spécifiques ont eu lieu sur le réseau. Cela rationalise et facilite les enquêtes, aidant les analystes à éliminer les faux positifs et à identifier, hiérarchiser et répondre plus rapidement aux menaces réelles.
Dans la lutte contre la cybercriminalité et la concurrence pour gagner des parts de marché avec des performances optimales, les entreprises n'ont pas besoin de réinventer la roue, ni de devenir des experts en séquençage de l'ADN des réseaux. Disposer des données brutes qui contiennent les réponses à de nombreuses violations de données et problèmes de performances actuels donne aux entreprises un énorme avantage en tirant rapidement parti du recul et en corrigeant plus rapidement les vulnérabilités de sécurité et les problèmes de performances.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
