FR3135335A1 - METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK - Google Patents

METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK Download PDF

Info

Publication number
FR3135335A1
FR3135335A1 FR2205294A FR2205294A FR3135335A1 FR 3135335 A1 FR3135335 A1 FR 3135335A1 FR 2205294 A FR2205294 A FR 2205294A FR 2205294 A FR2205294 A FR 2205294A FR 3135335 A1 FR3135335 A1 FR 3135335A1
Authority
FR
France
Prior art keywords
network
party
interest
toxic
flows
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2205294A
Other languages
French (fr)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Serenicity
Original Assignee
Serenicity
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Serenicity filed Critical Serenicity
Priority to FR2303672A priority Critical patent/FR3135336A1/en
Publication of FR3135335A1 publication Critical patent/FR3135335A1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L’invention propose de détecter les flux toxiques générés sur chaque réseau tiers connecté au réseau d’intérêt et d’analyser la nature des flux toxiques détectés afin de transmettre uniquement une alerte à un administrateur du réseau d’intérêt lorsque des flux toxiques détectés sont potentiellement préjudiciables pour le réseau d’intérêt.The invention proposes to detect toxic flows generated on each third-party network connected to the network of interest and to analyze the nature of the toxic flows detected in order to only transmit an alert to an administrator of the network of interest when toxic flows detected are potentially harmful for the network of interest.

Description

METHODE D’ANALYSE DU RISQUE INFORMATIQUE D’UN RESEAU D’INTERET LIE AUX ECHANGES AVEC AU MOINS UN RESEAU TIERSMETHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK

L’invention concerne une méthode permettant de détecter les risques informatiques qui pourraient être engendrés sur un réseau d’intérêt en raison des flux réseau échangés entre ce réseau d’intérêt et au moins un réseau tier, dont on ne connait pas nécessairement le niveau de sécurité informatique. Par exemple, le réseau d’intérêt peut correspondre à un réseau d’une société, d’une administration ou d’une université, et le réseau tiers peut correspondre au réseau d’un sous-traitant direct ou indirect, ou un organisme collaborant avec la société, l’administration ou l’université.The invention relates to a method making it possible to detect computer risks which could be generated on a network of interest due to network flows exchanged between this network of interest and at least one third-party network, the level of which is not necessarily known. IT security. For example, the network of interest may correspond to a network of a company, an administration or a university, and the third-party network may correspond to the network of a direct or indirect subcontractor, or a collaborating organization. with society, the administration or the university.

Le réseau d’intérêt peut également correspondre au réseau d’un opérateur ou au réseau d’un fournisseur de solution de sécurité. Dans ce cas, la méthode peut être utilisée pour détecter la propagation de flux toxiques.The network of interest may also correspond to the network of an operator or the network of a security solution provider. In this case, the method can be used to detect the propagation of toxic flows.

De nos jours, un grand nombre d’organismes ont désormais une politique efficace de sécurité informatique. Cependant, d’autre organismes n’ont pas toujours les moyens financiers, l'intérêt ou même la motivation d'assurer une sécurité informatique minimum. Or, la collaboration croissante des organismes impose un grand nombre d’échanges entre les sociétés, les administrations ou encore les universités. Lors de ces échanges, les organismes utilisant une politique de sécurité informatique stricte sont inquiets de la résilience des systèmes d’information de leurs sous-traitants ou collaborateurs face aux attaques informatiques.Nowadays, a large number of organizations now have an effective IT security policy. However, other organizations do not always have the financial means, the interest or even the motivation to ensure minimum IT security. However, the growing collaboration of organizations requires a large number of exchanges between companies, administrations and even universities. During these discussions, organizations using a strict IT security policy are concerned about the resilience of the information systems of their subcontractors or collaborators in the face of computer attacks.

De plus, avec le déploiement d’outils de sécurité informatique avancés, les pirates informatiques utilisent de plus en plus souvent des voies détournées pour attaquer un système d’information en propageant des attaques à travers plusieurs réseaux.In addition, with the deployment of advanced IT security tools, hackers are increasingly using indirect routes to attack an information system by propagating attacks across multiple networks.

Dans le cadre de l’invention, il est possible de distinguer deux types de réseaux, le réseau d’intérêt et les réseaux tiers. Le réseau d’intérêt correspond typiquement au réseau d’un organisme utilisant une politique de sécurité informatique stricte et pour lequel un administrateur réseau souhaite estimer le risque informatique lié aux échanges avec des réseaux externes, appelés réseaux tiers. Ces réseaux tiers correspondent classiquement à des réseaux informatiques de sous-traitants, directs ou indirects ou de collaborateurs.In the context of the invention, it is possible to distinguish two types of networks, the network of interest and third-party networks. The network of interest typically corresponds to the network of an organization using a strict IT security policy and for which a network administrator wishes to estimate the IT risk linked to exchanges with external networks, called third-party networks. These third-party networks typically correspond to computer networks of direct or indirect subcontractors or employees.

En variante, dans le cadre de la détection de la propagation de flux toxiques, le réseau d’intérêt correspond typiquement à un réseau d’opérateur ou un réseau de fournisseur de solution de sécurité. Les réseaux tiers correspondent alors à des réseaux de clients appartenant au réseau de l’opérateur ou au réseau de fournisseur de solution de sécurité.Alternatively, in the context of detecting the propagation of toxic flows, the network of interest typically corresponds to an operator network or a security solution provider network. Third-party networks then correspond to customer networks belonging to the operator's network or the security solution provider's network.

Pour analyser un risque informatique d’un réseau, la société SERENICITY propose des dispositifs appelés «Detoxio», «Probio» et «Cymealog» intégrants un organe de supervision des flux réseau entrants et sortants de chaque périphérique depuis et vers Internet. Tel que décrit dans le brevet FR2006068, en comparant les adresses IP des flux réseau avec une base de données comportant une liste d’adresses IP toxiques, il est possible de détecter des flux réseau toxiques.To analyze the IT risk of a network, the company SERENICITY offers devices called “ Detoxio ”, “ Probio ” and “ Cymealog ” integrating a monitoring body for incoming and outgoing network flows from each device to and from the Internet. As described in patent FR2006068, by comparing the IP addresses of network flows with a database containing a list of toxic IP addresses, it is possible to detect toxic network flows.

Cette base de données comportant une liste d’adresses IP toxiques peut être obtenue par une solution de captation d’adresses IP par des serveurs leurres, tel que décrit dans le brevet FR 1852752.This database comprising a list of toxic IP addresses can be obtained by a solution for capturing IP addresses by decoy servers, as described in patent FR 1852752.

Ensuite, un score de vulnérabilité de chaque périphérique est calculé en appliquant un facteur de dix aux flux toxiques sortants par rapport aux flux toxiques entrants. Ce score de vulnérabilité permet d’identifier et de classer le risque informatique lié à chaque périphérique d’un réseau.Then, a vulnerability score for each device is calculated by applying a factor of ten to outgoing toxic flows relative to incoming toxic flows. This vulnerability score makes it possible to identify and classify the IT risk linked to each device on a network.

Cette innovation pourrait être déployée directement sur tous les réseaux tiers connectés à un réseau d’intérêt afin qu’un administrateur du réseau d’intérêt puisse vérifier que les réseaux tiers présentent un risque informatique limité. Cependant, avec cette solution, l’administrateur du réseau d’intérêt recevrait un grand nombre d’alertes, notamment lorsque le réseau d’intérêt est connecté à plusieurs réseaux tiers.This innovation could be deployed directly on all third-party networks connected to a network of interest so that an administrator of the network of interest can verify that third-party networks present limited IT risk. However, with this solution, the administrator of the network of interest would receive a large number of alerts, especially when the network of interest is connected to several third-party networks.

En variante, cette innovation pourrait être déployée sur tous les réseaux tiers connectés au même opérateur ou au même fournisseur de solution de sécurité afin d’alerter et/ou d’informer visuellement les réseaux concernés par une attaque informatique.Alternatively, this innovation could be deployed on all third-party networks connected to the same operator or security solution provider in order to visually alert and/or inform the networks affected by a computer attack.

Le problème technique de l’invention consiste donc à fournir une alerte à un administrateur d’un réseau d’intérêt concernant le risque informatique lié à au moins un réseau tiers connecté au réseau d’intérêt, tout en limitant le nombre d’alertes et sans dégrader la pertinence des alertes.The technical problem of the invention therefore consists of providing an alert to an administrator of a network of interest concerning the IT risk linked to at least one third-party network connected to the network of interest, while limiting the number of alerts and without degrading the relevance of the alerts.

Le problème technique de l’invention peut donc également consister à fournir une alerte à plusieurs réseau tiers appartenant au même opérateur ou au même fournisseur de solution de sécurité. Cette alerte peut contenir plusieurs informations, telles que le type d’attaque, l’étendue de la propagation et les vecteurs de cette propagation. Ces informations peuvent être transmises à chaque réseau tiers concerné par cette attaque et à l’opérateur ou au fournisseur de solution de sécurité.The technical problem of the invention can therefore also consist of providing an alert to several third-party networks belonging to the same operator or the same security solution provider. This alert can contain several pieces of information, such as the type of attack, the extent of the propagation and the vectors of this propagation. This information may be transmitted to each third-party network affected by this attack and to the operator or security solution provider.

Pour résoudre ce problème technique, l’invention propose de détecter les flux toxiques générés sur chaque réseau tiers connecté au réseau d’intérêt et d’analyser la nature des flux toxiques détectés afin de transmettre uniquement une alerte à un administrateur du réseau d’intérêt lorsque des flux toxiques détectés sont potentiellement préjudiciables pour le réseau d’intérêt.To solve this technical problem, the invention proposes to detect the toxic flows generated on each third-party network connected to the network of interest and to analyze the nature of the toxic flows detected in order to only transmit an alert to an administrator of the network of interest. when toxic flows detected are potentially harmful for the network of interest.

Par exemple, si un réseau tiers subit une attaque par déni de service de son site Internet, ce type d'attaque informatique est préjudiciable pour les activités commerciales du réseau tier, mais ne remet pas en cause la sécurité informatique du réseau d’intérêt.For example, if a third-party network suffers a denial of service attack on its website, this type of computer attack is detrimental to the commercial activities of the third-party network, but does not call into question the computer security of the network of interest.

Au contraire, si le réseau tiers subit une attaque par prise de contrôle à distance d'un poste et que ce poste est couramment utilisé pour échanger des informations avec le réseau d’intérêt, ce type d'attaque peut présenter un risque informatique préjudiciable pour le réseau d’intérêt.On the contrary, if the third-party network suffers an attack by taking remote control of a station and this station is commonly used to exchange information with the network of interest, this type of attack can present a detrimental IT risk for the network of interest.

Pour limiter un tel risque informatique, un administrateur du réseau d’intérêt peut imposer aux administrateurs des réseaux tiers de lui transmettre, ou de transmettre à un tiers de confiance comme SERENICITY, les flux réseau captés par leurs pare-feu. Ces pare-feu sont classiquement appelés «firewall» dans la littérature anglo-saxonne.To limit such IT risk, an administrator of the network of interest can require the administrators of third-party networks to transmit to him, or to transmit to a trusted third party such as SERENICITY, the network flows captured by their firewalls. These firewalls are classically called “ firewalls ” in Anglo-Saxon literature.

Dans un autre exemple, si un réseau tiers subit une attaque par prise de contrôle à distance d'un poste et que ce poste est utilisé pour des échanges entre réseaux tiers appartenant au même opérateur ou au même fournisseur de solution de sécurité, alors ce type d’attaque peut se propager dans plusieurs autres réseaux tiers et ainsi créer une propagation du flux toxique.In another example, if a third-party network suffers an attack by taking remote control of a station and this station is used for exchanges between third-party networks belonging to the same operator or to the same security solution provider, then this type The attack can spread to several other third-party networks and thus create a propagation of the toxic flow.

L’invention propose d’analyser les flux réseau captés par les pare-feu des réseaux tiers, de détecter les flux toxiques parmi l’ensemble de ces flux réseau et la nature des échanges associés à ces flux toxiques afin de détecter les flux toxiques potentiellement préjudiciables pour le réseau d’intérêt.The invention proposes to analyze the network flows captured by the firewalls of third-party networks, to detect toxic flows among all of these network flows and the nature of the exchanges associated with these toxic flows in order to detect potentially toxic flows. detrimental to the network of interest.

Ainsi, l’invention permet d’alerter un administrateur du réseau d’intérêt dans le cas où une attaque informatique détectée sur un réseau tiers peut atteindre à la sécurité du réseau d’intérêt.Thus, the invention makes it possible to alert an administrator of the network of interest in the event that a computer attack detected on a third-party network may affect the security of the network of interest.

Au sens de l’invention, un flux toxique correspond à un flux provenant ou à destination d'une adresse IP toxique, c'est-à-dire d'une adresse IP référencée dans une base de données et associée à un pirate informatique ou présentant un risque de vulnérabilité fort. Cette base de données est classiquement constituée et mise à jour régulièrement par des acteurs de la sécurité informatique. Elle peut être téléchargée périodiquement et stockée en interne ou consultée sur une plateforme externe. Cette base de données est préférentiellement obtenue par des serveurs leurres permettant de capter des adresses IP toxiques, tel que décrit dans le brevet FR 1852752.For the purposes of the invention, a toxic flow corresponds to a flow coming from or destined for a toxic IP address, that is to say an IP address referenced in a database and associated with a computer hacker or presenting a high risk of vulnerability. This database is typically created and regularly updated by IT security players. It can be downloaded periodically and stored internally or viewed on an external platform. This database is preferably obtained by decoy servers making it possible to capture toxic IP addresses, as described in patent FR 1852752.

La illustre un exemple d’architecture réseau dans lequel l’invention peut être implémentée. Dans cet exemple, plusieurs réseaux20,30,40et50communiquent entre eux. Plus précisément, le réseau20échange des flux réseau11aavec les réseaux30et40alors que le réseau50échange des flux réseau11bavec le réseau40. Le réseau20peut correspondre au réseau d’une grande société, alors que les réseaux30et40sont les réseaux de sous-traitants directs de cette grande société, et que le réseau50est un réseau d’un sous-traitant indirect. Au sens de l’invention, le réseau20correspond au réseau d’intérêt alors que les réseaux30,40et50sont des réseaux tiers, directs ou indirects.There illustrates an example of network architecture in which the invention can be implemented. In this example, several networks 20 , 30 , 40 and 50 communicate with each other. More precisely, the network 20 exchanges network flows 11a with the networks 30 and 40 while the network 50 exchanges network flows 11b with the network 40 . Network 20 may correspond to the network of a large company, while networks 30 and 40 are the networks of direct subcontractors of this large company, and network 50 is a network of an indirect subcontractor. For the purposes of the invention, network 20 corresponds to the network of interest while networks 30 , 40 and 50 are third-party networks, direct or indirect.

Par exemple, le réseau tiers30peut correspondre au réseau d’un prestataire en charge de gérer les différentes imprimantes du réseau d’intérêt20, notamment pour déployer à distance les mises à jour de celles-ci.For example, the third-party network 30 may correspond to the network of a service provider responsible for managing the various printers of the network of interest 20 , in particular to remotely deploy their updates.

Pour ce faire, le prestataire utilise un serveur31du réseau tiers30pour se connecter à un périphérique2 4du réseau d’intérêt20. L’invention vise notamment à vérifier qu’une attaque informatique réalisée sur le réseau tiers30ne puisse entraîner une vulnérabilité du réseau d’intérêt20par l’intermédiaire des flux réseau existants11aentre le réseau tiers30et le réseau d’intérêt20.To do this, the service provider uses a server 31 of the third-party network 30 to connect to a device 2 4 of the network of interest 20 . The invention aims in particular to verify that a computer attack carried out on the third-party network 30 cannot lead to a vulnerability of the network of interest 20 via the existing network flows 11a between the third-party network 30 and the network of interest 20 .

Le réseau tiers40peut correspondre au réseau d’un prestataire en charge de la gestion des postes téléphoniques25des différents bureaux du réseau d’intérêt20.The third-party network 40 may correspond to the network of a service provider in charge of managing the telephone sets 25 of the different offices of the network of interest 20 .

Pour ce faire, le prestataire utilise un serveur41du réseau tiers40pour se connecter aux postes téléphoniques2 5du réseau d’intérêt20.To do this, the service provider uses a server 41 of the third-party network 40 to connect to the telephone sets 25 of the network of interest 20 .

L’invention vise également à vérifier qu’une attaque informatique réalisée sur le réseau tiers40ne puisse entraîner une vulnérabilité du réseau d’intérêt20par l’intermédiaire des flux réseau existants11aentre le réseau tiers40et le réseau d’intérêt20.The invention also aims to verify that a computer attack carried out on the third-party network 40 cannot lead to a vulnerability of the network of interest 20 via the existing network flows 11a between the third-party network 40 and the network of interest 20 .

Le réseau tiers50peut correspondre au réseau d’un prestataire en charge de la gestion de systèmes de climatisation44connectés du réseau tiers40. Pour ce faire, des flux réseau11bsont générés entre un serveur51du réseau tiers50et les systèmes de climatisation44du réseau tiers40. En ce qui concerne les réseaux tiers indirects, l’invention peut également être implémentée pour vérifier qu’une attaque informatique réalisée sur le réseau tiers50ne puisse entraîner une vulnérabilité du réseau tiers40et propager la vulnérabilité sur le réseau d’intérêt20, par l’intermédiaire des flux réseau11 aet11 b.The third-party network 50 may correspond to the network of a service provider responsible for managing air conditioning systems 44 connected to the third-party network 40 . To do this, network flows 11b are generated between a server 51 of the third-party network 50 and the air conditioning systems 44 of the third-party network 40 . With regard to indirect third-party networks, the invention can also be implemented to verify that a computer attack carried out on the third-party network 50 cannot cause a vulnerability of the third-party network 40 and propagate the vulnerability on the network of interest 20 , via network flows 11 a and 11 b .

Par ailleurs, chaque réseau tiers30,40et50est protégé par un pare-feu dédié32,42et52, géré classiquement par plusieurs administrateurs réseau distincts. Ces pare-feu32,42et52intègrent des fichiers de contrôle33,43,53permettant de retracer un historique des flux réseau11a,11btraversant le pare-feu. Ces fichiers de contrôle33,43,53sont également appelés « logs » dans la littérature anglo-saxonne.Furthermore, each third-party network 30 , 40 and 50 is protected by a dedicated firewall 32 , 42 and 52 , conventionally managed by several separate network administrators. These firewalls 32 , 42 and 52 integrate control files 33 , 43 , 53 making it possible to trace a history of the network flows 11a , 11b crossing the firewall. These control files 33 , 43 , 53 are also called “logs” in the Anglo-Saxon literature.

Tel qu’illustré sur la , les pare-feu32,42, et52des réseaux tiers30,40,50sont en outre configurés pour transmettre les fichiers de contrôle33,43,53. Ces fichiers de contrôle33,43,53peuvent être transmis à un administrateur du réseau d’intérêt20ou à un tiers de confiance. Pour ce faire, un message sécurisé directe12apeut être transmis entre les pare-feu32,42et un organe d’analyse61d’un réseau60du tiers de confiance.As illustrated on the , the firewalls 32 , 42 , and 52 of the third-party networks 30 , 40 , 50 are further configured to transmit the control files 33 , 43 , 53 . These control files 33 , 43 , 53 can be transmitted to an administrator of the network of interest 20 or to a trusted third party. To do this, a direct secure message 12a can be transmitted between the firewalls 32 , 42 and an analysis unit 61 of a network 60 of the trusted third party.

Pour le réseau tiers indirect50, le pare-feu52peut être configuré pour transmettre le fichier de contrôle53directement au tiers de confiance60, ou indirectement en passant par un administrateur du réseau tiers40auquel il est connecté.For the indirect third-party network 50 , the firewall 52 can be configured to transmit the control file 53 directly to the trusted third party 60 , or indirectly through an administrator of the third-party network 40 to which it is connected.

Dans l’exemple de la , un message sécurisé12best transmis entre le pare-feu52et un organe d’analyse61d’un réseau60du tiers de confiance en passant par le réseau tiers40.In the example of the , a secure message 12b is transmitted between the firewall 52 and an analysis unit 61 of a network 60 of the trusted third party via the third party network 40 .

Plus précisément, cet organe d’analyse61parcours les fichiers de contrôle33,43,53, détecte des flux toxiques parmi l’ensemble des flux réseau présents dans ces fichiers de contrôle33,43,53et recherche la nature des échanges associés à ces flux toxiques afin de détecter les flux toxiques potentiellement préjudiciables pour le réseau d’intérêt20.More precisely, this analysis unit 61 scans the control files 33 , 43 , 53 , detects toxic flows among all the network flows present in these control files 33 , 43 , 53 and searches for the nature of the exchanges associated with these toxic flows in order to detect toxic flows potentially harmful to the network of interest 20 .

Lorsqu’au moins un flux toxique potentiellement préjudiciable pour le réseau d’intérêt20est détecté, l’organe d’analyse61génère une alerte13à destination d’un administrateur du réseau d’intérêt20. Cette alerte13peut contenir des informations contextualisées en fonction des besoins de l’administrateur du réseau d’intérêt20. Un exemple de mise en place de la méthode d’analyse du risque informatique est décrit en référence à la . Dans une première étape10 0, le tiers de confiance ou un administrateur du réseau d’intérêt20récupère les flux réseau captés par au moins un pare-feu32,4 2,5 2appartenant à un réseau tiers30,40,50, par exemple en recevant les fichiers de contrôle33,43,53des pare-feu3 2,4 2,5 2. Ces fichiers de contrôle33,43,53contiennent classiquement un ensemble de flux réseau avec, pour chaque flux réseau, au moins :
- une adresse IP de provenance ;
- une adresse IP de destination ;
- un sens de trafic du flux ;
- un type de port utilisé pour la connexion ; et
- un horodatage du flux réseau, typiquement la date et l’heure de début et de fin du flux réseau.When at least one toxic flow potentially harmful to the network of interest 20 is detected, the analysis unit 61 generates an alert 13 intended for an administrator of the network of interest 20 . This alert 13 may contain contextualized information according to the needs of the administrator of the network of interest 20 . An example of implementing the IT risk analysis method is described with reference to the . In a first step 10 0 , the trusted third party or an administrator of the network of interest 20 recovers the network flows captured by at least one firewall 32 , 4 2 , 5 2 belonging to a third party network 30 , 40 , 50 , for example by receiving the control files 33 , 43 , 53 from the firewalls 3 2 , 4 2 , 5 2 . These control files 33 , 43 , 53 conventionally contain a set of network flows with, for each network flow, at least:
- a source IP address;
- a destination IP address;
- a direction of traffic flow;
- a type of port used for the connection; And
- a timestamp of the network flow, typically the start and end date and time of the network flow.

Lorsque les flux réseau des réseaux tiers sont récupérés, chaque adresse IP de destination et de provenance est comparée, une à une, à la base de données comprenant les adresses IP toxiques64, dans une étape101. Chaque flux réseau lié à une adresse IP toxique est alors stocké dans un fichier de flux toxique63intégrant, pour chaque période de temps, par exemple pour chaque jour ou pour chaque heure, l’ensemble des flux toxiques.When the network flows from third-party networks are retrieved, each destination and origin IP address is compared, one by one, to the database comprising the toxic IP addresses 64 , in a step 101 . Each network flow linked to a toxic IP address is then stored in a toxic flow file 63 integrating, for each period of time, for example for each day or for each hour, all of the toxic flows.

Ensuite, dans une étape102, l’identification de la nature du risque est effectuée pour détecter si chaque flux toxique présente un risque pour la sécurité informatique du réseau d’intérêt20ou simplement pour la sécurité informatique d’un réseau tiers30,40,50.Then, in a step 102 , the identification of the nature of the risk is carried out to detect whether each toxic flow presents a risk for the IT security of the network of interest 20 or simply for the IT security of a third party network 30 , 40 , 50 .

Pour ce faire, l’organe d’analyse61tente de caractériser chaque type d’attaque informatique sur la base de scénarii utilisant des informations obtenues à partir des flux toxiques détectés.To do this, the analysis unit 61 attempts to characterize each type of computer attack on the basis of scenarios using information obtained from the toxic flows detected.

Par exemple, une attaque de type « force brute » peut être caractérisée lorsque plusieurs flux toxiques sont détectés dans des intervalles de temps très proches, typiquement si la même adresse IP toxique à communiqué avec la même adresse IP attaquée plus de deux cent fois dans la même journée.For example, a “brute force” type attack can be characterized when several toxic flows are detected in very close time intervals, typically if the same toxic IP address communicated with the same IP address attacked more than two hundred times in the same day.

De plus, les heures d’attaques peuvent être utilisées comme indice pour caractériser les attaques de type « compromission », par exemple la compromission d’un système de fermeture de porte. Typiquement, si une adresse IP toxique communique avec un système de fermeture de porte en dehors des heures habituelles, alors l’organe d’analyse61peut catégoriser une attaque de type « compromission ».Additionally, attack times can be used as an index to characterize compromise attacks, for example the compromise of a door locking system. Typically, if a toxic IP address communicates with a door locking system outside of usual hours, then the analysis unit 61 can categorize a “compromise” type attack.

Il est également possible d’utiliser des informations connues sur l’adresse IP toxique détectée, telles que le type d’attaque généralement associées à cette adresse IP toxique détectée. Ces informations peuvent être intégrées dans la base de données d’adresses IP toxiques ou accessibles sur un serveur externe. Par exemple, s’il est connu que l’adresse IP toxique détectée est basée sur un complexe militaire, il est possible de caractériser le type d’attaque informatique comme une attaque de type « militaire ». Selon un autre exemple, s’il est connu que l’adresse IP toxique détectée héberge un nœud du réseau Tor, permettant d’accéder au réseau internet connu sous le nom de «DarkNet», alors il est possible de caractériser le type d’attaque informatique comme une attaque de type « masquée ».It is also possible to use known information about the detected toxic IP address, such as the type of attack typically associated with that detected toxic IP address. This information may be integrated into the toxic IP address database or accessible on an external server. For example, if it is known that the detected toxic IP address is based on a military complex, it is possible to characterize the type of computer attack as a “military” type attack. According to another example, if it is known that the detected toxic IP address hosts a node of the Tor network, allowing access to the internet network known as " DarkNet ", then it is possible to characterize the type of computer attack as a “masked” type attack.

Selon un autre exemple, s’il est connu que l’adresse IP toxique détectée héberge un serveur de commande et contrôle d’un programme malveillant de chiffrement de données, également connu sous les termes «command-and-control» » dans la littérature anglo-saxonne, alors il est possible de caractériser le type d’attaque informatique comme une attaque de type « command center ».As another example, if the detected toxic IP address is known to host a command-and-control server for data-encrypting malware, also known as " command-and-control " in the literature Anglo-Saxon, then it is possible to characterize the type of computer attack as a “command center” type attack.

Par ailleurs, les ports utilisés pour les attaques peuvent également permettre de caractériser le type d’attaque. Typiquement, le port TCP/IP « 22 » correspond au port SSH, ou «Secure Shell» dans la littérature anglo-saxonne.Furthermore, the ports used for attacks can also help characterize the type of attack. Typically, TCP/IP port “22” corresponds to the SSH port, or “ Secure Shell ” in English literature.

Ce port « 22 » est utilisé pour prendre le contrôle des machines distantes. Ainsi, si un pirate informatique arrive à prendre le contrôle d’un périphérique d’un réseau tiers30,40,50, il est possible de caractériser le type d’attaque informatique comme une attaque de type « cheval de Troie ».This port “22” is used to take control of remote machines. Thus, if a hacker manages to take control of a device on a third-party network 30 , 40 , 50 , it is possible to characterize the type of computer attack as a “Trojan horse” type attack.

Ainsi, un grand nombre de scenarii peuvent être implémentés pour caractériser chaque type d’attaque informatique.Thus, a large number of scenarios can be implemented to characterize each type of computer attack.

A l’aide de cette caractérisation, un grand nombre d’attaques informatiques peuvent être supprimées du fichier de flux toxiques63car elles ne sont pas potentiellement préjudiciables pour le réseau d’intérêt20.Using this characterization, a large number of computer attacks can be removed from the toxic flow file 63 because they are not potentially harmful to the network of interest 20 .

Pour les flux toxiques potentiellement préjudiciables pour le réseau d’intérêt20, une alerte13peut être transmisse à l’administrateur du réseau d’intérêt20, dans une étape103. Pour limiter le nombre d’alertes reçues, l’administrateur du réseau d’intérêt20peut avoir une interface permettant de sélectionner les types d’attaque, par exemple « force brute », « compromission », « militaire », « masquée », « command center » et « cheval de Troie », pour lesquelles il souhaite recevoir une alerte13.For toxic flows potentially harmful to the network of interest 20 , an alert 13 can be transmitted to the administrator of the network of interest 20 , in a step 103 . To limit the number of alerts received, the administrator of the network of interest 20 may have an interface allowing the types of attack to be selected, for example "brute force", "compromise", "military", "hidden", “command center” and “Trojan horse”, for which he wishes to receive an alert 13 .

Ainsi, si une attaque de type « force brute » est caractérisée dans l’étape102et que l’administrateur ne souhaite pas recevoir ce type d’information, alors aucune alerte ne sera transmise à l’administrateur du réseau d’intérêt20. Thus, if a “brute force” type attack is characterized in step 102 and the administrator does not wish to receive this type of information, then no alert will be transmitted to the administrator of the network of interest 20.

Cette alerte13peut prendre différentes formes en fonction des besoins de l’administrateur du réseau d’intérêt20. Par exemple, l’alerte13peut être affichée sur une carte en utilisant la géolocalisation de l’adresse IP toxique détectée, de l’adresse IP attaquée ou encore d’une adresse IP du réseau d’intérêt20qui a communiqué avec l’adresse IP attaquée. En outre, chaque alerte13peut présenter une forme différente en fonction de la nature de l’attaque.This alert 13 can take different forms depending on the needs of the administrator of the network of interest 20 . For example, the alert 13 can be displayed on a map using the geolocation of the detected toxic IP address, the attacked IP address or even an IP address of the network of interest 20 which communicated with the IP address attacked. In addition, each alert 13 may have a different form depending on the nature of the attack.

Ainsi, à la réception de l’alerte13, l’administrateur du réseau d’intérêt20peut facilement voir les réseaux tiers30,40,50directement ou indirectement attaqués, le type d’attaque que ces réseaux ont subi et le sens de trafique du flux de ces attaques.Thus, upon receipt of the alert 13 , the administrator of the network of interest 20 can easily see the third-party networks 30 , 40 , 50 directly or indirectly attacked, the type of attack that these networks have suffered and the meaning of traffic flow of these attacks.

Pour conclure, l’invention permet de fournir une alerte13à un administrateur d’un réseau d’intérêt20concernant le risque informatique lié à au moins un réseau tiers30,40,50connecté directement ou indirectement au réseau d’intérêt20. Par ailleurs, l’invention propose également de limiter les informations transmises à l’administrateur du réseau d’intérêt20afin de lui transmettre uniquement des alertes13pertinentes. En recevant une ou plusieurs adresses IP du réseau d’intérêt20pour lesquelles il existe un risque informatique, l’administrateur peut agir en conséquence. Par exemple, il peut mener des investigations et éventuellement déconnecter un périphérique du réseau.To conclude, the invention makes it possible to provide an alert 13 to an administrator of a network of interest 20 concerning the IT risk linked to at least one third-party network 30 , 40 , 50 connected directly or indirectly to the network of interest 20 . Furthermore, the invention also proposes to limit the information transmitted to the administrator of the network of interest 20 in order to transmit only relevant alerts 13 to him. By receiving one or more IP addresses of the network of interest 20 for which there is an IT risk, the administrator can act accordingly. For example, it can investigate and possibly disconnect a device from the network.

L’exemple de la illustre une architecture réseau dans laquelle l’invention peut être implémentée pour détecter la propagation de flux toxiques.The example of the illustrates a network architecture in which the invention can be implemented to detect the propagation of toxic flows.

Dans cet exemple, plusieurs réseaux30,40et50correspondent à des réseaux tiers de clients appartenant au réseau d’un opérateur ou au réseau d’un fournisseur de solution de sécurité20. Ainsi, le réseau20illustré sur la ne correspond pas à un réseau physique mais à plusieurs réseaux distants qui utilisent un boitier similaire d’un même opérateur ou qui intègrent un dispositif matériel et/ou logiciel d’un même fournisseur de solution de sécurité. Pour les réseaux tiers30 , 40,50, des flux réseaux11asont émis pour accéder à internet, par exemple pour accéder à un serveur71du réseau externe70. Plus précisément, lorsqu’un serveur31,41,51appartenant à un réseau tiers30,40,50souhaite accéder à internet, un flux réseaux11atraverse un pare-feu32,42,52du réseau tiers30,40,50ainsi qu’un boitier22d’un opérateur ou un dispositif22matériel et/ou logiciel d’un fournisseur de solution de sécurité.In this example, several networks 30 , 40 and 50 correspond to third-party networks of clients belonging to the network of an operator or to the network of a security solution provider 20 . Thus, the network 20 illustrated on the does not correspond to a physical network but to several remote networks which use a similar box from the same operator or which integrate a hardware and/or software device from the same security solution provider. For third-party networks 30 , 40 , 50 , network flows 11a are transmitted to access the Internet, for example to access a server 71 of the external network 70 . More precisely, when a server 31 , 41 , 51 belonging to a third-party network 30 , 40 , 50 wishes to access the Internet, a network flow 11a passes through a firewall 32 , 42 , 52 of the third-party network 30 , 40 , 50 as well than a box 22 from an operator or a hardware and/or software device 22 from a security solution provider.

Tel qu’illustré sur la , un tier de confiance ou un administrateur du réseau20peut récupérer les fichiers de contrôle33,43,53des pare-feu32,42,52des réseaux tiers30,40,50ou capter ces flux réseaux au niveau des boitiers ou des dispositifs22.As illustrated on the , a trusted third party or an administrator of the network 20 can recover the control files 33 , 43 , 53 of the firewalls 32 , 42 , 52 of the third-party networks 30 , 40 , 50 or capture these network flows at the level of the boxes or the devices 22 .

Pour ce faire, tel que décrit précédemment, un message sécurisé directe12apeut être transmis entre les pare-feu32,42,52,72et un organe d’analyse61d’un réseau60du tiers de confiance. Par ailleurs, un ou plusieurs réseaux externes70peuvent également transmettre leurs fichiers de contrôle73des pare-feu72dans un message sécurisé12c.To do this, as described above, a direct secure message 12a can be transmitted between the firewalls 32 , 42 , 52 , 72 and an analysis unit 61 of a network 60 of the trusted third party. Furthermore, one or more external networks 70 can also transmit their control files 73 of the firewalls 72 in a secure message 12c .

Cet organe d’analyse61parcours les fichiers de contrôle33,43,53,73, détecte des flux toxiques parmi l’ensemble des flux réseau présents dans ces fichiers de contrôle33,43,53,73, recherche la nature des échanges associés à ces flux toxiques, et caractériser les flux toxiques propagés dans les réseaux tiers30,40,50. Lorsqu’au moins un flux toxique propagés dans les réseaux tiers30,40,50, est détecté, l’organe d’analyse61génère une alerte13à destination de l’administrateur du réseau d’intérêt20 et éventuellement les administrateurs des réseaux tiers30,40,50, concernés par cette attaque propagée. Cette alerte13peut contenir des informations contextualisées en fonction des besoins de l’administrateur du réseau d’intérêt20.This analytical body61browse control files33,43,53,73, detects toxic flows among all the network flows present in these control files33,43,53,73, researches the nature of the exchanges associated with these toxic flows, and characterizes the toxic flows propagated in third-party networks30,40,50. When at least one toxic flow propagated in third-party networks30,40,50, is detected, the analysis organ61generates an alert13intended for the administrator of the network of interest20 and possibly third-party network administrators30,40,50, affected by this propagated attack. This alert13may contain contextualized information based on the needs of the network administrator of interest20.

Un exemple de mise en place de la méthode de détection de la propagation de flux toxiques est décrit en référence à la . Dans une première étape110, le tiers de confiance ou un administrateur du réseau d’intérêt20récupère les flux réseau captés par au moins un pare-feu32,42,52et72appartenant à un réseau tiers30,40,50, ou à un réseau externe70. Par exemple en recevant les fichiers de contrôle33,43,53,73des pare-feu32,42,52,72. Ces fichiers de contrôle33,43,53,73contiennent classiquement un ensemble de flux réseau.An example of implementing the method for detecting the propagation of toxic flows is described with reference to the . In a first step 110 , the trusted third party or an administrator of the network of interest 20 recovers the network flows captured by at least one firewall 32 , 42 , 52 and 72 belonging to a third party network 30 , 40 , 50 , or to an external network 70 . For example by receiving control files 33 , 43 , 53 , 73 from firewalls 32 , 42 , 52 , 72 . These control files 33 , 43 , 53 , 73 conventionally contain a set of network flows.

Dans une étape111, de la même manière que dans l’étape101de la , lorsque les flux réseau des réseaux tiers sont récupérés, chaque adresse IP de destination et de provenance est comparée, une à une, à la base de données comprenant les adresses IP toxiques64. Chaque flux réseau lié à une adresse IP toxique est alors stocké dans un fichier de flux toxique63intégrant, pour chaque période de temps, par exemple pour chaque jour ou pour chaque heure, l’ensemble des flux toxiques.In a step 111 , in the same way as in step 101 of the , when the network flows from third-party networks are retrieved, each destination and origin IP address is compared, one by one, to the database comprising the toxic IP addresses 64 . Each network flow linked to a toxic IP address is then stored in a toxic flow file 63 integrating, for each period of time, for example for each day or for each hour, all of the toxic flows.

Ensuite, dans une étape112, l’identification de la nature du risque est effectuée pour rechercher si chaque flux toxique présente un risque de propagation dans le réseau d’intérêt20ou simplement pour la sécurité informatique d’un réseau tiers30,40,50.Then, in a step 112 , the identification of the nature of the risk is carried out to investigate whether each toxic flow presents a risk of propagation in the network of interest 20 or simply for the IT security of a third party network 30 , 40 , 50 .

Pour ce faire, l’organe d’analyse61tente de caractériser chaque type d’attaque informatique sur la base de scénarii utilisant des informations obtenues à partir des flux toxiques détectés, tels que les ports utilisés pour les attaques ou l’horodatage et le volume de données des attaques. Ces scénarii permettent de rechercher les attaques avec un risque fort de propagation et les attaque avec un risque faible de propagation. A l’issue de cette étape112, les attaques avec un risque faible de propagation sont supprimées du fichier de flux toxique63.To do this, the analysis unit 61 attempts to characterize each type of computer attack on the basis of scenarios using information obtained from the toxic flows detected, such as the ports used for the attacks or the timestamp and the volume of data from attacks. These scenarios make it possible to search for attacks with a high risk of propagation and attack them with a low risk of propagation. At the end of this step 112 , the attacks with a low risk of propagation are deleted from the toxic flow file 63 .

L’étape113vise ensuite à caractériser si ces attaques restantes dans fichier de flux toxique63se sont réellement propagées dans le réseau d’intérêt20. Pour ce faire, l’organe61recherche si les adresse IP toxiques des différentes attaques restantes dans le fichier de flux toxique63ont ciblé plusieurs adresses IP attaquées différentes. Si tel est le cas, une propagation d’une attaque est caractérisée si plusieurs adresses IP attaquées ont subi une attaque du même type et provenant de la même IP toxique.Step 113 then aims to characterize whether these remaining attacks in toxic flow file 63 have actually propagated in the network of interest 20 . To do this, the body 61 searches if the toxic IP addresses of the different attacks remaining in the toxic flow file 63 have targeted several different attacked IP addresses. If this is the case, a propagation of an attack is characterized if several attacked IP addresses have suffered an attack of the same type and coming from the same toxic IP.

Une propagation se définie donc par un regroupement de flux toxiques comportant une adresse IP toxique, un type d’attaque informatique, et une liste d’adresses IP attaquées.Propagation is therefore defined by a grouping of toxic flows including a toxic IP address, a type of computer attack, and a list of attacked IP addresses.

Pour identifier plus précisément la propagation, il est possible de classer les flux toxiques en fonction de leurs horodatages. Le flux toxique qui dispose de l’horodatage le plus ancien peut donc être identifiée comme le point d’entrée de la propagation de l’attaque. A partir de l’ensemble des flux toxiques, il est également possible de caractériser le type de propagation, point à point si les horodatages sont successifs ou multidiffusion si plusieurs attaques simultanées sont détectées à des intervalles de temps très proches et à destination d’un grand nombre d’adresse IP attaquée.To more precisely identify the spread, it is possible to classify toxic flows based on their timestamps. The toxic flow which has the oldest timestamp can therefore be identified as the entry point for the propagation of the attack. From all the toxic flows, it is also possible to characterize the type of propagation, point to point if the timestamps are successive or multibroadcast if several simultaneous attacks are detected at very close time intervals and to a large number of IP addresses attacked.

Suite à la caractérisation de la propagation, une alerte peut être émise à destination de l’administrateur du réseau d’intérêt20et aux administrateurs des réseau tier30,40,50, dans une étape114. L’alerte peut prendre la même forme que l’alerte définie dans la en ajoutant une représentation visuelle de la propagation du flux toxique sur les différents réseaux concernés. Par exemple, une représentation chronologique de la propagation sur la base des horodatages des flux toxiques, de la géolocalisation des adresses IP attaquées et de l’adresse IP toxique de chaque propagation peut être générée.Following the characterization of the propagation, an alert can be issued to the administrator of the network of interest 20 and to the administrators of the third-party networks 30 , 40 , 50 , in a step 114 . The alert can take the same form as the alert defined in the by adding a visual representation of the propagation of the toxic flow on the different networks concerned. For example, a timeline representation of the spread based on the timestamps of the toxic flows, the geolocation of the attacked IP addresses, and the toxic IP address of each spread can be generated.

Ainsi, à la réception de l’alerte13, l’administrateur du réseau d’intérêt20et les administrateurs des réseau tiers30,40,50peuvent facilement identifier les réseaux tiers30,40,50attaqués, le type d’attaque que ces réseaux ont subi, la nature et la vitesse de la propagation.Thus, upon receipt of the alert 13 , the administrator of the network of interest 20 and the administrators of the third-party networks 30 , 40 , 50 can easily identify the third-party networks 30 , 40 , 50 attacked, the type of attack that these networks suffered from the nature and speed of propagation.

Claims (1)

[néant][none]
FR2205294A 2022-05-09 2022-06-01 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK Pending FR3135335A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2303672A FR3135336A1 (en) 2022-05-09 2023-04-13 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2204382 2022-05-09
FR2204382A FR3135337A1 (en) 2022-05-09 2022-05-09 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK

Publications (1)

Publication Number Publication Date
FR3135335A1 true FR3135335A1 (en) 2023-11-10

Family

ID=88649305

Family Applications (2)

Application Number Title Priority Date Filing Date
FR2204382A Pending FR3135337A1 (en) 2022-05-09 2022-05-09 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK
FR2205294A Pending FR3135335A1 (en) 2022-05-09 2022-06-01 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK

Family Applications Before (1)

Application Number Title Priority Date Filing Date
FR2204382A Pending FR3135337A1 (en) 2022-05-09 2022-05-09 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK

Country Status (1)

Country Link
FR (2) FR3135337A1 (en)

Also Published As

Publication number Publication date
FR3135337A1 (en) 2023-11-10

Similar Documents

Publication Publication Date Title
JP7250703B2 (en) Assessment and remediation of correlation-driven threats
US9118702B2 (en) System and method for generating and refining cyber threat intelligence data
US7325252B2 (en) Network security testing
EP2215801B1 (en) Method for securing a bi-directional communication channel and device for implementing said method
US8572733B1 (en) System and method for active data collection in a network security system
US11080392B2 (en) Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment
US20240129342A1 (en) Integrated security and threat prevention and detection platform
US9160711B1 (en) Internet cleaning and edge delivery
US11916945B2 (en) Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity
CN110311927B (en) Data processing method and device, electronic device and medium
US20210409446A1 (en) Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file
WO2020058619A1 (en) Confidential method for processing logs of a computer system
FR2852754A1 (en) Data transmission system, has fire wall, router and probe detecting abnormal operating conditions based on pre-set system operation, and sending messages to network security manager to activate filtering actions on message reception
Ren et al. Distributed agent-based real time network intrusion forensics system architecture design
EP4044505A1 (en) Detecting botnets
Fry et al. Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks
FR2888695A1 (en) DETECTION OF INTRUSION BY MISMATCHING DATA PACKETS IN A TELECOMMUNICATION NETWORK
EP3205068B1 (en) Method for dynamic adjustment of a level of verbosity of a component of a communications network
FR3135335A1 (en) METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK
CA2747584A1 (en) System and method for generating and refining cyber threat intelligence data
FR3135336A1 (en) METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK
FR3111443A1 (en) Device for analyzing the IT risk of a set of devices connected to a network
Noureldien et al. On firewalls evaluation criteria
EP2773067B1 (en) Method for improving the reliability of alert message generation on a synchronised data network
Casey et al. Network investigations