FR3135336A1 - METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK - Google Patents

METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK Download PDF

Info

Publication number
FR3135336A1
FR3135336A1 FR2303672A FR2303672A FR3135336A1 FR 3135336 A1 FR3135336 A1 FR 3135336A1 FR 2303672 A FR2303672 A FR 2303672A FR 2303672 A FR2303672 A FR 2303672A FR 3135336 A1 FR3135336 A1 FR 3135336A1
Authority
FR
France
Prior art keywords
network
toxic
risk
flow
party
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2303672A
Other languages
French (fr)
Inventor
Fabrice Koszyk
Thierry Veyre
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Serenicity
Original Assignee
Serenicity
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from FR2204382A external-priority patent/FR3135337A1/en
Application filed by Serenicity filed Critical Serenicity
Publication of FR3135336A1 publication Critical patent/FR3135336A1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L’invention concerne une méthode d’analyse du risque informatique d’un réseau d’intérêt (20) échangeant directement ou indirectement des flux réseau avec au moins un réseau tiers (30, 40, 50), comportant les étapes suivantes :- récupération de flux réseaux captés par au moins un pare-feu (32, 42, 52) appartenant à au moins un réseau tiers ;- comparaison des adresses internet de destination et de provenance de chaque flux réseau récupéré avec au moins une base de données d’adresses internet toxiques (64) ; chaque flux réseau intégrant au moins une adresse internet de destination ou de provenance stockée dans ladite une base de données d’adresses internet toxiques correspondant à un flux toxique ; et- identification, pour chaque flux toxique, de la nature du risque afin de déterminer si chaque flux toxique présente un risque pour le réseau d’intérêt ou un desdits au moins un réseau tiers. Figure pour abrégé : Fig 2.The invention relates to a method for analyzing the IT risk of a network of interest (20) directly or indirectly exchanging network flows with at least one third-party network (30, 40, 50), comprising the following steps: - recovery of network flows captured by at least one firewall (32, 42, 52) belonging to at least one third-party network; - comparison of the destination and origin internet addresses of each network flow recovered with at least one database of toxic internet addresses (64); each network flow integrating at least one destination or origin internet address stored in said database of toxic internet addresses corresponding to a toxic flow; and- identification, for each toxic flow, of the nature of the risk in order to determine whether each toxic flow presents a risk for the network of interest or one of said at least one third-party network. Figure for abstract: Fig 2.

Description

METHODE D’ANALYSE DU RISQUE INFORMATIQUE D’UN RESEAU D’INTERET LIE AUX ECHANGES AVEC AU MOINS UN RESEAU TIERSMETHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK Domaine de l’inventionField of the invention

L’invention concerne une méthode permettant de détecter les risques informatiques qui pourraient être engendrés sur un réseau d’intérêt en raison des flux réseau échangés entre ce réseau d’intérêt et au moins un réseau tiers, dont on ne connait pas nécessairement le niveau de sécurité informatique. Par exemple, le réseau d’intérêt peut correspondre à un réseau d’une société, d’une administration ou d’une université, et le réseau tiers peut correspondre au réseau d’un sous-traitant direct ou indirect, ou un organisme collaborant avec la société, l’administration ou l’université.The invention relates to a method making it possible to detect computer risks which could be generated on a network of interest due to network flows exchanged between this network of interest and at least one third party network, the level of which is not necessarily known. IT security. For example, the network of interest may correspond to a network of a company, an administration or a university, and the third-party network may correspond to the network of a direct or indirect subcontractor, or a collaborating organization. with society, the administration or the university.

Le réseau d’intérêt peut également correspondre au réseau d’un opérateur ou au réseau d’un fournisseur de solution de sécurité. Dans ce cas, la méthode peut être utilisée pour détecter la propagation de flux toxiques.The network of interest may also correspond to the network of an operator or the network of a security solution provider. In this case, the method can be used to detect the propagation of toxic flows.

Etat de la techniqueState of the art

De nos jours, un grand nombre d’organismes ont désormais une politique efficace de sécurité informatique. Cependant, d’autre organismes n’ont pas toujours les moyens financiers, l'intérêt ou même la motivation d'assurer une sécurité informatique minimum. Or, la collaboration croissante des organismes impose un grand nombre d’échanges entre les sociétés, les administrations ou encore les universités. Lors de ces échanges, les organismes utilisant une politique de sécurité informatique stricte sont inquiets de la résilience des systèmes d’information de leurs sous-traitants ou collaborateurs face aux attaques informatiques.Nowadays, a large number of organizations now have an effective IT security policy. However, other organizations do not always have the financial means, the interest or even the motivation to ensure minimum IT security. However, the growing collaboration of organizations requires a large number of exchanges between companies, administrations and even universities. During these discussions, organizations using a strict IT security policy are concerned about the resilience of the information systems of their subcontractors or collaborators in the face of computer attacks.

De plus, avec le déploiement d’outils de sécurité informatique avancés, les pirates informatiques utilisent de plus en plus souvent des voies détournées pour attaquer un système d’information en propageant des attaques à travers plusieurs réseaux.In addition, with the deployment of advanced IT security tools, hackers are increasingly using indirect routes to attack an information system by propagating attacks across multiple networks.

Dans le cadre de l’invention, il est possible de distinguer deux types de réseaux, le réseau d’intérêt et les réseaux tiers. Le réseau d’intérêt correspond typiquement au réseau d’un organisme utilisant une politique de sécurité informatique stricte et pour lequel un administrateur réseau souhaite estimer le risque informatique lié aux échanges avec des réseaux externes, appelés réseaux tiers. Ces réseaux tiers correspondent classiquement à des réseaux informatiques de sous-traitants, directs ou indirects ou de collaborateurs.In the context of the invention, it is possible to distinguish two types of networks, the network of interest and third-party networks. The network of interest typically corresponds to the network of an organization using a strict IT security policy and for which a network administrator wishes to estimate the IT risk linked to exchanges with external networks, called third-party networks. These third-party networks typically correspond to computer networks of direct or indirect subcontractors or employees.

En variante, dans le cadre de la détection de la propagation de flux toxiques, le réseau d’intérêt correspond typiquement à un réseau d’opérateur ou un réseau de fournisseur de solution de sécurité. Les réseaux tiers correspondent alors à des réseaux de clients de l’opérateur ou du fournisseur de solution de sécurité.Alternatively, in the context of detecting the propagation of toxic flows, the network of interest typically corresponds to an operator network or a security solution provider network. Third-party networks then correspond to customer networks of the operator or security solution provider.

Pour analyser un risque informatique d’un réseau, la société demanderesse propose des dispositifs appelés «Detoxio», «Probio» et «Cymealog» intégrants un organe de supervision des flux réseau entrants et sortants de chaque périphérique depuis et vers Internet. Tel que décrit dans le brevet FR2006068, en comparant les adresses IP des flux réseau avec une base de données comportant une liste d’adresses IP toxiques, il est possible de détecter des flux réseau toxiques.To analyze an IT risk of a network, the applicant company offers devices called “ Detoxio ”, “ Probio ” and “ Cymealog ” integrating a monitoring body for incoming and outgoing network flows from each device to and from the Internet. As described in patent FR2006068, by comparing the IP addresses of network flows with a database containing a list of toxic IP addresses, it is possible to detect toxic network flows.

Cette base de données comportant une liste d’adresses IP toxiques peut être obtenue par une solution de captation d’adresses IP par des serveurs leurres, tel que décrit dans le brevet FR1852752.This database comprising a list of toxic IP addresses can be obtained by a solution for capturing IP addresses by decoy servers, as described in patent FR1852752.

Ensuite, un score de vulnérabilité de chaque périphérique est calculé en appliquant un facteur de dix aux flux toxiques sortants par rapport aux flux toxiques entrants. Ce score de vulnérabilité permet d’identifier et de classer le risque informatique lié à chaque périphérique d’un réseau.Then, a vulnerability score for each device is calculated by applying a factor of ten to outgoing toxic flows relative to incoming toxic flows. This vulnerability score makes it possible to identify and classify the IT risk linked to each device on a network.

Cette innovation pourrait être déployée directement sur tous les réseaux tiers connectés à un réseau d’intérêt afin qu’un administrateur du réseau d’intérêt puisse vérifier que les réseaux tiers présentent un risque informatique limité. Cependant, avec cette solution, l’administrateur du réseau d’intérêt recevrait un grand nombre d’alertes, notamment lorsque le réseau d’intérêt est connecté à plusieurs réseaux tiers.This innovation could be deployed directly on all third-party networks connected to a network of interest so that an administrator of the network of interest can verify that third-party networks present limited IT risk. However, with this solution, the administrator of the network of interest would receive a large number of alerts, especially when the network of interest is connected to several third-party networks.

En variante, cette innovation pourrait être déployée sur tous les réseaux tiers connectés au même opérateur ou au même fournisseur de solution de sécurité afin d’alerter et/ou d’informer visuellement les réseaux concernés par une attaque informatique.Alternatively, this innovation could be deployed on all third-party networks connected to the same operator or security solution provider in order to visually alert and/or inform the networks affected by a computer attack.

Le problème technique de l’invention consiste donc à fournir une alerte à un administrateur d’un réseau d’intérêt concernant le risque informatique lié à au moins un réseau tiers connecté au réseau d’intérêt, tout en limitant le nombre d’alertes et sans dégrader la pertinence des alertes.The technical problem of the invention therefore consists of providing an alert to an administrator of a network of interest concerning the IT risk linked to at least one third-party network connected to the network of interest, while limiting the number of alerts and without degrading the relevance of the alerts.

Le problème technique de l’invention peut donc également consister à fournir une alerte à plusieurs réseau tiers appartenant au même opérateur ou au même fournisseur de solution de sécurité. Cette alerte peut contenir plusieurs informations, telles que le type d’attaque, l’étendue de la propagation et les vecteurs de cette propagation. Ces informations peuvent être transmises à chaque réseau tiers concerné par cette attaque et à l’opérateur ou au fournisseur de solution de sécurité.The technical problem of the invention can therefore also consist of providing an alert to several third-party networks belonging to the same operator or the same security solution provider. This alert can contain several pieces of information, such as the type of attack, the extent of the propagation and the vectors of this propagation. This information may be transmitted to each third-party network affected by this attack and to the operator or security solution provider.

Pour résoudre ce problème technique, l’invention propose de détecter les flux toxiques générés sur chaque réseau tiers connecté au réseau d’intérêt et d’analyser la nature des flux toxiques détectés afin de transmettre uniquement une alerte à un administrateur du réseau d’intérêt lorsque des flux toxiques détectés sont potentiellement préjudiciables pour le réseau d’intérêt.To solve this technical problem, the invention proposes to detect the toxic flows generated on each third-party network connected to the network of interest and to analyze the nature of the toxic flows detected in order to only transmit an alert to an administrator of the network of interest. when toxic flows detected are potentially harmful for the network of interest.

Par exemple, si un réseau tiers subit une attaque par déni de service de son site Internet, ce type d'attaque informatique est préjudiciable pour les activités commerciales du réseau tier, mais ne remet pas en cause la sécurité informatique du réseau d’intérêt.For example, if a third-party network suffers a denial of service attack on its website, this type of computer attack is detrimental to the commercial activities of the third-party network, but does not call into question the computer security of the network of interest.

Au contraire, si le réseau tiers subit une attaque par prise de contrôle à distance d'un poste et que ce poste est couramment utilisé pour échanger des informations avec le réseau d’intérêt, ce type d'attaque peut présenter un risque informatique préjudiciable pour le réseau d’intérêt.On the contrary, if the third-party network suffers an attack by taking remote control of a station and this station is commonly used to exchange information with the network of interest, this type of attack can present a detrimental IT risk for the network of interest.

Pour limiter un tel risque informatique, un administrateur du réseau d’intérêt peut imposer aux administrateurs des réseaux tiers de lui transmettre, ou de transmettre à un tiers de confiance comme la société demanderesse, les flux réseau captés par leurs pare-feu. Ces pare-feu sont classiquement appelés «firewall» dans la littérature anglo-saxonne.To limit such IT risk, an administrator of the network of interest can require the administrators of third-party networks to transmit to him, or to transmit to a trusted third party such as the requesting company, the network flows captured by their firewalls. These firewalls are classically called “ firewalls ” in Anglo-Saxon literature.

Dans un autre exemple, si un réseau tiers subit une attaque par prise de contrôle à distance d'un poste et que ce poste est utilisé pour des échanges entre réseaux tiers appartenant au même opérateur ou au même fournisseur de solution de sécurité, alors ce type d’attaque peut se propager dans plusieurs autres réseaux tiers et ainsi créer une propagation du flux toxique.In another example, if a third-party network suffers an attack by taking remote control of a station and this station is used for exchanges between third-party networks belonging to the same operator or to the same security solution provider, then this type The attack can spread to several other third-party networks and thus create a propagation of the toxic flow.

L’invention propose d’analyser les flux réseau captés par les pare-feu des réseaux tiers, de détecter les flux toxiques parmi l’ensemble de ces flux réseau et la nature des échanges associés à ces flux toxiques afin de détecter les flux toxiques potentiellement préjudiciables pour le réseau d’intérêt.The invention proposes to analyze the network flows captured by the firewalls of third-party networks, to detect toxic flows among all of these network flows and the nature of the exchanges associated with these toxic flows in order to detect potentially toxic flows. detrimental to the network of interest.

Ainsi, l’invention permet d’alerter un administrateur du réseau d’intérêt dans le cas où une attaque informatique détectée sur un réseau tiers peut atteindre à la sécurité du réseau d’intérêt.Thus, the invention makes it possible to alert an administrator of the network of interest in the event that a computer attack detected on a third-party network may affect the security of the network of interest.

Au sens de l’invention, un flux toxique correspond à un flux provenant ou à destination d'une adresse IP toxique, c'est-à-dire d'une adresse IP référencée dans une base de données et associée à un pirate informatique ou présentant un risque de vulnérabilité fort. Cette base de données est classiquement constituée et mise à jour régulièrement par des acteurs de la sécurité informatique. Elle peut être téléchargée périodiquement et stockée en interne ou consultée sur une plateforme externe. Cette base de données est préférentiellement obtenue par des serveurs leurres permettant de capter des adresses IP toxiques, tel que décrit dans le brevet FR 1852752.Within the meaning of the invention, a toxic flow corresponds to a flow coming from or destined for a toxic IP address, that is to say an IP address referenced in a database and associated with a computer hacker or presenting a high risk of vulnerability. This database is typically created and regularly updated by IT security players. It can be downloaded periodically and stored internally or viewed on an external platform. This database is preferably obtained by decoy servers making it possible to capture toxic IP addresses, as described in patent FR 1852752.

La présente invention propose une méthode d’analyse du risque informatique d’un réseau d’intérêt échangeant directement ou indirectement des flux réseau avec au moins un réseau tiers, comportant les étapes suivantes :
- récupération d’au moins un flux réseau capté par au moins un pare-feu appartenant à au moins un réseau tiers; chaque flux réseau contenant des adresses internet de destination et de provenance ;
- comparaison des adresses internet de destination et de provenance de chaque flux réseau récupéré avec au moins une base de données d’adresses internet toxiques ; chaque flux réseau intégrant au moins une adresse internet de destination ou de provenance stockée dans ladite une base de données d’adresses internet toxiques correspondant à un flux toxique ; et
- identification, pour chaque flux toxique, de la nature du risque afin de déterminer si chaque flux toxique présente un risque pour le réseau d’intérêt ou un desdits au moins un réseau tiers.The present invention proposes a method for analyzing the IT risk of a network of interest directly or indirectly exchanging network flows with at least one third-party network, comprising the following steps:
- recovery of at least one network flow captured by at least one firewall belonging to at least one third-party network; each network flow containing destination and origin internet addresses;
- comparison of the destination and origin internet addresses of each recovered network flow with at least one database of toxic internet addresses; each network flow integrating at least one destination or origin internet address stored in said database of toxic internet addresses corresponding to a toxic flow; And
- identification, for each toxic flow, of the nature of the risk in order to determine whether each toxic flow presents a risk for the network of interest or one of said at least one third-party network.

Grâce à ces dispositions, les risques peuvent être identifiés d’une façon simple et efficace sur les réseaux tiers, ce qui permet aux administrateurs du réseau d’intérêt de prendre les mesures nécessaires pour éviter que ces risques ne s’y propagent.Thanks to these provisions, risks can be identified in a simple and effective way on third-party networks, which allows administrators of the network of interest to take the necessary measures to prevent these risks from spreading there.

L’étape de récupération d’au moins un flux réseau peut comprendre l’envoi par ledit pare-feu d’au moins un fichier de contrôle vers un organe d’analyse du réseau d’intérêt ou du réseau d’un tiers de confiance, ledit fichier de contrôle comportant lesdites adresses internet de destination et de provenance ; ce qui est un moyen simple et efficace de mettre en œuvre l’invention.The step of recovering at least one network flow may include sending by said firewall at least one control file to an analysis body of the network of interest or the network of a trusted third party , said control file comprising said destination and origin internet addresses; which is a simple and effective way of implementing the invention.

Ledit au moins un fichier de contrôle peut comporter en outre au moins :
- un sens de trafic du flux ;
- un protocole de communication ;
- un numéro de port TCP/IP utilisé pour la connexion ; et
- un horodatage du flux réseau, par exemple la date et l’heure de début et de fin du flux réseau.Said at least one control file may also include at least:
- a direction of traffic flow;
- a communication protocol;
- a TCP/IP port number used for the connection; And
- a timestamp of the network flow, for example the start and end date and time of the network flow.

Ces informations peuvent ensuite être utilisées pour identifier de la façon la plus précise possible la nature du risque correspondant.This information can then be used to identify as precisely as possible the nature of the corresponding risk.

De préférence, ladite base de données d’adresses internet toxiques est obtenue au moins en partie par l’utilisation d’au moins un serveur leurre. Ceci permet de rassembler d’une façon rapide un grand nombre d’adresses internet toxiques.Preferably, said database of toxic internet addresses is obtained at least in part by the use of at least one decoy server. This makes it possible to quickly collect a large number of toxic internet addresses.

L’étape d’identification de la nature du risque peut permettre d’identifier un risque lié à :
- une attaque de type « force brute », si un certain nombre de flux toxiques sont détectés dans des intervalles de temps inférieur à un seuil, et/ou
- une attaque de type « compromission », si ledit flux toxique met en communication un système en dehors de ses heures de fonctionnement habituelles.The step of identifying the nature of the risk can make it possible to identify a risk linked to:
- a “brute force” type attack, if a certain number of toxic flows are detected in time intervals below a threshold, and/or
- a “compromise” type attack, if said toxic flow puts a system into communication outside of its usual operating hours.

Ces attaques étant particulièrement courantes sur le réseau internet, l’invention permet de rapidement les identifier avec des informations facilement accessibles.These attacks being particularly common on the Internet, the invention makes it possible to quickly identify them with easily accessible information.

L’étape d’identification de la nature du risque peut comprendre l’utilisation d’informations connues sur au moins une adresse internet liée audit flux toxique et stockées dans ladite base de données d’adresses internet toxiques, ces informations se rapportant par exemple à un certain type d’attaque ; ce qui permet d’améliorer la précision de l’identification de la nature du risque.The step of identifying the nature of the risk may include the use of information known on at least one internet address linked to said toxic flow and stored in said database of toxic internet addresses, this information relating for example to a certain type of attack; which makes it possible to improve the precision of identifying the nature of the risk.

L’étape d’identification de la nature du risque peut comporter les sous-étapes suivantes :
- détermination du risque de propagation en fonction d’un type d’attaque identifié,
- si une attaque à risque fort de propagation est identifiée, analyse du niveau de propagation en considérant le nombre d’adresses internet ayant subies une attaque de même nature à partir d’une adresse internet unique.The step of identifying the nature of the risk may include the following sub-steps:
- determination of the risk of propagation based on an identified type of attack,
- if an attack with a high risk of propagation is identified, analysis of the level of propagation by considering the number of internet addresses having suffered an attack of the same nature from a single internet address.

L’analyse du niveau de propagation permet aux administrateurs réseau de prêter une attention plus importante aux attaques à haut niveau de propagation, et par exemple de prendre des actions défensives plus rapidement.Propagation level analysis allows network administrators to pay closer attention to attacks with high propagation levels, and for example take defensive actions more quickly.

Ladite méthode d’analyse du risque informatique peut comporter en outre les étapes suivantes :
- stockage de chaque flux réseau toxique dans un fichier de flux toxique ;
- pour chaque flux toxique ne présentant aucun risque pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers, suppression dudit flux toxique du fichier de flux toxiques.Said IT risk analysis method may also include the following steps:
- storage of each toxic network flow in a toxic flow file;
- for each toxic flow presenting no risk to the IT security of the network of interest or one of said at least one third-party network, deletion of said toxic flow from the toxic flow file.

Ceci permet de garder des traces des flux toxiques pour des analyses complémentaires ou pour se constituer des preuves de l’attaque, le fichier pouvant être nettoyé pour ne pas contenir les flux pour lesquels le risque identifié est considéré comme négligeable ou inexistant. La conservation des traces peut également être utilisée pour faire une analyse à posteriori, afin de comprendre le flux qui a transporté la charge virale et mettre en place les contre-mesures pour que l’incident ne se reproduise plus.This makes it possible to keep traces of toxic flows for additional analyzes or to build up evidence of the attack, the file can be cleaned to not contain flows for which the identified risk is considered negligible or non-existent. The preservation of traces can also be used to carry out a posteriori analysis, in order to understand the flow which transported the viral load and put in place countermeasures so that the incident does not happen again.

Ladite méthode d’analyse du risque informatique peut comporter en outre l’étape suivante :
- pour chaque flux toxique présentant un risque pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers, transmission d’une alerte à un administrateur du réseau d’intérêt ou à un tiers de confiance.Said IT risk analysis method may also include the following step:
- for each toxic flow presenting a risk to the IT security of the network of interest or one of said at least one third-party network, transmission of an alert to an administrator of the network of interest or to a trusted third party.

Ceci permet à l’administrateur de rapidement prendre les mesures qu’impose le risque.This allows the administrator to quickly take the measures required by the risk.

Ladite méthode d’analyse du risque informatique peut comporter en outre l’étape suivante :
- configuration d’une interface par l’administrateur du réseau d’intérêt ou par le tiers de confiance, permettant de sélectionner au moins un type de risque pertinent pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers ;
- pour chaque flux toxique identifié comme correspondant à un type de risque sélectionné à l’étape précédente, transmission d’une alerte à l’administrateur du réseau d’intérêt ou au tiers de confiance.Said IT risk analysis method may also include the following step:
- configuration of an interface by the administrator of the network of interest or by the trusted third party, making it possible to select at least one type of risk relevant to the IT security of the network of interest or of one of said at least one network third party ;
- for each toxic flow identified as corresponding to a type of risk selected in the previous step, transmission of an alert to the administrator of the network of interest or to the trusted third party.

Ceci permet à l’administrateur de ne pas être alerté lorsque le risque identifié est considéré par lui comme n’étant pas important, et de se concentrer ainsi sur les risques importants.This allows the administrator not to be alerted when the identified risk is considered not to be important, and to therefore concentrate on the important risks.

Description sommaire des figuresSummary description of the figures

La manière de réaliser l’invention ainsi que les avantages qui en découlent, ressortiront bien des modes de réalisation qui suivent, donnés à titre indicatif mais non limitatif, à l’appui des figures dans lesquelles :The manner of carrying out the invention as well as the advantages which result therefrom will emerge from the following embodiments, given for information only but not limitation, in support of the figures in which:

La est une vue schématique d’un premier exemple d’architecture réseau dans lequel l’invention peut être implémentée ; There is a schematic view of a first example of network architecture in which the invention can be implemented;

La est une vue schématique de l’architecture de la , avec en complément un tiers de confiance auquel sont envoyés les flux toxiques ; There is a schematic view of the architecture of the , with the addition of a trusted third party to whom the toxic flows are sent;

La est une vue schématique d’un premier mode de réalisation de la méthode d’analyse du risque informatique selon l’invention ; There is a schematic view of a first embodiment of the IT risk analysis method according to the invention;

La est une vue schématique d’un deuxième exemple d’architecture réseau dans lequel l’invention peut être implémentée ; There is a schematic view of a second example of network architecture in which the invention can be implemented;

La est une vue schématique de l’architecture de la , avec en complément un tiers de confiance auquel sont envoyés les flux toxiques ; et There is a schematic view of the architecture of the , with the addition of a trusted third party to whom the toxic flows are sent; And

La est une vue schématique d’un deuxième mode de réalisation de la méthode d’analyse du risque informatique selon l’invention. There is a schematic view of a second embodiment of the IT risk analysis method according to the invention.

Description détaillée de l’inventionDetailed description of the invention

La illustre un exemple d’architecture réseau dans lequel l’invention peut être implémentée. Dans cet exemple, plusieurs réseaux20,30,40et50communiquent entre eux. Plus précisément, le réseau20échange des flux réseau11aavec les réseaux30et40alors que le réseau50échange des flux réseau11bavec le réseau40. Le réseau20peut correspondre au réseau d’une grande société, alors que les réseaux30et40sont les réseaux de sous-traitants directs de cette grande société, et que le réseau50est un réseau d’un sous-traitant indirect. Au sens de l’invention, le réseau20correspond au réseau d’intérêt alors que les réseaux30,40et50sont des réseaux tiers, directs ou indirects.There illustrates an example of network architecture in which the invention can be implemented. In this example, several networks 20 , 30 , 40 and 50 communicate with each other. More precisely, the network 20 exchanges network flows 11a with the networks 30 and 40 while the network 50 exchanges network flows 11b with the network 40 . Network 20 may correspond to the network of a large company, while networks 30 and 40 are the networks of direct subcontractors of this large company, and network 50 is a network of an indirect subcontractor. For the purposes of the invention, network 20 corresponds to the network of interest while networks 30 , 40 and 50 are third-party networks, direct or indirect.

Par exemple, le réseau tiers30peut correspondre au réseau d’un prestataire en charge de gérer les différentes imprimantes du réseau d’intérêt20, notamment pour déployer à distance les mises à jour de celles-ci.For example, the third-party network 30 may correspond to the network of a service provider responsible for managing the various printers of the network of interest 20 , in particular to remotely deploy their updates.

Pour ce faire, le prestataire utilise un serveur31du réseau tiers30pour se connecter à un périphérique2 4du réseau d’intérêt20. L’invention vise notamment à vérifier qu’une attaque informatique réalisée sur le réseau tiers30ne puisse entraîner une vulnérabilité du réseau d’intérêt20par l’intermédiaire des flux réseau existants11aentre le réseau tiers30et le réseau d’intérêt20.To do this, the service provider uses a server 31 of the third-party network 30 to connect to a device 2 4 of the network of interest 20 . The invention aims in particular to verify that a computer attack carried out on the third-party network 30 cannot lead to a vulnerability of the network of interest 20 via the existing network flows 11a between the third-party network 30 and the network of interest 20 .

Le réseau tiers40peut correspondre au réseau d’un prestataire en charge de la gestion des postes téléphoniques25des différents bureaux du réseau d’intérêt20.The third-party network 40 may correspond to the network of a service provider in charge of managing the telephone sets 25 of the different offices of the network of interest 20 .

Pour ce faire, le prestataire utilise un serveur41du réseau tiers40pour se connecter aux postes téléphoniques2 5du réseau d’intérêt20.To do this, the service provider uses a server 41 of the third-party network 40 to connect to the telephone sets 25 of the network of interest 20 .

L’invention vise également à vérifier qu’une attaque informatique réalisée sur le réseau tiers40ne puisse entraîner une vulnérabilité du réseau d’intérêt20par l’intermédiaire des flux réseau existants11aentre le réseau tiers40et le réseau d’intérêt20.The invention also aims to verify that a computer attack carried out on the third-party network 40 cannot lead to a vulnerability of the network of interest 20 via the existing network flows 11a between the third-party network 40 and the network of interest 20 .

Le réseau tiers50peut correspondre au réseau d’un prestataire en charge de la gestion de systèmes de climatisation44connectés du réseau tiers40. Pour ce faire, des flux réseau11bsont générés entre un serveur51du réseau tiers50et les systèmes de climatisation44du réseau tiers40. En ce qui concerne les réseaux tiers indirects, l’invention peut également être implémentée pour vérifier qu’une attaque informatique réalisée sur le réseau tiers50ne puisse entraîner une vulnérabilité du réseau tiers40et propager la vulnérabilité sur le réseau d’intérêt20, par l’intermédiaire des flux réseau11 aet11 b.The third-party network 50 may correspond to the network of a service provider responsible for managing air conditioning systems 44 connected to the third-party network 40 . To do this, network flows 11b are generated between a server 51 of the third-party network 50 and the air conditioning systems 44 of the third-party network 40 . With regard to indirect third-party networks, the invention can also be implemented to verify that a computer attack carried out on the third-party network 50 cannot cause a vulnerability of the third-party network 40 and propagate the vulnerability on the network of interest 20 , via network flows 11 a and 11 b .

Par ailleurs, chaque réseau tiers30,40et50est protégé par un pare-feu dédié32,42et52, géré classiquement par plusieurs administrateurs réseau distincts. Ces pare-feu32,42et52intègrent des fichiers de contrôle33,43,53permettant de retracer un historique des flux réseau11a,11btraversant le pare-feu. Ces fichiers de contrôle33,43,53sont également appelés « logs » dans la littérature anglo-saxonne.Furthermore, each third-party network 30 , 40 and 50 is protected by a dedicated firewall 32 , 42 and 52 , conventionally managed by several separate network administrators. These firewalls 32 , 42 and 52 integrate control files 33 , 43 , 53 making it possible to trace a history of the network flows 11a , 11b crossing the firewall. These control files 33 , 43 , 53 are also called “logs” in the Anglo-Saxon literature.

Tel qu’illustré sur la , les pare-feu32,42, et52des réseaux tiers30,40,50sont en outre configurés pour transmettre leurs fichiers de contrôle33,43,53. Ces fichiers de contrôle33,43,53peuvent être transmis à un administrateur du réseau d’intérêt20ou à un tiers de confiance. Pour ce faire, un message sécurisé direct12apeut être transmis entre les pare-feu32,42et un organe d’analyse61d’un réseau60du tiers de confiance.As illustrated on the , the firewalls 32 , 42 , and 52 of the third-party networks 30 , 40 , 50 are further configured to transmit their control files 33 , 43 , 53 . These control files 33 , 43 , 53 can be transmitted to an administrator of the network of interest 20 or to a trusted third party. To do this, a direct secure message 12a can be transmitted between the firewalls 32 , 42 and an analysis unit 61 of a network 60 of the trusted third party.

Pour le réseau tiers indirect50, le pare-feu52peut être configuré pour transmettre le fichier de contrôle53directement au tiers de confiance60, ou indirectement en passant par un administrateur du réseau tiers40auquel il est connecté.For the indirect third-party network 50 , the firewall 52 can be configured to transmit the control file 53 directly to the trusted third party 60 , or indirectly through an administrator of the third-party network 40 to which it is connected.

Dans l’exemple de la , un message sécurisé12best transmis entre le pare-feu52et un organe d’analyse61d’un réseau60du tiers de confiance en passant par le réseau tiers40.In the example of the , a secure message 12b is transmitted between the firewall 52 and an analysis unit 61 of a network 60 of the trusted third party via the third party network 40 .

Plus précisément, cet organe d’analyse61parcourt les fichiers de contrôle33,43,53, détecte des flux toxiques parmi l’ensemble des flux réseau présents dans ces fichiers de contrôle33,43,53et recherche la nature des échanges associés à ces flux toxiques afin de détecter les flux toxiques potentiellement préjudiciables pour le réseau d’intérêt20.More precisely, this analysis unit 61 scans the control files 33 , 43 , 53 , detects toxic flows among all the network flows present in these control files 33 , 43 , 53 and searches for the nature of the exchanges associated with these toxic flows in order to detect toxic flows potentially harmful to the network of interest 20 .

Lorsqu’au moins un flux toxique potentiellement préjudiciable pour le réseau d’intérêt20est détecté, l’organe d’analyse61génère une alerte13à destination d’un administrateur du réseau d’intérêt20. Cette alerte13peut contenir des informations contextualisées en fonction des besoins de l’administrateur du réseau d’intérêt20.When at least one toxic flow potentially harmful to the network of interest 20 is detected, the analysis unit 61 generates an alert 13 intended for an administrator of the network of interest 20 . This alert 13 may contain contextualized information according to the needs of the administrator of the network of interest 20 .

Un exemple de mise en place de la méthode d’analyse du risque informatique est décrit en référence à la . Dans une première étape10 0, le tiers de confiance ou un administrateur du réseau d’intérêt20récupère les flux réseau captés par au moins un pare-feu32,4 2,5 2appartenant à un réseau tiers30,40,50, par exemple en recevant les fichiers de contrôle33,43,53des pare-feu3 2,4 2,5 2. Ces fichiers de contrôle33,43,53contiennent classiquement un ensemble de flux réseau avec, pour chaque flux réseau, au moins :
- une adresse IP de provenance ;
- une adresse IP de destination ;
- un sens de trafic du flux ;
- un type de port utilisé pour la connexion ; et
- un horodatage du flux réseau, typiquement la date et l’heure de début et de fin du flux réseau.An example of implementing the IT risk analysis method is described with reference to the . In a first step 10 0 , the trusted third party or an administrator of the network of interest 20 recovers the network flows captured by at least one firewall 32 , 4 2 , 5 2 belonging to a third party network 30 , 40 , 50 , for example by receiving the control files 33 , 43 , 53 from the firewalls 3 2 , 4 2 , 5 2 . These control files 33 , 43 , 53 conventionally contain a set of network flows with, for each network flow, at least:
- a source IP address;
- a destination IP address;
- a direction of traffic flow;
- a type of port used for the connection; And
- a timestamp of the network flow, typically the start and end date and time of the network flow.

Lorsque les flux réseau des réseaux tiers sont récupérés, chaque adresse IP de destination et de provenance est comparée, une à une, à la base de données comprenant les adresses IP toxiques64, dans une étape101. Chaque flux réseau lié à une adresse IP toxique est alors stocké dans un fichier de flux toxique63intégrant, pour chaque période de temps, par exemple pour chaque jour ou pour chaque heure, l’ensemble des flux toxiques.When the network flows from third-party networks are retrieved, each destination and origin IP address is compared, one by one, to the database comprising the toxic IP addresses 64 , in a step 101 . Each network flow linked to a toxic IP address is then stored in a toxic flow file 63 integrating, for each period of time, for example for each day or for each hour, all of the toxic flows.

Ensuite, dans une étape102, l’identification de la nature du risque est effectuée pour détecter si chaque flux toxique présente un risque pour la sécurité informatique du réseau d’intérêt20ou simplement pour la sécurité informatique d’un réseau tiers30,40,50.Then, in a step 102 , the identification of the nature of the risk is carried out to detect whether each toxic flow presents a risk for the IT security of the network of interest 20 or simply for the IT security of a third party network 30 , 40 , 50 .

Dans le cadre de la présente invention, la notion de « type » ou de « nature » de risque peut renvoyer aux types de risques utilisés dans les indicateurs de compromission ou « IOC » tels que formalisés par exemple dans le langage STIX©, ou encore aux types de risques listés dans le dictionnaire CVE maintenu par l’organisme MITRE.In the context of the present invention, the notion of “type” or “nature” of risk can refer to the types of risks used in indicators of compromise or “IOCs” as formalized for example in the STIX © language, or even to the types of risks listed in the CVE dictionary maintained by the MITER organization.

Pour ce faire, l’organe d’analyse61tente de caractériser chaque type d’attaque informatique sur la base de scénarii utilisant des informations obtenues à partir des flux toxiques détectés.To do this, the analysis unit 61 attempts to characterize each type of computer attack on the basis of scenarios using information obtained from the toxic flows detected.

Par exemple, une attaque de type « force brute » peut être caractérisée lorsque plusieurs flux toxiques sont détectés dans des intervalles de temps très proches, typiquement si la même adresse IP toxique à communiqué avec la même adresse IP attaquée plus de deux cent fois dans la même journée.For example, a “brute force” type attack can be characterized when several toxic flows are detected in very close time intervals, typically if the same toxic IP address communicated with the same IP address attacked more than two hundred times in the same day.

De plus, les heures d’attaques peuvent être utilisées comme indice pour caractériser les attaques de type « compromission », par exemple la compromission d’un système de fermeture de porte. Typiquement, si une adresse IP toxique communique avec un système de fermeture de porte en dehors des heures habituelles, alors l’organe d’analyse61peut catégoriser une attaque de type « compromission ».Additionally, attack times can be used as an index to characterize compromise attacks, for example the compromise of a door locking system. Typically, if a toxic IP address communicates with a door locking system outside of usual hours, then the analysis unit 61 can categorize a “compromise” type attack.

Il est également possible d’utiliser des informations connues sur l’adresse IP toxique détectée, éventuellement présentes dans la base de données d’adresses toxiques64, telles que le type d’attaque généralement associé à cette adresse IP toxique détectée. Ces informations, aussi appelées indicateurs de compromission, ou « IOC », peuvent être intégrées dans la base de données d’adresses IP toxiques ou accessibles sur un serveur externe. Les informations connues peuvent aussi comprendre les entrées du dictionnaire « CVE », qui peuvent être intégrées à la base de données d’adresses toxiques64. Par exemple, s’il est connu que l’adresse IP toxique détectée est basée sur un complexe militaire, il est possible de caractériser le type d’attaque informatique comme une attaque de type « militaire ».It is also possible to use known information about the detected toxic IP address, possibly present in the toxic address database 64 , such as the type of attack generally associated with this detected toxic IP address. This information, also called indicators of compromise, or “IOCs”, can be integrated into the database of toxic IP addresses or accessible on an external server. Known information may also include “CVE” dictionary entries, which may be included in the Toxic Address Database 64 . For example, if it is known that the detected toxic IP address is based on a military complex, it is possible to characterize the type of computer attack as a “military” type attack.

Selon un autre exemple, s’il est connu que l’adresse IP toxique détectée héberge un serveur de commande et contrôle d’un programme malveillant de chiffrement de données, également connu sous les termes «command-and-control» dans la littérature anglo-saxonne, alors il est possible de caractériser le type d’attaque informatique comme une attaque de type « command center ».In another example, if the detected toxic IP address is known to host a command-and-control server for data-encrypting malware, also known as " command-and-control " in the English literature -Saxon, then it is possible to characterize the type of computer attack as a “command center” type attack.

Par ailleurs, les ports utilisés pour les attaques peuvent également permettre de caractériser le type d’attaque. Typiquement, le port TCP/IP « 22 » correspond au port SSH, ou «Secure Shell» dans la littérature anglo-saxonne.Furthermore, the ports used for attacks can also help characterize the type of attack. Typically, TCP/IP port “22” corresponds to the SSH port, or “ Secure Shell ” in English literature.

Ce port « 22 » est utilisé pour prendre le contrôle des machines distantes. Ainsi, si un pirate informatique arrive à prendre le contrôle d’un périphérique d’un réseau tiers30,40,50, il est possible de caractériser le type d’attaque informatique comme une attaque de type « cheval de Troie ».This port “22” is used to take control of remote machines. Thus, if a hacker manages to take control of a device on a third-party network 30 , 40 , 50 , it is possible to characterize the type of computer attack as a “Trojan horse” type attack.

Ainsi, un grand nombre de scenarii peuvent être implémentés pour caractériser chaque type d’attaque informatique.Thus, a large number of scenarios can be implemented to characterize each type of computer attack.

A l’aide de cette caractérisation, un grand nombre d’attaques informatiques peuvent être supprimées du fichier de flux toxiques63car elles ne sont pas potentiellement préjudiciables pour le réseau d’intérêt20.Using this characterization, a large number of computer attacks can be removed from the toxic flow file 63 because they are not potentially harmful to the network of interest 20 .

Pour les flux toxiques potentiellement préjudiciables pour le réseau d’intérêt20, une alerte13peut être transmisse à l’administrateur du réseau d’intérêt20, dans une étape103. Pour limiter le nombre d’alertes reçues, l’administrateur du réseau d’intérêt20peut avoir une interface permettant de sélectionner les types d’attaque, par exemple « force brute », « compromission », « rançongiciel », « militaire », « masquée », « command center » et « cheval de Troie », pour lesquelles il souhaite recevoir une alerte13.For toxic flows potentially harmful to the network of interest 20 , an alert 13 can be transmitted to the administrator of the network of interest 20 , in a step 103 . To limit the number of alerts received, the administrator of the network of interest 20 may have an interface allowing the types of attack to be selected, for example "brute force", "compromise", "ransomware", "military", “hidden”, “command center” and “Trojan horse”, for which he wishes to receive an alert 13 .

Ainsi, si une attaque de type « force brute » est caractérisée dans l’étape102et que l’administrateur ne souhaite pas recevoir ce type d’information, alors aucune alerte ne sera transmise à l’administrateur du réseau d’intérêt20. Thus, if a “brute force” type attack is characterized in step 102 and the administrator does not wish to receive this type of information, then no alert will be transmitted to the administrator of the network of interest 20.

Cette alerte13peut prendre différentes formes en fonction des besoins de l’administrateur du réseau d’intérêt20. Par exemple, l’alerte13peut être affichée sur une carte en utilisant la géolocalisation de l’adresse IP toxique détectée, de l’adresse IP attaquée ou encore d’une adresse IP du réseau d’intérêt20qui a communiqué avec l’adresse IP attaquée. En outre, chaque alerte13peut présenter une forme différente en fonction de la nature de l’attaque.This alert 13 can take different forms depending on the needs of the administrator of the network of interest 20 . For example, the alert 13 can be displayed on a map using the geolocation of the detected toxic IP address, the attacked IP address or even an IP address of the network of interest 20 which communicated with the IP address attacked. In addition, each alert 13 may have a different form depending on the nature of the attack.

Ainsi, à la réception de l’alerte13, l’administrateur du réseau d’intérêt20peut facilement voir les réseaux tiers30,40,50directement ou indirectement attaqués, le type d’attaque que ces réseaux ont subi et le sens de trafic du flux de ces attaques.Thus, upon receipt of the alert 13 , the administrator of the network of interest 20 can easily see the third-party networks 30 , 40 , 50 directly or indirectly attacked, the type of attack that these networks have suffered and the meaning of traffic flow of these attacks.

Pour conclure, l’invention permet de fournir une alerte13à un administrateur d’un réseau d’intérêt20concernant le risque informatique lié à au moins un réseau tiers30,40,50connecté directement ou indirectement au réseau d’intérêt20. Par ailleurs, l’invention propose également de limiter les informations transmises à l’administrateur du réseau d’intérêt20afin de lui transmettre uniquement des alertes13pertinentes. En recevant une ou plusieurs adresses IP du réseau d’intérêt20pour lesquelles il existe un risque informatique, l’administrateur peut agir en conséquence. Par exemple, il peut mener des investigations et éventuellement déconnecter un périphérique du réseau.To conclude, the invention makes it possible to provide an alert 13 to an administrator of a network of interest 20 concerning the IT risk linked to at least one third-party network 30 , 40 , 50 connected directly or indirectly to the network of interest 20 . Furthermore, the invention also proposes to limit the information transmitted to the administrator of the network of interest 20 in order to transmit only relevant alerts 13 to him. By receiving one or more IP addresses of the network of interest 20 for which there is an IT risk, the administrator can act accordingly. For example, it can investigate and possibly disconnect a device from the network.

L’exemple de la illustre une architecture réseau dans laquelle l’invention peut être implémentée pour détecter la propagation de flux toxiques.The example of the illustrates a network architecture in which the invention can be implemented to detect the propagation of toxic flows.

Dans cet exemple, plusieurs réseaux30,40et50correspondent à des réseaux tiers de clients appartenant au réseau d’un opérateur ou au réseau d’un fournisseur de solution de sécurité20. Ainsi, le réseau20illustré sur la ne correspond pas à un réseau physique mais à plusieurs réseaux distants qui utilisent un boitier similaire d’un même opérateur ou qui intègrent un dispositif matériel et/ou logiciel d’un même fournisseur de solution de sécurité. Pour les réseaux tiers30, 40,50, des flux réseaux11asont émis pour accéder à internet, par exemple pour accéder à un serveur71du réseau externe70. Plus précisément, lorsqu’un serveur31,41,51appartenant à un réseau tiers30,40,50souhaite accéder à internet, un flux réseaux11atraverse un pare-feu32,42,52du réseau tiers30,40,50ainsi qu’un boitier22d’un opérateur ou un dispositif22matériel et/ou logiciel d’un fournisseur de solution de sécurité.In this example, several networks 30 , 40 and 50 correspond to third-party networks of clients belonging to the network of an operator or to the network of a security solution provider 20 . Thus, the network 20 illustrated on the does not correspond to a physical network but to several remote networks which use a similar box from the same operator or which integrate a hardware and/or software device from the same security solution provider. For third-party networks 30, 40 , 50 , network flows 11a are transmitted to access the Internet, for example to access a server 71 of the external network 70 . More precisely, when a server 31 , 41 , 51 belonging to a third-party network 30 , 40 , 50 wishes to access the Internet, a network flow 11a passes through a firewall 32 , 42 , 52 of the third-party network 30 , 40 , 50 as well than a box 22 from an operator or a hardware and/or software device 22 from a security solution provider.

Tel qu’illustré sur la , un tiers de confiance ou un administrateur du réseau20peut récupérer les fichiers de contrôle33,43,53des pare-feu32,42,52des réseaux tiers30,40,50ou capter ces flux réseaux au niveau des boitiers ou des dispositifs22.As illustrated on the , a trusted third party or an administrator of the network 20 can recover the control files 33 , 43 , 53 of the firewalls 32 , 42 , 52 of the third-party networks 30 , 40 , 50 or capture these network flows at the level of the boxes or devices 22 .

Pour ce faire, tel que décrit précédemment, un message sécurisé direct12apeut être transmis entre les pare-feu32,42,52,72et un organe d’analyse61d’un réseau60du tiers de confiance. Par ailleurs, un ou plusieurs réseaux externes70peuvent également transmettre leurs fichiers de contrôle73des pare-feu72dans un message sécurisé12c.To do this, as described above, a direct secure message 12a can be transmitted between the firewalls 32 , 42 , 52 , 72 and an analysis unit 61 of a network 60 of the trusted third party. Furthermore, one or more external networks 70 can also transmit their control files 73 of the firewalls 72 in a secure message 12c .

Cet organe d’analyse61parcourt les fichiers de contrôle33,43,53,73, détecte des flux toxiques parmi l’ensemble des flux réseau présents dans ces fichiers de contrôle33,43,53,73, recherche la nature des échanges associés à ces flux toxiques, et caractérise les flux toxiques propagés dans les réseaux tiers30,40,50. Lorsqu’au moins un flux toxique propagés dans les réseaux tiers30,40,50, est détecté, l’organe d’analyse61génère une alerte13à destination de l’administrateur du réseau d’intérêt20et éventuellement les administrateurs des réseaux tiers30,40,50, concernés par cette attaque propagée. Cette alerte13peut contenir des informations contextualisées en fonction des besoins de l’administrateur du réseau d’intérêt20.This analysis unit 61 scans the control files 33 , 43 , 53 , 73 , detects toxic flows among all the network flows present in these control files 33 , 43 , 53 , 73 , searches for the nature of the associated exchanges to these toxic flows, and characterizes the toxic flows propagated in third-party networks 30 , 40 , 50 . When at least one toxic flow propagated in third-party networks 30 , 40 , 50 is detected, the analysis unit 61 generates an alert 13 intended for the administrator of the network of interest 20 and possibly the network administrators third parties 30 , 40 , 50 , affected by this propagated attack. This alert 13 may contain contextualized information according to the needs of the administrator of the network of interest 20 .

Un exemple de mise en place de la méthode de détection de la propagation de flux toxiques est décrit en référence à la . Dans une première étape110, le tiers de confiance ou un administrateur du réseau d’intérêt20récupère les flux réseau captés par au moins un pare-feu32,42,52et72appartenant à un réseau tiers30,40,50, ou à un réseau externe70. Par exemple en recevant les fichiers de contrôle33,43,53,73des pare-feu32,42,52,72. Ces fichiers de contrôle33,43,53,73contiennent classiquement un ensemble de flux réseau.An example of implementing the method for detecting the propagation of toxic flows is described with reference to the . In a first step 110 , the trusted third party or an administrator of the network of interest 20 recovers the network flows captured by at least one firewall 32 , 42 , 52 and 72 belonging to a third party network 30 , 40 , 50 , or to an external network 70 . For example by receiving control files 33 , 43 , 53 , 73 from firewalls 32 , 42 , 52 , 72 . These control files 33 , 43 , 53 , 73 conventionally contain a set of network flows.

Dans une étape111, de la même manière que dans l’étape101de la , lorsque les flux réseau des réseaux tiers sont récupérés, chaque adresse IP de destination et de provenance est comparée, une à une, à la base de données comprenant les adresses IP toxiques64. Chaque flux réseau lié à une adresse IP toxique est alors stocké dans un fichier de flux toxique63intégrant, pour chaque période de temps, par exemple pour chaque jour ou pour chaque heure, l’ensemble des flux toxiques.In a step 111 , in the same way as in step 101 of the , when the network flows from third-party networks are retrieved, each destination and origin IP address is compared, one by one, to the database comprising the toxic IP addresses 64 . Each network flow linked to a toxic IP address is then stored in a toxic flow file 63 integrating, for each period of time, for example for each day or for each hour, all of the toxic flows.

Ensuite, dans une étape112, l’identification de la nature du risque est effectuée pour rechercher si chaque flux toxique présente un risque de propagation dans le réseau d’intérêt20ou simplement pour la sécurité informatique d’un réseau tiers30,40,50.Then, in a step 112 , the identification of the nature of the risk is carried out to investigate whether each toxic flow presents a risk of propagation in the network of interest 20 or simply for the IT security of a third party network 30 , 40 , 50 .

Pour ce faire, l’organe d’analyse61tente de caractériser chaque type d’attaque informatique sur la base de scénarii utilisant des informations obtenues à partir des flux toxiques détectés, tels que les ports utilisés pour les attaques ou l’horodatage et le volume de données des attaques. Ces scénarii permettent de rechercher les attaques avec un risque fort de propagation et les attaque avec un risque faible de propagation. A l’issue de cette étape112, les attaques avec un risque faible de propagation sont supprimées du fichier de flux toxique63.To do this, the analysis unit 61 attempts to characterize each type of computer attack on the basis of scenarios using information obtained from the toxic flows detected, such as the ports used for the attacks or the timestamp and the volume of data from attacks. These scenarios make it possible to search for attacks with a high risk of propagation and attack them with a low risk of propagation. At the end of this step 112 , the attacks with a low risk of propagation are deleted from the toxic flow file 63 .

L’étape113vise ensuite à caractériser si ces attaques restantes dans le fichier de flux toxique63se sont réellement propagées dans le réseau d’intérêt20. Pour ce faire, l’organe61recherche si les adresse IP toxiques des différentes attaques restantes dans le fichier de flux toxique63ont ciblé plusieurs adresses IP attaquées différentes. Si tel est le cas, une propagation d’une attaque est caractérisée si plusieurs adresses IP attaquées ont subi une attaque du même type et provenant de la même IP toxique.Step 113 then aims to characterize whether these remaining attacks in the toxic flow file 63 have actually propagated in the network of interest 20 . To do this, the body 61 searches if the toxic IP addresses of the different attacks remaining in the toxic flow file 63 have targeted several different attacked IP addresses. If this is the case, a propagation of an attack is characterized if several attacked IP addresses have suffered an attack of the same type and coming from the same toxic IP.

Une propagation se définit donc par un regroupement de flux toxiques comportant une adresse IP toxique, un type d’attaque informatique, et une liste d’adresses IP attaquées.A propagation is therefore defined by a grouping of toxic flows including a toxic IP address, a type of computer attack, and a list of attacked IP addresses.

Pour identifier plus précisément la propagation, il est possible de classer les flux toxiques en fonction de leurs horodatages. Le flux toxique qui dispose de l’horodatage le plus ancien peut donc être identifiée comme le point d’entrée de la propagation de l’attaque. A partir de l’ensemble des flux toxiques, il est également possible de caractériser le type de propagation, point à point si les horodatages sont successifs ou multidiffusion si plusieurs attaques simultanées sont détectées à des intervalles de temps très proches et à destination d’un grand nombre d’adresse IP attaquée.To more precisely identify the spread, it is possible to classify toxic flows based on their timestamps. The toxic flow which has the oldest timestamp can therefore be identified as the entry point for the propagation of the attack. From all the toxic flows, it is also possible to characterize the type of propagation, point to point if the timestamps are successive or multibroadcast if several simultaneous attacks are detected at very close time intervals and to a large number of IP addresses attacked.

Suite à la caractérisation de la propagation, une alerte peut être émise à destination de l’administrateur du réseau d’intérêt20et aux administrateurs des réseau tier30,40,50, dans une étape114. L’alerte peut prendre la même forme que l’alerte définie dans la en ajoutant une représentation visuelle de la propagation du flux toxique sur les différents réseaux concernés. Par exemple, une représentation chronologique de la propagation sur la base des horodatages des flux toxiques, de la géolocalisation des adresses IP attaquées et de l’adresse IP toxique de chaque propagation peut être générée.Following the characterization of the propagation, an alert can be issued to the administrator of the network of interest 20 and to the administrators of the third-party networks 30 , 40 , 50 , in a step 114 . The alert can take the same form as the alert defined in the by adding a visual representation of the propagation of the toxic flow on the different networks concerned. For example, a timeline representation of the spread based on the timestamps of the toxic flows, the geolocation of the attacked IP addresses, and the toxic IP address of each spread can be generated.

Ainsi, à la réception de l’alerte13, l’administrateur du réseau d’intérêt20et les administrateurs des réseau tiers30,40,50peuvent facilement identifier les réseaux tiers30,40,50attaqués, le type d’attaque que ces réseaux ont subi, la nature et la vitesse de la propagation.Thus, upon receipt of the alert 13 , the administrator of the network of interest 20 and the administrators of the third-party networks 30 , 40 , 50 can easily identify the third-party networks 30 , 40 , 50 attacked, the type of attack that these networks suffered from the nature and speed of propagation.

Claims (10)

Méthode d’analyse du risque informatique d’un réseau d’intérêt (20) échangeant directement ou indirectement des flux réseau (11a, 11b) avec au moins un réseau tiers (30, 40, 50, 70), comportant les étapes suivantes :
- récupération (100, 110) d’au moins un flux réseau (11a, 11b) capté par au moins un pare-feu (32, 42, 52, 72) appartenant à au moins un réseau tiers (30, 40, 50, 70) ; chaque flux réseau (11a, 11b) contenant des adresses internet de destination et de provenance ;
- comparaison (101, 111) des adresses internet de destination et de provenance de chaque flux réseau (11a, 11b) récupéré avec au moins une base de données d’adresses internet toxiques (64) ; chaque flux réseau (11a, 11b) intégrant au moins une adresse internet de destination ou de provenance stockée dans ladite une base de données d’adresses internet toxiques (64) correspondant à un flux toxique ; et
- identification (102, 112), pour chaque flux toxique, de la nature du risque afin de déterminer si chaque flux toxique présente un risque pour le réseau d’intérêt (20) ou un desdits au moins un réseau tiers (30, 40, 50, 70).Method for analyzing the IT risk of a network of interest (20) directly or indirectly exchanging network flows (11a, 11b) with at least one third-party network (30, 40, 50, 70), comprising the following steps:
- recovery (100, 110) of at least one network flow (11a, 11b) captured by at least one firewall (32, 42, 52, 72) belonging to at least one third-party network (30, 40, 50, 70); each network flow (11a, 11b) containing destination and origin internet addresses;
- comparison (101, 111) of the destination and origin internet addresses of each network flow (11a, 11b) recovered with at least one database of toxic internet addresses (64); each network flow (11a, 11b) integrating at least one destination or origin internet address stored in said database of toxic internet addresses (64) corresponding to a toxic flow; And
- identification (102, 112), for each toxic flow, of the nature of the risk in order to determine whether each toxic flow presents a risk for the network of interest (20) or one of said at least one third-party network (30, 40, 50, 70). Méthode d’analyse du risque informatique selon la revendication précédente, dans laquelle l’étape de récupération (100, 110) d’au moins un flux réseau (11a, 11b) comprend l’envoi par ledit pare-feu (32, 42, 52, 72) d’au moins un fichier de contrôle (33, 43, 53, 73) vers un organe d’analyse (61) du réseau d’intérêt (20) ou du réseau d’un tiers de confiance (60), ledit fichier de contrôle (33, 43, 53, 73) comportant lesdites adresses internet de destination et de provenance.Computer risk analysis method according to the preceding claim, in which the step of recovering (100, 110) of at least one network flow (11a, 11b) comprises sending by said firewall (32, 42, 52, 72) from at least one control file (33, 43, 53, 73) to an analysis unit (61) of the network of interest (20) or the network of a trusted third party (60) , said control file (33, 43, 53, 73) comprising said destination and origin internet addresses. Méthode d’analyse du risque informatique selon la revendication précédente, dans laquelle ledit au moins un fichier de contrôle (33, 43, 53, 73) comporte en outre au moins :
- un sens de trafic du flux ;
- un protocole de communication ;
- un numéro de port TCP/IP utilisé pour la connexion ; et
- un horodatage du flux réseau, par exemple la date et l’heure de début et de fin du flux réseau.Computer risk analysis method according to the preceding claim, in which said at least one control file (33, 43, 53, 73) further comprises at least:
- a direction of traffic flow;
- a communication protocol;
- a TCP/IP port number used for the connection; And
- a timestamp of the network flow, for example the start and end date and time of the network flow. Méthode d’analyse du risque informatique selon l’une des revendications précédentes, dans laquelle ladite base de données d’adresses internet toxiques (64) est obtenue au moins en partie par l’utilisation d’au moins un serveur leurre.Computer risk analysis method according to one of the preceding claims, wherein said database of toxic internet addresses (64) is obtained at least in part by the use of at least one decoy server. Méthode d’analyse du risque informatique selon l’une des revendications précédentes, dans laquelle l’étape d’identification de la nature du risque permet d’identifier un risque lié à :
- une attaque de type « force brute », si un certain nombre de flux toxiques sont détectés dans des intervalles de temps inférieur à un seuil, et/ou
- une attaque de type « compromission », si ledit flux toxique met en communication un système en dehors de ses heures de fonctionnement habituelles.Method of analyzing IT risk according to one of the preceding claims, in which the step of identifying the nature of the risk makes it possible to identify a risk linked to:
- a “brute force” type attack, if a certain number of toxic flows are detected in time intervals below a threshold, and/or
- a “compromise” type attack, if said toxic flow puts a system into communication outside of its usual operating hours. Méthode d’analyse du risque informatique selon l’une des revendications précédentes, dans laquelle l’étape d’identification de la nature du risque comprend l’utilisation d’informations connues sur au moins une adresse internet liée audit flux toxique et stockées dans ladite base de données d’adresses internet toxiques (64), ces informations se rapportant par exemple à un certain type d’attaque.Computer risk analysis method according to one of the preceding claims, in which the step of identifying the nature of the risk comprises the use of information known on at least one internet address linked to said toxic flow and stored in said database of toxic internet addresses (64), this information relating for example to a certain type of attack. Méthode d’analyse du risque informatique selon l’une des revendications précédentes, dans laquelle l’étape d’identification de la nature du risque comporte les sous-étapes suivantes :
- détermination (112) du risque de propagation en fonction d’un type d’attaque identifié ;
- si une attaque à risque fort de propagation est identifiée, analyse (113) du niveau de propagation en considérant le nombre d’adresses internet ayant subies une attaque de même nature à partir d’une adresse internet unique.Method of analyzing IT risk according to one of the preceding claims, in which the step of identifying the nature of the risk comprises the following sub-steps:
- determination (112) of the risk of propagation based on an identified type of attack;
- if an attack with a high risk of propagation is identified, analyzes (113) the level of propagation by considering the number of internet addresses having suffered an attack of the same nature from a single internet address. Méthode d’analyse du risque informatique selon l’une des revendications précédentes, dans laquelle la méthode comporte en outre les étapes suivantes :
- stockage de chaque flux réseau toxique dans un fichier de flux toxique (63) ;
- pour chaque flux toxique ne présentant aucun risque pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers, suppression dudit flux toxique du fichier de flux toxiques (63).Method of analyzing IT risk according to one of the preceding claims, in which the method further comprises the following steps:
- storage of each toxic network flow in a toxic flow file (63);
- for each toxic flow presenting no risk to the computer security of the network of interest or of said at least one third-party network, deletion of said toxic flow from the toxic flow file (63). Méthode d’analyse du risque informatique selon l’une des revendications précédentes, dans laquelle la méthode comporte en outre l’étape suivante :
- pour chaque flux toxique présentant un risque pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers, transmission d’une alerte à un administrateur du réseau d’intérêt ou à un tiers de confiance.Method of analyzing IT risk according to one of the preceding claims, in which the method further comprises the following step:
- for each toxic flow presenting a risk to the IT security of the network of interest or one of said at least one third-party network, transmission of an alert to an administrator of the network of interest or to a trusted third party. Méthode d’analyse du risque informatique selon l’une des revendications 1 à 8, dans laquelle la méthode comporte en outre les étapes suivantes :
- configuration d’une interface par l’administrateur du réseau d’intérêt ou par le tiers de confiance, permettant de sélectionner au moins un type de risque pertinent pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers ; et
- pour chaque flux toxique identifié comme correspondant à un type de risque sélectionné à l’étape précédente, transmission d’une alerte à l’administrateur du réseau d’intérêt ou au tiers de confiance.Method of analyzing IT risk according to one of claims 1 to 8, in which the method further comprises the following steps:
- configuration of an interface by the administrator of the network of interest or by the trusted third party, making it possible to select at least one type of risk relevant to the IT security of the network of interest or of one of said at least one network third party ; And
- for each toxic flow identified as corresponding to a type of risk selected in the previous step, transmission of an alert to the administrator of the network of interest or to the trusted third party.
FR2303672A 2022-05-09 2023-04-13 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK Pending FR3135336A1 (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
FR2204382 2022-05-09
FR2204382A FR3135337A1 (en) 2022-05-09 2022-05-09 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK
FR2205294 2022-06-01
FR2205294A FR3135335A1 (en) 2022-05-09 2022-06-01 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK

Publications (1)

Publication Number Publication Date
FR3135336A1 true FR3135336A1 (en) 2023-11-10

Family

ID=87889605

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2303672A Pending FR3135336A1 (en) 2022-05-09 2023-04-13 METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK

Country Status (1)

Country Link
FR (1) FR3135336A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2006068A1 (en) 1968-04-11 1969-12-19 Kyowa Hakko Kogyo Kk
US20210120032A1 (en) * 2019-10-16 2021-04-22 Arbor Networks, Inc. Detecting malicious packets in edge network devices
US20210160283A1 (en) * 2019-11-21 2021-05-27 Arbor Networks, Inc. Management of botnet attacks to a computer network
FR3111443A1 (en) * 2020-06-10 2021-12-17 Serenicity Device for analyzing the IT risk of a set of devices connected to a network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2006068A1 (en) 1968-04-11 1969-12-19 Kyowa Hakko Kogyo Kk
US20210120032A1 (en) * 2019-10-16 2021-04-22 Arbor Networks, Inc. Detecting malicious packets in edge network devices
US20210160283A1 (en) * 2019-11-21 2021-05-27 Arbor Networks, Inc. Management of botnet attacks to a computer network
FR3111443A1 (en) * 2020-06-10 2021-12-17 Serenicity Device for analyzing the IT risk of a set of devices connected to a network

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
GHAFIR IBRAHIM ET AL: "Blacklist-based malicious IP traffic detection", 2015 GLOBAL CONFERENCE ON COMMUNICATION TECHNOLOGIES (GCCT), IEEE, 23 April 2015 (2015-04-23), pages 229 - 233, XP032820971, DOI: 10.1109/GCCT.2015.7342657 *

Similar Documents

Publication Publication Date Title
JP7250703B2 (en) Assessment and remediation of correlation-driven threats
EP2215801B1 (en) Method for securing a bi-directional communication channel and device for implementing said method
US9118702B2 (en) System and method for generating and refining cyber threat intelligence data
US10616258B2 (en) Security information and event management
EP2023533B1 (en) Method and system for classifying traffic in IP networks
US11080392B2 (en) Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment
WO2020058619A1 (en) Confidential method for processing logs of a computer system
FR2852754A1 (en) Data transmission system, has fire wall, router and probe detecting abnormal operating conditions based on pre-set system operation, and sending messages to network security manager to activate filtering actions on message reception
WO2018115359A1 (en) Unidirectional communication system and method
WO2011083226A1 (en) Method for detecting the hijacking of computer resources
Fry et al. Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks
EP3205068B1 (en) Method for dynamic adjustment of a level of verbosity of a component of a communications network
CA2747584C (en) System and method for generating and refining cyber threat intelligence data
FR3135336A1 (en) METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK
FR3135335A1 (en) METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK
FR3111443A1 (en) Device for analyzing the IT risk of a set of devices connected to a network
EP2773067B1 (en) Method for improving the reliability of alert message generation on a synchronised data network
EP4184868A1 (en) Cloud-based deception technology utilizing zero trust to identify threat intelligence, telemetry, and emerging adversary tactics and techniques
US20230164182A1 (en) Cloud-based deception technology utilizing zero trust to identify threat intelligence, telemetry, and emerging adversary tactics and techniques
US20230164183A1 (en) Cloud-based deception technology with granular scoring for breach detection
Korczyński et al. Two methods for detecting malware
EP3035639B1 (en) Method of unauthorized port-scan detection in a computer network, associated computer program and device
Anh et al. A Baseline Investigation into the Evolution and Prevalence of Mirai and Hajime Utilizing a Network Telescope
FR3127352A1 (en) Time management device for transferring data frames from a transmitter to at least one receiver
Van Staden Investigating and Implementing an Email Forensic Readiness Architecture

Legal Events

Date Code Title Description
PLSC Publication of the preliminary search report

Effective date: 20240315

PLFP Fee payment

Year of fee payment: 2