FR3135336A1 - METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK - Google Patents
METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK Download PDFInfo
- Publication number
- FR3135336A1 FR3135336A1 FR2303672A FR2303672A FR3135336A1 FR 3135336 A1 FR3135336 A1 FR 3135336A1 FR 2303672 A FR2303672 A FR 2303672A FR 2303672 A FR2303672 A FR 2303672A FR 3135336 A1 FR3135336 A1 FR 3135336A1
- Authority
- FR
- France
- Prior art keywords
- network
- toxic
- risk
- flow
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 231100000331 toxic Toxicity 0.000 claims abstract description 108
- 230000002588 toxic effect Effects 0.000 claims abstract description 108
- 238000011084 recovery Methods 0.000 claims abstract description 3
- 238000004458 analytical method Methods 0.000 claims description 15
- 238000012502 risk assessment Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 4
- 238000012217 deletion Methods 0.000 claims description 2
- 230000037430 deletion Effects 0.000 claims description 2
- 230000000644 propagated effect Effects 0.000 description 4
- 230000001627 detrimental effect Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000004378 air conditioning Methods 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 239000012141 concentrate Substances 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
L’invention concerne une méthode d’analyse du risque informatique d’un réseau d’intérêt (20) échangeant directement ou indirectement des flux réseau avec au moins un réseau tiers (30, 40, 50), comportant les étapes suivantes :- récupération de flux réseaux captés par au moins un pare-feu (32, 42, 52) appartenant à au moins un réseau tiers ;- comparaison des adresses internet de destination et de provenance de chaque flux réseau récupéré avec au moins une base de données d’adresses internet toxiques (64) ; chaque flux réseau intégrant au moins une adresse internet de destination ou de provenance stockée dans ladite une base de données d’adresses internet toxiques correspondant à un flux toxique ; et- identification, pour chaque flux toxique, de la nature du risque afin de déterminer si chaque flux toxique présente un risque pour le réseau d’intérêt ou un desdits au moins un réseau tiers. Figure pour abrégé : Fig 2.The invention relates to a method for analyzing the IT risk of a network of interest (20) directly or indirectly exchanging network flows with at least one third-party network (30, 40, 50), comprising the following steps: - recovery of network flows captured by at least one firewall (32, 42, 52) belonging to at least one third-party network; - comparison of the destination and origin internet addresses of each network flow recovered with at least one database of toxic internet addresses (64); each network flow integrating at least one destination or origin internet address stored in said database of toxic internet addresses corresponding to a toxic flow; and- identification, for each toxic flow, of the nature of the risk in order to determine whether each toxic flow presents a risk for the network of interest or one of said at least one third-party network. Figure for abstract: Fig 2.
Description
L’invention concerne une méthode permettant de détecter les risques informatiques qui pourraient être engendrés sur un réseau d’intérêt en raison des flux réseau échangés entre ce réseau d’intérêt et au moins un réseau tiers, dont on ne connait pas nécessairement le niveau de sécurité informatique. Par exemple, le réseau d’intérêt peut correspondre à un réseau d’une société, d’une administration ou d’une université, et le réseau tiers peut correspondre au réseau d’un sous-traitant direct ou indirect, ou un organisme collaborant avec la société, l’administration ou l’université.The invention relates to a method making it possible to detect computer risks which could be generated on a network of interest due to network flows exchanged between this network of interest and at least one third party network, the level of which is not necessarily known. IT security. For example, the network of interest may correspond to a network of a company, an administration or a university, and the third-party network may correspond to the network of a direct or indirect subcontractor, or a collaborating organization. with society, the administration or the university.
Le réseau d’intérêt peut également correspondre au réseau d’un opérateur ou au réseau d’un fournisseur de solution de sécurité. Dans ce cas, la méthode peut être utilisée pour détecter la propagation de flux toxiques.The network of interest may also correspond to the network of an operator or the network of a security solution provider. In this case, the method can be used to detect the propagation of toxic flows.
De nos jours, un grand nombre d’organismes ont désormais une politique efficace de sécurité informatique. Cependant, d’autre organismes n’ont pas toujours les moyens financiers, l'intérêt ou même la motivation d'assurer une sécurité informatique minimum. Or, la collaboration croissante des organismes impose un grand nombre d’échanges entre les sociétés, les administrations ou encore les universités. Lors de ces échanges, les organismes utilisant une politique de sécurité informatique stricte sont inquiets de la résilience des systèmes d’information de leurs sous-traitants ou collaborateurs face aux attaques informatiques.Nowadays, a large number of organizations now have an effective IT security policy. However, other organizations do not always have the financial means, the interest or even the motivation to ensure minimum IT security. However, the growing collaboration of organizations requires a large number of exchanges between companies, administrations and even universities. During these discussions, organizations using a strict IT security policy are concerned about the resilience of the information systems of their subcontractors or collaborators in the face of computer attacks.
De plus, avec le déploiement d’outils de sécurité informatique avancés, les pirates informatiques utilisent de plus en plus souvent des voies détournées pour attaquer un système d’information en propageant des attaques à travers plusieurs réseaux.In addition, with the deployment of advanced IT security tools, hackers are increasingly using indirect routes to attack an information system by propagating attacks across multiple networks.
Dans le cadre de l’invention, il est possible de distinguer deux types de réseaux, le réseau d’intérêt et les réseaux tiers. Le réseau d’intérêt correspond typiquement au réseau d’un organisme utilisant une politique de sécurité informatique stricte et pour lequel un administrateur réseau souhaite estimer le risque informatique lié aux échanges avec des réseaux externes, appelés réseaux tiers. Ces réseaux tiers correspondent classiquement à des réseaux informatiques de sous-traitants, directs ou indirects ou de collaborateurs.In the context of the invention, it is possible to distinguish two types of networks, the network of interest and third-party networks. The network of interest typically corresponds to the network of an organization using a strict IT security policy and for which a network administrator wishes to estimate the IT risk linked to exchanges with external networks, called third-party networks. These third-party networks typically correspond to computer networks of direct or indirect subcontractors or employees.
En variante, dans le cadre de la détection de la propagation de flux toxiques, le réseau d’intérêt correspond typiquement à un réseau d’opérateur ou un réseau de fournisseur de solution de sécurité. Les réseaux tiers correspondent alors à des réseaux de clients de l’opérateur ou du fournisseur de solution de sécurité.Alternatively, in the context of detecting the propagation of toxic flows, the network of interest typically corresponds to an operator network or a security solution provider network. Third-party networks then correspond to customer networks of the operator or security solution provider.
Pour analyser un risque informatique d’un réseau, la société demanderesse propose des dispositifs appelés «Detoxio», «Probio» et «Cymealog» intégrants un organe de supervision des flux réseau entrants et sortants de chaque périphérique depuis et vers Internet. Tel que décrit dans le brevet FR2006068, en comparant les adresses IP des flux réseau avec une base de données comportant une liste d’adresses IP toxiques, il est possible de détecter des flux réseau toxiques.To analyze an IT risk of a network, the applicant company offers devices called “ Detoxio ”, “ Probio ” and “ Cymealog ” integrating a monitoring body for incoming and outgoing network flows from each device to and from the Internet. As described in patent FR2006068, by comparing the IP addresses of network flows with a database containing a list of toxic IP addresses, it is possible to detect toxic network flows.
Cette base de données comportant une liste d’adresses IP toxiques peut être obtenue par une solution de captation d’adresses IP par des serveurs leurres, tel que décrit dans le brevet FR1852752.This database comprising a list of toxic IP addresses can be obtained by a solution for capturing IP addresses by decoy servers, as described in patent FR1852752.
Ensuite, un score de vulnérabilité de chaque périphérique est calculé en appliquant un facteur de dix aux flux toxiques sortants par rapport aux flux toxiques entrants. Ce score de vulnérabilité permet d’identifier et de classer le risque informatique lié à chaque périphérique d’un réseau.Then, a vulnerability score for each device is calculated by applying a factor of ten to outgoing toxic flows relative to incoming toxic flows. This vulnerability score makes it possible to identify and classify the IT risk linked to each device on a network.
Cette innovation pourrait être déployée directement sur tous les réseaux tiers connectés à un réseau d’intérêt afin qu’un administrateur du réseau d’intérêt puisse vérifier que les réseaux tiers présentent un risque informatique limité. Cependant, avec cette solution, l’administrateur du réseau d’intérêt recevrait un grand nombre d’alertes, notamment lorsque le réseau d’intérêt est connecté à plusieurs réseaux tiers.This innovation could be deployed directly on all third-party networks connected to a network of interest so that an administrator of the network of interest can verify that third-party networks present limited IT risk. However, with this solution, the administrator of the network of interest would receive a large number of alerts, especially when the network of interest is connected to several third-party networks.
En variante, cette innovation pourrait être déployée sur tous les réseaux tiers connectés au même opérateur ou au même fournisseur de solution de sécurité afin d’alerter et/ou d’informer visuellement les réseaux concernés par une attaque informatique.Alternatively, this innovation could be deployed on all third-party networks connected to the same operator or security solution provider in order to visually alert and/or inform the networks affected by a computer attack.
Le problème technique de l’invention consiste donc à fournir une alerte à un administrateur d’un réseau d’intérêt concernant le risque informatique lié à au moins un réseau tiers connecté au réseau d’intérêt, tout en limitant le nombre d’alertes et sans dégrader la pertinence des alertes.The technical problem of the invention therefore consists of providing an alert to an administrator of a network of interest concerning the IT risk linked to at least one third-party network connected to the network of interest, while limiting the number of alerts and without degrading the relevance of the alerts.
Le problème technique de l’invention peut donc également consister à fournir une alerte à plusieurs réseau tiers appartenant au même opérateur ou au même fournisseur de solution de sécurité. Cette alerte peut contenir plusieurs informations, telles que le type d’attaque, l’étendue de la propagation et les vecteurs de cette propagation. Ces informations peuvent être transmises à chaque réseau tiers concerné par cette attaque et à l’opérateur ou au fournisseur de solution de sécurité.The technical problem of the invention can therefore also consist of providing an alert to several third-party networks belonging to the same operator or the same security solution provider. This alert can contain several pieces of information, such as the type of attack, the extent of the propagation and the vectors of this propagation. This information may be transmitted to each third-party network affected by this attack and to the operator or security solution provider.
Pour résoudre ce problème technique, l’invention propose de détecter les flux toxiques générés sur chaque réseau tiers connecté au réseau d’intérêt et d’analyser la nature des flux toxiques détectés afin de transmettre uniquement une alerte à un administrateur du réseau d’intérêt lorsque des flux toxiques détectés sont potentiellement préjudiciables pour le réseau d’intérêt.To solve this technical problem, the invention proposes to detect the toxic flows generated on each third-party network connected to the network of interest and to analyze the nature of the toxic flows detected in order to only transmit an alert to an administrator of the network of interest. when toxic flows detected are potentially harmful for the network of interest.
Par exemple, si un réseau tiers subit une attaque par déni de service de son site Internet, ce type d'attaque informatique est préjudiciable pour les activités commerciales du réseau tier, mais ne remet pas en cause la sécurité informatique du réseau d’intérêt.For example, if a third-party network suffers a denial of service attack on its website, this type of computer attack is detrimental to the commercial activities of the third-party network, but does not call into question the computer security of the network of interest.
Au contraire, si le réseau tiers subit une attaque par prise de contrôle à distance d'un poste et que ce poste est couramment utilisé pour échanger des informations avec le réseau d’intérêt, ce type d'attaque peut présenter un risque informatique préjudiciable pour le réseau d’intérêt.On the contrary, if the third-party network suffers an attack by taking remote control of a station and this station is commonly used to exchange information with the network of interest, this type of attack can present a detrimental IT risk for the network of interest.
Pour limiter un tel risque informatique, un administrateur du réseau d’intérêt peut imposer aux administrateurs des réseaux tiers de lui transmettre, ou de transmettre à un tiers de confiance comme la société demanderesse, les flux réseau captés par leurs pare-feu. Ces pare-feu sont classiquement appelés «firewall» dans la littérature anglo-saxonne.To limit such IT risk, an administrator of the network of interest can require the administrators of third-party networks to transmit to him, or to transmit to a trusted third party such as the requesting company, the network flows captured by their firewalls. These firewalls are classically called “ firewalls ” in Anglo-Saxon literature.
Dans un autre exemple, si un réseau tiers subit une attaque par prise de contrôle à distance d'un poste et que ce poste est utilisé pour des échanges entre réseaux tiers appartenant au même opérateur ou au même fournisseur de solution de sécurité, alors ce type d’attaque peut se propager dans plusieurs autres réseaux tiers et ainsi créer une propagation du flux toxique.In another example, if a third-party network suffers an attack by taking remote control of a station and this station is used for exchanges between third-party networks belonging to the same operator or to the same security solution provider, then this type The attack can spread to several other third-party networks and thus create a propagation of the toxic flow.
L’invention propose d’analyser les flux réseau captés par les pare-feu des réseaux tiers, de détecter les flux toxiques parmi l’ensemble de ces flux réseau et la nature des échanges associés à ces flux toxiques afin de détecter les flux toxiques potentiellement préjudiciables pour le réseau d’intérêt.The invention proposes to analyze the network flows captured by the firewalls of third-party networks, to detect toxic flows among all of these network flows and the nature of the exchanges associated with these toxic flows in order to detect potentially toxic flows. detrimental to the network of interest.
Ainsi, l’invention permet d’alerter un administrateur du réseau d’intérêt dans le cas où une attaque informatique détectée sur un réseau tiers peut atteindre à la sécurité du réseau d’intérêt.Thus, the invention makes it possible to alert an administrator of the network of interest in the event that a computer attack detected on a third-party network may affect the security of the network of interest.
Au sens de l’invention, un flux toxique correspond à un flux provenant ou à destination d'une adresse IP toxique, c'est-à-dire d'une adresse IP référencée dans une base de données et associée à un pirate informatique ou présentant un risque de vulnérabilité fort. Cette base de données est classiquement constituée et mise à jour régulièrement par des acteurs de la sécurité informatique. Elle peut être téléchargée périodiquement et stockée en interne ou consultée sur une plateforme externe. Cette base de données est préférentiellement obtenue par des serveurs leurres permettant de capter des adresses IP toxiques, tel que décrit dans le brevet FR 1852752.Within the meaning of the invention, a toxic flow corresponds to a flow coming from or destined for a toxic IP address, that is to say an IP address referenced in a database and associated with a computer hacker or presenting a high risk of vulnerability. This database is typically created and regularly updated by IT security players. It can be downloaded periodically and stored internally or viewed on an external platform. This database is preferably obtained by decoy servers making it possible to capture toxic IP addresses, as described in patent FR 1852752.
La présente invention propose une méthode d’analyse du risque informatique d’un réseau d’intérêt échangeant directement ou indirectement des flux réseau avec au moins un réseau tiers, comportant les étapes suivantes :
- récupération d’au moins un flux réseau capté par au moins un pare-feu appartenant à au moins un réseau tiers; chaque flux réseau contenant des adresses internet de destination et de provenance ;
- comparaison des adresses internet de destination et de provenance de chaque flux réseau récupéré avec au moins une base de données d’adresses internet toxiques ; chaque flux réseau intégrant au moins une adresse internet de destination ou de provenance stockée dans ladite une base de données d’adresses internet toxiques correspondant à un flux toxique ; et
- identification, pour chaque flux toxique, de la nature du risque afin de déterminer si chaque flux toxique présente un risque pour le réseau d’intérêt ou un desdits au moins un réseau tiers.The present invention proposes a method for analyzing the IT risk of a network of interest directly or indirectly exchanging network flows with at least one third-party network, comprising the following steps:
- recovery of at least one network flow captured by at least one firewall belonging to at least one third-party network; each network flow containing destination and origin internet addresses;
- comparison of the destination and origin internet addresses of each recovered network flow with at least one database of toxic internet addresses; each network flow integrating at least one destination or origin internet address stored in said database of toxic internet addresses corresponding to a toxic flow; And
- identification, for each toxic flow, of the nature of the risk in order to determine whether each toxic flow presents a risk for the network of interest or one of said at least one third-party network.
Grâce à ces dispositions, les risques peuvent être identifiés d’une façon simple et efficace sur les réseaux tiers, ce qui permet aux administrateurs du réseau d’intérêt de prendre les mesures nécessaires pour éviter que ces risques ne s’y propagent.Thanks to these provisions, risks can be identified in a simple and effective way on third-party networks, which allows administrators of the network of interest to take the necessary measures to prevent these risks from spreading there.
L’étape de récupération d’au moins un flux réseau peut comprendre l’envoi par ledit pare-feu d’au moins un fichier de contrôle vers un organe d’analyse du réseau d’intérêt ou du réseau d’un tiers de confiance, ledit fichier de contrôle comportant lesdites adresses internet de destination et de provenance ; ce qui est un moyen simple et efficace de mettre en œuvre l’invention.The step of recovering at least one network flow may include sending by said firewall at least one control file to an analysis body of the network of interest or the network of a trusted third party , said control file comprising said destination and origin internet addresses; which is a simple and effective way of implementing the invention.
Ledit au moins un fichier de contrôle peut comporter en outre au moins :
- un sens de trafic du flux ;
- un protocole de communication ;
- un numéro de port TCP/IP utilisé pour la connexion ; et
- un horodatage du flux réseau, par exemple la date et l’heure de début et de fin du flux réseau.Said at least one control file may also include at least:
- a direction of traffic flow;
- a communication protocol;
- a TCP/IP port number used for the connection; And
- a timestamp of the network flow, for example the start and end date and time of the network flow.
Ces informations peuvent ensuite être utilisées pour identifier de la façon la plus précise possible la nature du risque correspondant.This information can then be used to identify as precisely as possible the nature of the corresponding risk.
De préférence, ladite base de données d’adresses internet toxiques est obtenue au moins en partie par l’utilisation d’au moins un serveur leurre. Ceci permet de rassembler d’une façon rapide un grand nombre d’adresses internet toxiques.Preferably, said database of toxic internet addresses is obtained at least in part by the use of at least one decoy server. This makes it possible to quickly collect a large number of toxic internet addresses.
L’étape d’identification de la nature du risque peut permettre d’identifier un risque lié à :
- une attaque de type « force brute », si un certain nombre de flux toxiques sont détectés dans des intervalles de temps inférieur à un seuil, et/ou
- une attaque de type « compromission », si ledit flux toxique met en communication un système en dehors de ses heures de fonctionnement habituelles.The step of identifying the nature of the risk can make it possible to identify a risk linked to:
- a “brute force” type attack, if a certain number of toxic flows are detected in time intervals below a threshold, and/or
- a “compromise” type attack, if said toxic flow puts a system into communication outside of its usual operating hours.
Ces attaques étant particulièrement courantes sur le réseau internet, l’invention permet de rapidement les identifier avec des informations facilement accessibles.These attacks being particularly common on the Internet, the invention makes it possible to quickly identify them with easily accessible information.
L’étape d’identification de la nature du risque peut comprendre l’utilisation d’informations connues sur au moins une adresse internet liée audit flux toxique et stockées dans ladite base de données d’adresses internet toxiques, ces informations se rapportant par exemple à un certain type d’attaque ; ce qui permet d’améliorer la précision de l’identification de la nature du risque.The step of identifying the nature of the risk may include the use of information known on at least one internet address linked to said toxic flow and stored in said database of toxic internet addresses, this information relating for example to a certain type of attack; which makes it possible to improve the precision of identifying the nature of the risk.
L’étape d’identification de la nature du risque peut comporter les sous-étapes suivantes :
- détermination du risque de propagation en fonction d’un type d’attaque identifié,
- si une attaque à risque fort de propagation est identifiée, analyse du niveau de propagation en considérant le nombre d’adresses internet ayant subies une attaque de même nature à partir d’une adresse internet unique.The step of identifying the nature of the risk may include the following sub-steps:
- determination of the risk of propagation based on an identified type of attack,
- if an attack with a high risk of propagation is identified, analysis of the level of propagation by considering the number of internet addresses having suffered an attack of the same nature from a single internet address.
L’analyse du niveau de propagation permet aux administrateurs réseau de prêter une attention plus importante aux attaques à haut niveau de propagation, et par exemple de prendre des actions défensives plus rapidement.Propagation level analysis allows network administrators to pay closer attention to attacks with high propagation levels, and for example take defensive actions more quickly.
Ladite méthode d’analyse du risque informatique peut comporter en outre les étapes suivantes :
- stockage de chaque flux réseau toxique dans un fichier de flux toxique ;
- pour chaque flux toxique ne présentant aucun risque pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers, suppression dudit flux toxique du fichier de flux toxiques.Said IT risk analysis method may also include the following steps:
- storage of each toxic network flow in a toxic flow file;
- for each toxic flow presenting no risk to the IT security of the network of interest or one of said at least one third-party network, deletion of said toxic flow from the toxic flow file.
Ceci permet de garder des traces des flux toxiques pour des analyses complémentaires ou pour se constituer des preuves de l’attaque, le fichier pouvant être nettoyé pour ne pas contenir les flux pour lesquels le risque identifié est considéré comme négligeable ou inexistant. La conservation des traces peut également être utilisée pour faire une analyse à posteriori, afin de comprendre le flux qui a transporté la charge virale et mettre en place les contre-mesures pour que l’incident ne se reproduise plus.This makes it possible to keep traces of toxic flows for additional analyzes or to build up evidence of the attack, the file can be cleaned to not contain flows for which the identified risk is considered negligible or non-existent. The preservation of traces can also be used to carry out a posteriori analysis, in order to understand the flow which transported the viral load and put in place countermeasures so that the incident does not happen again.
Ladite méthode d’analyse du risque informatique peut comporter en outre l’étape suivante :
- pour chaque flux toxique présentant un risque pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers, transmission d’une alerte à un administrateur du réseau d’intérêt ou à un tiers de confiance.Said IT risk analysis method may also include the following step:
- for each toxic flow presenting a risk to the IT security of the network of interest or one of said at least one third-party network, transmission of an alert to an administrator of the network of interest or to a trusted third party.
Ceci permet à l’administrateur de rapidement prendre les mesures qu’impose le risque.This allows the administrator to quickly take the measures required by the risk.
Ladite méthode d’analyse du risque informatique peut comporter en outre l’étape suivante :
- configuration d’une interface par l’administrateur du réseau d’intérêt ou par le tiers de confiance, permettant de sélectionner au moins un type de risque pertinent pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers ;
- pour chaque flux toxique identifié comme correspondant à un type de risque sélectionné à l’étape précédente, transmission d’une alerte à l’administrateur du réseau d’intérêt ou au tiers de confiance.Said IT risk analysis method may also include the following step:
- configuration of an interface by the administrator of the network of interest or by the trusted third party, making it possible to select at least one type of risk relevant to the IT security of the network of interest or of one of said at least one network third party ;
- for each toxic flow identified as corresponding to a type of risk selected in the previous step, transmission of an alert to the administrator of the network of interest or to the trusted third party.
Ceci permet à l’administrateur de ne pas être alerté lorsque le risque identifié est considéré par lui comme n’étant pas important, et de se concentrer ainsi sur les risques importants.This allows the administrator not to be alerted when the identified risk is considered not to be important, and to therefore concentrate on the important risks.
La manière de réaliser l’invention ainsi que les avantages qui en découlent, ressortiront bien des modes de réalisation qui suivent, donnés à titre indicatif mais non limitatif, à l’appui des figures dans lesquelles :The manner of carrying out the invention as well as the advantages which result therefrom will emerge from the following embodiments, given for information only but not limitation, in support of the figures in which:
La
Par exemple, le réseau tiers30peut correspondre au réseau d’un prestataire en charge de gérer les différentes imprimantes du réseau d’intérêt20, notamment pour déployer à distance les mises à jour de celles-ci.For example, the third-party network 30 may correspond to the network of a service provider responsible for managing the various printers of the network of interest 20 , in particular to remotely deploy their updates.
Pour ce faire, le prestataire utilise un serveur31du réseau tiers30pour se connecter à un périphérique2 4du réseau d’intérêt20. L’invention vise notamment à vérifier qu’une attaque informatique réalisée sur le réseau tiers30ne puisse entraîner une vulnérabilité du réseau d’intérêt20par l’intermédiaire des flux réseau existants11aentre le réseau tiers30et le réseau d’intérêt20.To do this, the service provider uses a server 31 of the third-party network 30 to connect to a device 2 4 of the network of interest 20 . The invention aims in particular to verify that a computer attack carried out on the third-party network 30 cannot lead to a vulnerability of the network of interest 20 via the existing network flows 11a between the third-party network 30 and the network of interest 20 .
Le réseau tiers40peut correspondre au réseau d’un prestataire en charge de la gestion des postes téléphoniques25des différents bureaux du réseau d’intérêt20.The third-party network 40 may correspond to the network of a service provider in charge of managing the telephone sets 25 of the different offices of the network of interest 20 .
Pour ce faire, le prestataire utilise un serveur41du réseau tiers40pour se connecter aux postes téléphoniques2 5du réseau d’intérêt20.To do this, the service provider uses a server 41 of the third-party network 40 to connect to the telephone sets 25 of the network of interest 20 .
L’invention vise également à vérifier qu’une attaque informatique réalisée sur le réseau tiers40ne puisse entraîner une vulnérabilité du réseau d’intérêt20par l’intermédiaire des flux réseau existants11aentre le réseau tiers40et le réseau d’intérêt20.The invention also aims to verify that a computer attack carried out on the third-party network 40 cannot lead to a vulnerability of the network of interest 20 via the existing network flows 11a between the third-party network 40 and the network of interest 20 .
Le réseau tiers50peut correspondre au réseau d’un prestataire en charge de la gestion de systèmes de climatisation44connectés du réseau tiers40. Pour ce faire, des flux réseau11bsont générés entre un serveur51du réseau tiers50et les systèmes de climatisation44du réseau tiers40. En ce qui concerne les réseaux tiers indirects, l’invention peut également être implémentée pour vérifier qu’une attaque informatique réalisée sur le réseau tiers50ne puisse entraîner une vulnérabilité du réseau tiers40et propager la vulnérabilité sur le réseau d’intérêt20, par l’intermédiaire des flux réseau11 aet11 b.The third-party network 50 may correspond to the network of a service provider responsible for managing air conditioning systems 44 connected to the third-party network 40 . To do this, network flows 11b are generated between a server 51 of the third-party network 50 and the air conditioning systems 44 of the third-party network 40 . With regard to indirect third-party networks, the invention can also be implemented to verify that a computer attack carried out on the third-party network 50 cannot cause a vulnerability of the third-party network 40 and propagate the vulnerability on the network of interest 20 , via network flows 11 a and 11 b .
Par ailleurs, chaque réseau tiers30,40et50est protégé par un pare-feu dédié32,42et52, géré classiquement par plusieurs administrateurs réseau distincts. Ces pare-feu32,42et52intègrent des fichiers de contrôle33,43,53permettant de retracer un historique des flux réseau11a,11btraversant le pare-feu. Ces fichiers de contrôle33,43,53sont également appelés « logs » dans la littérature anglo-saxonne.Furthermore, each third-party network 30 , 40 and 50 is protected by a dedicated firewall 32 , 42 and 52 , conventionally managed by several separate network administrators. These firewalls 32 , 42 and 52 integrate control files 33 , 43 , 53 making it possible to trace a history of the network flows 11a , 11b crossing the firewall. These control files 33 , 43 , 53 are also called “logs” in the Anglo-Saxon literature.
Tel qu’illustré sur la
Pour le réseau tiers indirect50, le pare-feu52peut être configuré pour transmettre le fichier de contrôle53directement au tiers de confiance60, ou indirectement en passant par un administrateur du réseau tiers40auquel il est connecté.For the indirect third-party network 50 , the firewall 52 can be configured to transmit the control file 53 directly to the trusted third party 60 , or indirectly through an administrator of the third-party network 40 to which it is connected.
Dans l’exemple de la
Plus précisément, cet organe d’analyse61parcourt les fichiers de contrôle33,43,53, détecte des flux toxiques parmi l’ensemble des flux réseau présents dans ces fichiers de contrôle33,43,53et recherche la nature des échanges associés à ces flux toxiques afin de détecter les flux toxiques potentiellement préjudiciables pour le réseau d’intérêt20.More precisely, this analysis unit 61 scans the control files 33 , 43 , 53 , detects toxic flows among all the network flows present in these control files 33 , 43 , 53 and searches for the nature of the exchanges associated with these toxic flows in order to detect toxic flows potentially harmful to the network of interest 20 .
Lorsqu’au moins un flux toxique potentiellement préjudiciable pour le réseau d’intérêt20est détecté, l’organe d’analyse61génère une alerte13à destination d’un administrateur du réseau d’intérêt20. Cette alerte13peut contenir des informations contextualisées en fonction des besoins de l’administrateur du réseau d’intérêt20.When at least one toxic flow potentially harmful to the network of interest 20 is detected, the analysis unit 61 generates an alert 13 intended for an administrator of the network of interest 20 . This alert 13 may contain contextualized information according to the needs of the administrator of the network of interest 20 .
Un exemple de mise en place de la méthode d’analyse du risque informatique est décrit en référence à la
- une adresse IP de provenance ;
- une adresse IP de destination ;
- un sens de trafic du flux ;
- un type de port utilisé pour la connexion ; et
- un horodatage du flux réseau, typiquement la date et l’heure de début et de fin du flux réseau.An example of implementing the IT risk analysis method is described with reference to the
- a source IP address;
- a destination IP address;
- a direction of traffic flow;
- a type of port used for the connection; And
- a timestamp of the network flow, typically the start and end date and time of the network flow.
Lorsque les flux réseau des réseaux tiers sont récupérés, chaque adresse IP de destination et de provenance est comparée, une à une, à la base de données comprenant les adresses IP toxiques64, dans une étape101. Chaque flux réseau lié à une adresse IP toxique est alors stocké dans un fichier de flux toxique63intégrant, pour chaque période de temps, par exemple pour chaque jour ou pour chaque heure, l’ensemble des flux toxiques.When the network flows from third-party networks are retrieved, each destination and origin IP address is compared, one by one, to the database comprising the toxic IP addresses 64 , in a step 101 . Each network flow linked to a toxic IP address is then stored in a toxic flow file 63 integrating, for each period of time, for example for each day or for each hour, all of the toxic flows.
Ensuite, dans une étape102, l’identification de la nature du risque est effectuée pour détecter si chaque flux toxique présente un risque pour la sécurité informatique du réseau d’intérêt20ou simplement pour la sécurité informatique d’un réseau tiers30,40,50.Then, in a step 102 , the identification of the nature of the risk is carried out to detect whether each toxic flow presents a risk for the IT security of the network of interest 20 or simply for the IT security of a third party network 30 , 40 , 50 .
Dans le cadre de la présente invention, la notion de « type » ou de « nature » de risque peut renvoyer aux types de risques utilisés dans les indicateurs de compromission ou « IOC » tels que formalisés par exemple dans le langage STIX©, ou encore aux types de risques listés dans le dictionnaire CVE maintenu par l’organisme MITRE.In the context of the present invention, the notion of “type” or “nature” of risk can refer to the types of risks used in indicators of compromise or “IOCs” as formalized for example in the STIX © language, or even to the types of risks listed in the CVE dictionary maintained by the MITER organization.
Pour ce faire, l’organe d’analyse61tente de caractériser chaque type d’attaque informatique sur la base de scénarii utilisant des informations obtenues à partir des flux toxiques détectés.To do this, the analysis unit 61 attempts to characterize each type of computer attack on the basis of scenarios using information obtained from the toxic flows detected.
Par exemple, une attaque de type « force brute » peut être caractérisée lorsque plusieurs flux toxiques sont détectés dans des intervalles de temps très proches, typiquement si la même adresse IP toxique à communiqué avec la même adresse IP attaquée plus de deux cent fois dans la même journée.For example, a “brute force” type attack can be characterized when several toxic flows are detected in very close time intervals, typically if the same toxic IP address communicated with the same IP address attacked more than two hundred times in the same day.
De plus, les heures d’attaques peuvent être utilisées comme indice pour caractériser les attaques de type « compromission », par exemple la compromission d’un système de fermeture de porte. Typiquement, si une adresse IP toxique communique avec un système de fermeture de porte en dehors des heures habituelles, alors l’organe d’analyse61peut catégoriser une attaque de type « compromission ».Additionally, attack times can be used as an index to characterize compromise attacks, for example the compromise of a door locking system. Typically, if a toxic IP address communicates with a door locking system outside of usual hours, then the analysis unit 61 can categorize a “compromise” type attack.
Il est également possible d’utiliser des informations connues sur l’adresse IP toxique détectée, éventuellement présentes dans la base de données d’adresses toxiques64, telles que le type d’attaque généralement associé à cette adresse IP toxique détectée. Ces informations, aussi appelées indicateurs de compromission, ou « IOC », peuvent être intégrées dans la base de données d’adresses IP toxiques ou accessibles sur un serveur externe. Les informations connues peuvent aussi comprendre les entrées du dictionnaire « CVE », qui peuvent être intégrées à la base de données d’adresses toxiques64. Par exemple, s’il est connu que l’adresse IP toxique détectée est basée sur un complexe militaire, il est possible de caractériser le type d’attaque informatique comme une attaque de type « militaire ».It is also possible to use known information about the detected toxic IP address, possibly present in the toxic address database 64 , such as the type of attack generally associated with this detected toxic IP address. This information, also called indicators of compromise, or “IOCs”, can be integrated into the database of toxic IP addresses or accessible on an external server. Known information may also include “CVE” dictionary entries, which may be included in the Toxic Address Database 64 . For example, if it is known that the detected toxic IP address is based on a military complex, it is possible to characterize the type of computer attack as a “military” type attack.
Selon un autre exemple, s’il est connu que l’adresse IP toxique détectée héberge un serveur de commande et contrôle d’un programme malveillant de chiffrement de données, également connu sous les termes «command-and-control» dans la littérature anglo-saxonne, alors il est possible de caractériser le type d’attaque informatique comme une attaque de type « command center ».In another example, if the detected toxic IP address is known to host a command-and-control server for data-encrypting malware, also known as " command-and-control " in the English literature -Saxon, then it is possible to characterize the type of computer attack as a “command center” type attack.
Par ailleurs, les ports utilisés pour les attaques peuvent également permettre de caractériser le type d’attaque. Typiquement, le port TCP/IP « 22 » correspond au port SSH, ou «Secure Shell» dans la littérature anglo-saxonne.Furthermore, the ports used for attacks can also help characterize the type of attack. Typically, TCP/IP port “22” corresponds to the SSH port, or “ Secure Shell ” in English literature.
Ce port « 22 » est utilisé pour prendre le contrôle des machines distantes. Ainsi, si un pirate informatique arrive à prendre le contrôle d’un périphérique d’un réseau tiers30,40,50, il est possible de caractériser le type d’attaque informatique comme une attaque de type « cheval de Troie ».This port “22” is used to take control of remote machines. Thus, if a hacker manages to take control of a device on a third-party network 30 , 40 , 50 , it is possible to characterize the type of computer attack as a “Trojan horse” type attack.
Ainsi, un grand nombre de scenarii peuvent être implémentés pour caractériser chaque type d’attaque informatique.Thus, a large number of scenarios can be implemented to characterize each type of computer attack.
A l’aide de cette caractérisation, un grand nombre d’attaques informatiques peuvent être supprimées du fichier de flux toxiques63car elles ne sont pas potentiellement préjudiciables pour le réseau d’intérêt20.Using this characterization, a large number of computer attacks can be removed from the toxic flow file 63 because they are not potentially harmful to the network of interest 20 .
Pour les flux toxiques potentiellement préjudiciables pour le réseau d’intérêt20, une alerte13peut être transmisse à l’administrateur du réseau d’intérêt20, dans une étape103. Pour limiter le nombre d’alertes reçues, l’administrateur du réseau d’intérêt20peut avoir une interface permettant de sélectionner les types d’attaque, par exemple « force brute », « compromission », « rançongiciel », « militaire », « masquée », « command center » et « cheval de Troie », pour lesquelles il souhaite recevoir une alerte13.For toxic flows potentially harmful to the network of interest 20 , an alert 13 can be transmitted to the administrator of the network of interest 20 , in a step 103 . To limit the number of alerts received, the administrator of the network of interest 20 may have an interface allowing the types of attack to be selected, for example "brute force", "compromise", "ransomware", "military", “hidden”, “command center” and “Trojan horse”, for which he wishes to receive an alert 13 .
Ainsi, si une attaque de type « force brute » est caractérisée dans l’étape102et que l’administrateur ne souhaite pas recevoir ce type d’information, alors aucune alerte ne sera transmise à l’administrateur du réseau d’intérêt20. Thus, if a “brute force” type attack is characterized in step 102 and the administrator does not wish to receive this type of information, then no alert will be transmitted to the administrator of the network of interest 20.
Cette alerte13peut prendre différentes formes en fonction des besoins de l’administrateur du réseau d’intérêt20. Par exemple, l’alerte13peut être affichée sur une carte en utilisant la géolocalisation de l’adresse IP toxique détectée, de l’adresse IP attaquée ou encore d’une adresse IP du réseau d’intérêt20qui a communiqué avec l’adresse IP attaquée. En outre, chaque alerte13peut présenter une forme différente en fonction de la nature de l’attaque.This alert 13 can take different forms depending on the needs of the administrator of the network of interest 20 . For example, the alert 13 can be displayed on a map using the geolocation of the detected toxic IP address, the attacked IP address or even an IP address of the network of interest 20 which communicated with the IP address attacked. In addition, each alert 13 may have a different form depending on the nature of the attack.
Ainsi, à la réception de l’alerte13, l’administrateur du réseau d’intérêt20peut facilement voir les réseaux tiers30,40,50directement ou indirectement attaqués, le type d’attaque que ces réseaux ont subi et le sens de trafic du flux de ces attaques.Thus, upon receipt of the alert 13 , the administrator of the network of interest 20 can easily see the third-party networks 30 , 40 , 50 directly or indirectly attacked, the type of attack that these networks have suffered and the meaning of traffic flow of these attacks.
Pour conclure, l’invention permet de fournir une alerte13à un administrateur d’un réseau d’intérêt20concernant le risque informatique lié à au moins un réseau tiers30,40,50connecté directement ou indirectement au réseau d’intérêt20. Par ailleurs, l’invention propose également de limiter les informations transmises à l’administrateur du réseau d’intérêt20afin de lui transmettre uniquement des alertes13pertinentes. En recevant une ou plusieurs adresses IP du réseau d’intérêt20pour lesquelles il existe un risque informatique, l’administrateur peut agir en conséquence. Par exemple, il peut mener des investigations et éventuellement déconnecter un périphérique du réseau.To conclude, the invention makes it possible to provide an alert 13 to an administrator of a network of interest 20 concerning the IT risk linked to at least one third-party network 30 , 40 , 50 connected directly or indirectly to the network of interest 20 . Furthermore, the invention also proposes to limit the information transmitted to the administrator of the network of interest 20 in order to transmit only relevant alerts 13 to him. By receiving one or more IP addresses of the network of interest 20 for which there is an IT risk, the administrator can act accordingly. For example, it can investigate and possibly disconnect a device from the network.
L’exemple de la
Dans cet exemple, plusieurs réseaux30,40et50correspondent à des réseaux tiers de clients appartenant au réseau d’un opérateur ou au réseau d’un fournisseur de solution de sécurité20. Ainsi, le réseau20illustré sur la
Tel qu’illustré sur la
Pour ce faire, tel que décrit précédemment, un message sécurisé direct12apeut être transmis entre les pare-feu32,42,52,72et un organe d’analyse61d’un réseau60du tiers de confiance. Par ailleurs, un ou plusieurs réseaux externes70peuvent également transmettre leurs fichiers de contrôle73des pare-feu72dans un message sécurisé12c.To do this, as described above, a direct secure message 12a can be transmitted between the firewalls 32 , 42 , 52 , 72 and an analysis unit 61 of a network 60 of the trusted third party. Furthermore, one or more external networks 70 can also transmit their control files 73 of the firewalls 72 in a secure message 12c .
Cet organe d’analyse61parcourt les fichiers de contrôle33,43,53,73, détecte des flux toxiques parmi l’ensemble des flux réseau présents dans ces fichiers de contrôle33,43,53,73, recherche la nature des échanges associés à ces flux toxiques, et caractérise les flux toxiques propagés dans les réseaux tiers30,40,50. Lorsqu’au moins un flux toxique propagés dans les réseaux tiers30,40,50, est détecté, l’organe d’analyse61génère une alerte13à destination de l’administrateur du réseau d’intérêt20et éventuellement les administrateurs des réseaux tiers30,40,50, concernés par cette attaque propagée. Cette alerte13peut contenir des informations contextualisées en fonction des besoins de l’administrateur du réseau d’intérêt20.This analysis unit 61 scans the control files 33 , 43 , 53 , 73 , detects toxic flows among all the network flows present in these control files 33 , 43 , 53 , 73 , searches for the nature of the associated exchanges to these toxic flows, and characterizes the toxic flows propagated in third-party networks 30 , 40 , 50 . When at least one toxic flow propagated in third-party networks 30 , 40 , 50 is detected, the analysis unit 61 generates an alert 13 intended for the administrator of the network of interest 20 and possibly the network administrators third parties 30 , 40 , 50 , affected by this propagated attack. This alert 13 may contain contextualized information according to the needs of the administrator of the network of interest 20 .
Un exemple de mise en place de la méthode de détection de la propagation de flux toxiques est décrit en référence à la
Dans une étape111, de la même manière que dans l’étape101de la
Ensuite, dans une étape112, l’identification de la nature du risque est effectuée pour rechercher si chaque flux toxique présente un risque de propagation dans le réseau d’intérêt20ou simplement pour la sécurité informatique d’un réseau tiers30,40,50.Then, in a step 112 , the identification of the nature of the risk is carried out to investigate whether each toxic flow presents a risk of propagation in the network of interest 20 or simply for the IT security of a third party network 30 , 40 , 50 .
Pour ce faire, l’organe d’analyse61tente de caractériser chaque type d’attaque informatique sur la base de scénarii utilisant des informations obtenues à partir des flux toxiques détectés, tels que les ports utilisés pour les attaques ou l’horodatage et le volume de données des attaques. Ces scénarii permettent de rechercher les attaques avec un risque fort de propagation et les attaque avec un risque faible de propagation. A l’issue de cette étape112, les attaques avec un risque faible de propagation sont supprimées du fichier de flux toxique63.To do this, the analysis unit 61 attempts to characterize each type of computer attack on the basis of scenarios using information obtained from the toxic flows detected, such as the ports used for the attacks or the timestamp and the volume of data from attacks. These scenarios make it possible to search for attacks with a high risk of propagation and attack them with a low risk of propagation. At the end of this step 112 , the attacks with a low risk of propagation are deleted from the toxic flow file 63 .
L’étape113vise ensuite à caractériser si ces attaques restantes dans le fichier de flux toxique63se sont réellement propagées dans le réseau d’intérêt20. Pour ce faire, l’organe61recherche si les adresse IP toxiques des différentes attaques restantes dans le fichier de flux toxique63ont ciblé plusieurs adresses IP attaquées différentes. Si tel est le cas, une propagation d’une attaque est caractérisée si plusieurs adresses IP attaquées ont subi une attaque du même type et provenant de la même IP toxique.Step 113 then aims to characterize whether these remaining attacks in the toxic flow file 63 have actually propagated in the network of interest 20 . To do this, the body 61 searches if the toxic IP addresses of the different attacks remaining in the toxic flow file 63 have targeted several different attacked IP addresses. If this is the case, a propagation of an attack is characterized if several attacked IP addresses have suffered an attack of the same type and coming from the same toxic IP.
Une propagation se définit donc par un regroupement de flux toxiques comportant une adresse IP toxique, un type d’attaque informatique, et une liste d’adresses IP attaquées.A propagation is therefore defined by a grouping of toxic flows including a toxic IP address, a type of computer attack, and a list of attacked IP addresses.
Pour identifier plus précisément la propagation, il est possible de classer les flux toxiques en fonction de leurs horodatages. Le flux toxique qui dispose de l’horodatage le plus ancien peut donc être identifiée comme le point d’entrée de la propagation de l’attaque. A partir de l’ensemble des flux toxiques, il est également possible de caractériser le type de propagation, point à point si les horodatages sont successifs ou multidiffusion si plusieurs attaques simultanées sont détectées à des intervalles de temps très proches et à destination d’un grand nombre d’adresse IP attaquée.To more precisely identify the spread, it is possible to classify toxic flows based on their timestamps. The toxic flow which has the oldest timestamp can therefore be identified as the entry point for the propagation of the attack. From all the toxic flows, it is also possible to characterize the type of propagation, point to point if the timestamps are successive or multibroadcast if several simultaneous attacks are detected at very close time intervals and to a large number of IP addresses attacked.
Suite à la caractérisation de la propagation, une alerte peut être émise à destination de l’administrateur du réseau d’intérêt20et aux administrateurs des réseau tier30,40,50, dans une étape114. L’alerte peut prendre la même forme que l’alerte définie dans la
Ainsi, à la réception de l’alerte13, l’administrateur du réseau d’intérêt20et les administrateurs des réseau tiers30,40,50peuvent facilement identifier les réseaux tiers30,40,50attaqués, le type d’attaque que ces réseaux ont subi, la nature et la vitesse de la propagation.Thus, upon receipt of the alert 13 , the administrator of the network of interest 20 and the administrators of the third-party networks 30 , 40 , 50 can easily identify the third-party networks 30 , 40 , 50 attacked, the type of attack that these networks suffered from the nature and speed of propagation.
Claims (10)
- récupération (100, 110) d’au moins un flux réseau (11a, 11b) capté par au moins un pare-feu (32, 42, 52, 72) appartenant à au moins un réseau tiers (30, 40, 50, 70) ; chaque flux réseau (11a, 11b) contenant des adresses internet de destination et de provenance ;
- comparaison (101, 111) des adresses internet de destination et de provenance de chaque flux réseau (11a, 11b) récupéré avec au moins une base de données d’adresses internet toxiques (64) ; chaque flux réseau (11a, 11b) intégrant au moins une adresse internet de destination ou de provenance stockée dans ladite une base de données d’adresses internet toxiques (64) correspondant à un flux toxique ; et
- identification (102, 112), pour chaque flux toxique, de la nature du risque afin de déterminer si chaque flux toxique présente un risque pour le réseau d’intérêt (20) ou un desdits au moins un réseau tiers (30, 40, 50, 70).Method for analyzing the IT risk of a network of interest (20) directly or indirectly exchanging network flows (11a, 11b) with at least one third-party network (30, 40, 50, 70), comprising the following steps:
- recovery (100, 110) of at least one network flow (11a, 11b) captured by at least one firewall (32, 42, 52, 72) belonging to at least one third-party network (30, 40, 50, 70); each network flow (11a, 11b) containing destination and origin internet addresses;
- comparison (101, 111) of the destination and origin internet addresses of each network flow (11a, 11b) recovered with at least one database of toxic internet addresses (64); each network flow (11a, 11b) integrating at least one destination or origin internet address stored in said database of toxic internet addresses (64) corresponding to a toxic flow; And
- identification (102, 112), for each toxic flow, of the nature of the risk in order to determine whether each toxic flow presents a risk for the network of interest (20) or one of said at least one third-party network (30, 40, 50, 70).
- un sens de trafic du flux ;
- un protocole de communication ;
- un numéro de port TCP/IP utilisé pour la connexion ; et
- un horodatage du flux réseau, par exemple la date et l’heure de début et de fin du flux réseau.Computer risk analysis method according to the preceding claim, in which said at least one control file (33, 43, 53, 73) further comprises at least:
- a direction of traffic flow;
- a communication protocol;
- a TCP/IP port number used for the connection; And
- a timestamp of the network flow, for example the start and end date and time of the network flow.
- une attaque de type « force brute », si un certain nombre de flux toxiques sont détectés dans des intervalles de temps inférieur à un seuil, et/ou
- une attaque de type « compromission », si ledit flux toxique met en communication un système en dehors de ses heures de fonctionnement habituelles.Method of analyzing IT risk according to one of the preceding claims, in which the step of identifying the nature of the risk makes it possible to identify a risk linked to:
- a “brute force” type attack, if a certain number of toxic flows are detected in time intervals below a threshold, and/or
- a “compromise” type attack, if said toxic flow puts a system into communication outside of its usual operating hours.
- détermination (112) du risque de propagation en fonction d’un type d’attaque identifié ;
- si une attaque à risque fort de propagation est identifiée, analyse (113) du niveau de propagation en considérant le nombre d’adresses internet ayant subies une attaque de même nature à partir d’une adresse internet unique.Method of analyzing IT risk according to one of the preceding claims, in which the step of identifying the nature of the risk comprises the following sub-steps:
- determination (112) of the risk of propagation based on an identified type of attack;
- if an attack with a high risk of propagation is identified, analyzes (113) the level of propagation by considering the number of internet addresses having suffered an attack of the same nature from a single internet address.
- stockage de chaque flux réseau toxique dans un fichier de flux toxique (63) ;
- pour chaque flux toxique ne présentant aucun risque pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers, suppression dudit flux toxique du fichier de flux toxiques (63).Method of analyzing IT risk according to one of the preceding claims, in which the method further comprises the following steps:
- storage of each toxic network flow in a toxic flow file (63);
- for each toxic flow presenting no risk to the computer security of the network of interest or of said at least one third-party network, deletion of said toxic flow from the toxic flow file (63).
- pour chaque flux toxique présentant un risque pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers, transmission d’une alerte à un administrateur du réseau d’intérêt ou à un tiers de confiance.Method of analyzing IT risk according to one of the preceding claims, in which the method further comprises the following step:
- for each toxic flow presenting a risk to the IT security of the network of interest or one of said at least one third-party network, transmission of an alert to an administrator of the network of interest or to a trusted third party.
- configuration d’une interface par l’administrateur du réseau d’intérêt ou par le tiers de confiance, permettant de sélectionner au moins un type de risque pertinent pour la sécurité informatique du réseau d’intérêt ou d’un desdits au moins un réseau tiers ; et
- pour chaque flux toxique identifié comme correspondant à un type de risque sélectionné à l’étape précédente, transmission d’une alerte à l’administrateur du réseau d’intérêt ou au tiers de confiance.Method of analyzing IT risk according to one of claims 1 to 8, in which the method further comprises the following steps:
- configuration of an interface by the administrator of the network of interest or by the trusted third party, making it possible to select at least one type of risk relevant to the IT security of the network of interest or of one of said at least one network third party ; And
- for each toxic flow identified as corresponding to a type of risk selected in the previous step, transmission of an alert to the administrator of the network of interest or to the trusted third party.
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR2204382 | 2022-05-09 | ||
FR2204382A FR3135337A1 (en) | 2022-05-09 | 2022-05-09 | METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK |
FR2205294 | 2022-06-01 | ||
FR2205294A FR3135335A1 (en) | 2022-05-09 | 2022-06-01 | METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK |
Publications (1)
Publication Number | Publication Date |
---|---|
FR3135336A1 true FR3135336A1 (en) | 2023-11-10 |
Family
ID=87889605
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR2303672A Pending FR3135336A1 (en) | 2022-05-09 | 2023-04-13 | METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK |
Country Status (1)
Country | Link |
---|---|
FR (1) | FR3135336A1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2006068A1 (en) | 1968-04-11 | 1969-12-19 | Kyowa Hakko Kogyo Kk | |
US20210120032A1 (en) * | 2019-10-16 | 2021-04-22 | Arbor Networks, Inc. | Detecting malicious packets in edge network devices |
US20210160283A1 (en) * | 2019-11-21 | 2021-05-27 | Arbor Networks, Inc. | Management of botnet attacks to a computer network |
FR3111443A1 (en) * | 2020-06-10 | 2021-12-17 | Serenicity | Device for analyzing the IT risk of a set of devices connected to a network |
-
2023
- 2023-04-13 FR FR2303672A patent/FR3135336A1/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2006068A1 (en) | 1968-04-11 | 1969-12-19 | Kyowa Hakko Kogyo Kk | |
US20210120032A1 (en) * | 2019-10-16 | 2021-04-22 | Arbor Networks, Inc. | Detecting malicious packets in edge network devices |
US20210160283A1 (en) * | 2019-11-21 | 2021-05-27 | Arbor Networks, Inc. | Management of botnet attacks to a computer network |
FR3111443A1 (en) * | 2020-06-10 | 2021-12-17 | Serenicity | Device for analyzing the IT risk of a set of devices connected to a network |
Non-Patent Citations (1)
Title |
---|
GHAFIR IBRAHIM ET AL: "Blacklist-based malicious IP traffic detection", 2015 GLOBAL CONFERENCE ON COMMUNICATION TECHNOLOGIES (GCCT), IEEE, 23 April 2015 (2015-04-23), pages 229 - 233, XP032820971, DOI: 10.1109/GCCT.2015.7342657 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7250703B2 (en) | Assessment and remediation of correlation-driven threats | |
EP2215801B1 (en) | Method for securing a bi-directional communication channel and device for implementing said method | |
US9118702B2 (en) | System and method for generating and refining cyber threat intelligence data | |
US10616258B2 (en) | Security information and event management | |
EP2023533B1 (en) | Method and system for classifying traffic in IP networks | |
US11080392B2 (en) | Method for systematic collection and analysis of forensic data in a unified communications system deployed in a cloud environment | |
WO2020058619A1 (en) | Confidential method for processing logs of a computer system | |
FR2852754A1 (en) | Data transmission system, has fire wall, router and probe detecting abnormal operating conditions based on pre-set system operation, and sending messages to network security manager to activate filtering actions on message reception | |
WO2018115359A1 (en) | Unidirectional communication system and method | |
WO2011083226A1 (en) | Method for detecting the hijacking of computer resources | |
Fry et al. | Security Monitoring: Proven Methods for Incident Detection on Enterprise Networks | |
EP3205068B1 (en) | Method for dynamic adjustment of a level of verbosity of a component of a communications network | |
CA2747584C (en) | System and method for generating and refining cyber threat intelligence data | |
FR3135336A1 (en) | METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK | |
FR3135335A1 (en) | METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK | |
FR3111443A1 (en) | Device for analyzing the IT risk of a set of devices connected to a network | |
EP2773067B1 (en) | Method for improving the reliability of alert message generation on a synchronised data network | |
EP4184868A1 (en) | Cloud-based deception technology utilizing zero trust to identify threat intelligence, telemetry, and emerging adversary tactics and techniques | |
US20230164182A1 (en) | Cloud-based deception technology utilizing zero trust to identify threat intelligence, telemetry, and emerging adversary tactics and techniques | |
US20230164183A1 (en) | Cloud-based deception technology with granular scoring for breach detection | |
Korczyński et al. | Two methods for detecting malware | |
EP3035639B1 (en) | Method of unauthorized port-scan detection in a computer network, associated computer program and device | |
Anh et al. | A Baseline Investigation into the Evolution and Prevalence of Mirai and Hajime Utilizing a Network Telescope | |
FR3127352A1 (en) | Time management device for transferring data frames from a transmitter to at least one receiver | |
Van Staden | Investigating and Implementing an Email Forensic Readiness Architecture |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLSC | Publication of the preliminary search report |
Effective date: 20240315 |
|
PLFP | Fee payment |
Year of fee payment: 2 |