Vecteurs d’attaque et stratégies de défense — ManageEngine NetFlow Analyzer

Attaques de transfert de données et P2P

Les attaquants exploitent les protocoles FTP, TFTP, BitTorrent et autres protocoles P2P pour exfiltrer des données, propager des logiciels malveillants et contourner les contrôles de sécurité. On peut y remédier en bloquant les protocoles non autorisés, imposant des alternatives sécurisées et surveillant le trafic pour détecter les transferts anormaux.

Anomalies de protocole

Une utilisation inhabituelle ou anormale des protocoles réseau peut indiquer des tentatives d’intrusion, des fuites de données ou la diffusion de logiciels malveillants. On peut y remédier en appliquant des normes de protocole, utilisant l’inspection approfondie des paquets et détectant les écarts par rapport au comportement normal.

Attaques de protocole de messagerie

Les attaquants exploitent les protocoles SMTP, IMAP ou POP3 pour envoyer des messages d’hameçonnage, diffuser des logiciels malveillants ou pirater des comptes. On peut y remédier en imposant des passerelles de messagerie sécurisées, utilisant des filtres anti-spam et anti-malware et surveillant l’activité de courrier anormale.

Exploitation de protocole

Les attaquants exploitent les vulnérabilités des protocoles standards pour obtenir un accès non autorisé, perturber les services ou exfiltrer des données. On peut y remédier en appliquant des correctifs au bon moment, imposant des configurations sécurisées et surveillant l’activité anormale des protocoles.

Attaques par balayage de ports et sondage réseau

Les attaquants balaient les ports et sondent les réseaux pour découvrir les services ouverts, les vulnérabilités et les points d’entrée potentiels. On peut y remédier en limitant les ports ouverts inutiles, utilisant des systèmes de détection d’intrusion et surveillant l’activité de balayage inhabituelle.

Exploitation de l’accès et du contrôle à distance

Les attaquants exploitent des outils et protocoles d’accès à distance pour prendre le contrôle non autorisé de systèmes et voler des données sensibles. On peut y remédier en imposant une authentification forte, limitant l’accès à distance et surveillant les sessions à distance suspectes.

Attaques liées aux services

Les attaquants ciblent les services réseau vulnérables pour perturber les opérations, obtenir un accès non autorisé ou exécuter du code malveillant. On peut y remédier en appliquant régulièrement des correctifs aux services, limitant ceux inutiles et surveillant les demandes de service anormales.

Attaques par analyse de petits paquets

Les attaquants inondent le réseau de paquets inhabituellement petits pour cartographier les systèmes, échapper à la détection ou épuiser les ressources. On peut y remédier en imposant des limites de taille des paquets, utilisant des systèmes de détection d’intrusion et filtrant les modèles de trafic anormaux.

Exploitation des services réseau

Les attaquants exploitent les failles des services réseau pour obtenir un accès non autorisé, perturber la disponibilité ou se déplacer latéralement dans des systèmes. On peut y remédier en corrigeant les vulnérabilités, limitant l’exposition des services et surveillant l’activité anormale des services.

Attaques de la couche réseau

Les attaquants exploitent les faiblesses de la couche réseau pour perturber la connectivité, intercepter le trafic ou mener des attaques par usurpation d’identité ou déni de service. On peut y remédier en adoptant des contrôles d’accès stricts, utilisant des pare-feux et des systèmes IDS/IPS et surveillant les modèles réseau anormaux.

Attaques des services d’annuaire et d’authentification

Les attaquants ciblent les services d’annuaire et les dispositifs d’authentification pour voler des identifiants, élever leurs privilèges ou contourner les contrôles d’accès. On peut y remédier en imposant une authentification multifacteur, renforçant les services d’annuaire et surveillant l’activité de connexion suspecte.

Attaques de reconnaissance et découverte du réseau

Les attaquants balaient et cartographient les réseaux pour identifier les hôtes actifs, les ports ouverts et les services exploitables avant de lancer des attaques ciblées. On peut y remédier en limitant l’exposition de données, utilisant des systèmes de détection d’intrusion et surveillant l’activité de balayage inhabituelle.