Recherche de compromission


Le but d'une recherche de compromission est de vérifier si un attaquant est présent dans votre SI.

L'actualité prouve que les attaques informatiques sont de plus en plus ciblées et sont capables de rester présentes dans un SI durant plusieurs années.
Fort de notre expertise des systèmes Windows, nous avons développé nos outils internes afin d'atteindre le niveau d'exigence que nous nous sommes fixé. Ceci nous permet de mener des recherches de compromission à haute valeur ajoutée. Il est important de noter que nous travaillons avec un système de détection sans signature afin de mettre en évidence des codes malveillants encore inconnus. Par ailleurs, nos outils sont capables de travailler aussi bien en mode utilisateur qu'en mode noyau.
Nos recherches de compromissions se basent sur des analyses automatiques puis manuelles. Ce procédé permet à nos experts de prendre le temps de contextualiser les anomalies détectées, nous réduisons ainsi significativement les risques de faux-négatifs.

Pourquoi nous appeler ?

Pourquoi effectuer une recherche de compromission ?


Pour vérifier votre SI

Savoir si vous êtes actuellement compromis.

Lors d'un rachat de société

  • Savoir si la société rachetée est déjà espionnée
  • Des sociétés sont fréquemment compromises entre l'annonce de rachat et l'intégration dans le SI
  • Ne pas laisser entrer un attaquant dans votre parc via un rachat

Pour un rapport d'étonnement RSSI

Dès la prise de fonction de RSSI,
il est important de vérifier que le SI n'est pas déjà compromis

Les étapes d'une recherche de compromission


  • Déterminer un périmètre de machines à analyser.
    Ce périmètre peut aussi bien couvrir l’ensemble des machines Windows du SI comme une sous-partie critique. Si besoin, nous pouvons vous aider à l'identifier.

  • Déploiement de notre agent de collecte.
    Notre agent développé en interne collecte les informations nécessaires à la détection d’une compromission.
    Nous proposons également une analyse RAM complète en complément pour les machines les plus critiques.

  • Les informations collectées sont envoyées chiffrées.
    Elles sont stockées sur un serveur situé dans votre réseau, mais indépendant du reste du SI. Nous récupérons ces informations à la fin de la collecte et les déchiffrons une fois rapatriées et cloisonnées dans un environnement sécurisé.

  • Analyse automatique et manuelle des données.
    Nos analyses ont pour but de détecter et contextualiser les comportements suspects et signaux faibles en se basant sur nos outils et notre expertise.

  • Étape de levée de doute.
    Récupération et analyse en profondeur des éléments suspects détectés. Nous nous basons sur les méthodologies d'analyse de code malveillant.

  • Remise d'un rapport contenant :

    1. une vue globale du SI
    2. les éléments demandés en levée de doute
    3. les résultats d'analyse
    4. notre arbitrage sur la compromission du SI

    Ce rapport peut servir de base aussi bien pour une réponse à incident en cas de compromission que pour un durcissement des machines.


Nos innovations


Outils internes

Tous nos outils, aussi bien pour la collecte que l'analyse, sont développés en interne. Chacun d'eux possède des innovations significatives permettant d'identifier des anomalies complexes.

Analyse en profondeur

Nos experts Windows effectuent une analyse manuelle et en profondeur des données. Ceci permet de contextualiser les anomalies et approfondir les signaux faibles.

Sans signatures/IOCs

Nos outils sont suffisamment performants pour avoir détecté tous les codes malveillants testés, et ce sans avoir recours aux signatures ou IOCs.

Analyse de RAM

Nous sommes capables d'analyser des dumps de RAM que les autres outils du marché n'arrivent pas à traiter. Notre outil identifie dynamiquement les structures internes du système et est capable d'aller jusqu'à analyser des zones non documentés pour y dévoiler des rootkits.

Contactez nous !


Pour plus d'informations sur la recherche de compromission n'hésitez pas à nous contacter.

contact [at] exatrack [dot] com