Réponse à incident de grande ampleur

Retrouvez toutes nos références

LEXFO a réalisé de nombreuses missions dans des contextes variés et sensibles et dispose de références dans différents secteurs d’activité.

Réponse à incident de grande ampleur

CONTEXTE, OBJECTIFS & DESCRIPTION

Le CSIRT LEXFO a été sollicité par une société industrielle pour intervenir sur un SI d’environ > 10k serveurs et 400 Active Directory. Une série de webshells avait été détectés sur des serveurs Web exposés sur Internet.

Les objectifs étaient les suivants :

Comprendre comment les attaquants ont réussi à s’introduire sur le SI
Remonter le fil d’Ariane et identifier l’ensemble des serveurs compromis en interne
Évaluer les quantités de documents confidentiels exfiltrés pour évaluer la perte financière

La mission s’est déroulée en plusieurs étapes :

Analyse de postes de travail et/ou serveurs et collecte d’information
Corrélation des informations collectées au cours des précédentes analyses dans la solution Splunk
Création d’alertes de sécurité afin d’identifier dans les logs les différentes actions des attaquants
Timeline des actions de l’attaquant
Analyse de malwares

Mission

MODALITÉS D'INTERVENTION

Secteur : Industrie
Durée de la prestation : 4 mois
Périmètre de la mission : SI d’environ > 10k serveurs et 400 Active Directory
Localisation : Locaux Client

FACTEURS-CLÉS DE SUCCÈS

Expertise avancée en techniques d’attaques et menaces cyber
Capacité à appréhender plusieurs milliers de serveurs dans le cadre d’une réponse à incidents
Connaissance approfondie du contexte métier et des enjeux du client