Cybersécurité pour l’administration publique

Pour les institutions gouvernementales, l’efficacité opérationnelle est une obligation. Et les systèmes informatiques aident à répondre à ce besoin, facilitant la communication, l’accessibilité, la mobilité et la productivité. Mais avec toujours plus de connectivité, le risque de violations de données devient réel.

Les réseaux publics – gouvernementaux, commerciaux et personnels – font face à un niveau d’intrusion sans précédent. En outre, de nombreux organismes gouvernementaux utilisent des produits standards du marché connectés à Internet – exposant dès lors les pays et les organisations au cyberterrorisme et à la cybercriminalité. Les vulnérabilités des logiciels et des systèmes d’exploitation sont devenues la pierre angulaire de la cyberguerre moderne, et l’infrastructure informatique des organisations gouvernementales est plus vulnérable qu’elle ne l’a jamais été aux attaques inattendues. Les responsables de la sécurité de ces institutions doivent disposer de la bonne solution.

Téléchargez

Contactez LogPoint

Prenez contact avec nous via le formulaire et nous reviendrons vers vous le plus vite possible:

Entrer en contact

LogPoint pour Durham County Council

PXP Solutions

En choisissant LogPoint, le County Council de Durham a immédiatement économisé 50% du coût par rapport à son fournisseur précédent. De plus, l’organisation a amélioré ses capacités SIEM en :

  • Satisfaisant les exigences de conformité et d’accréditation
  • Permettant un déploiement plus large du serveur et par là même l’introduction d’un plus grand nombre de données en raison de la structure de tarification simple par nœud
  • Distribuant facilement des droits permettant, par exemple au Service Desk, d’effectuer ses propres recherches et résoudre plus efficacement les cas
Voir le cas d’utilisation

Detailed insights

With software and operating system vulnerabilities becoming a cornerstone of modern cyber warfare, the public sector IT infrastructure is more vulnerable to unexpected attacks than ever before. Public cybersecurity relies on the right solution – now, more than ever.

The LogPoint SIEM solution allows the public sector to immediately detect cyberthreats without severely restricting access to digital resources. LogPoint provides monitoring, detection and alerting of security incidents. It provides a comprehensive and centralized view of the security posture of the infrastructure and gives public cybersecurity professionals detailed insight into the activities within their IT environment.

Threats

Public IT infrastructure are facing an unprecedented threat level, stemming from actors as diverse as nation-states, cybercriminals, hacktivists, trill-seekers and insiders. Adding to the problem, many public organizations use off-the-shelf products that are connected to the Internet – exposing nations and organizations alike to cyber terrorism and criminality.

LogPoint SIEM use case Login failed attempts on disabled accounts

Detecting lateral movement

LogPoint UEBA utilise un mélange de données provenant des systèmes endpoint, d’Active Directory et des référentiels pour détecter les comportements suspects s’écartant de la norme. Ces données comprennent :

  • Des tentatives de connexion qui ont échoué au niveau de comptes désactivés.
  • Des activités inhabituelles par jour de la semaine ou heure de la journée.
  • Des accès inhabituels aux serveurs, partages de fichiers, applications ou autres ressources.
  • Les accès anormalement élevés à certaines ressources.
  • Une utilisation d’applications anormale et des schémas d’accès au stockage atypiques.

Comme LogPoint UEBA incorpore une analyse de netflow, de nouveaux modèles seront ajoutés permettant l’analyse de volume anormalement élevé de connexions au niveau d’un endpoint ou entre différents endpoints ainsi que des analyses de port inhabituelles.

Exemple

Les tentatives de connexion qui ont échoué au niveau de comptes désactivés

Requête

label=Login label=Fail sub_status_code=0xC0000072 | chart count() by user order by count()

LogPoint SIEM use cases High Outbound Data Transfer Screen K

Détection du staging (stockage intermédiaire) et de l’exfiltration de données

Les comptes ou machines compromis tentent généralement de déplacer les données vers des zones de staging où elles pourront être facilement extraites du réseau de l’entreprise. Lors de la préparation des données à extraire, les attaquants utiliseront des outils tels que PSExec ou des outils de bureau à distance. Dans ce cas, l’UEBA détectera et mettra en évidence des opérations de staging et des mouvements latéraux anormaux, notamment des transferts de données importants entre postes de travail (très inhabituels), des combinaisons de protocoles/ports inhabituelles ainsi que des volumes inhabituellement élevés d’accès aux données.

Exemple

Transfert important de données sortantes

Requête

sent_datasize=* source_address IN HOMENET -destination_address IN HOMENET | timechart sum(datasize/1000/1000) as Outbound Data | search OutboundData>10

LogPoint SIEM use cases High Outbound Data Transfer Screen K
LogPoint SIEM use cases Trend of failed authentication attempts

Compromission de comptes privilégiés

LogPoint UEBA a été conçu pour identifier les comptes privilégiés et utilise l’apprentissage automatique (ML) pour réaliser les autres activités. La fonctionnalité UEBA de LogPoint surveille en permanence les comptes privilégiés pour suivre et évaluer le temps d’activité, l’authentification, l’accès, l’utilisation des applications et le mouvement des données. LogPoint UEBA attribue ensuite un score de risque à tout compte qui s’écarte de la norme et si ce dernier continue à agir de manière anormale, le score de risque augmente. Pendant ce temps, les analyses réalisées par LogPoint UEBA permettent de visualiser l’activité du compte et d’alerter l’analyste cybersécurité afin de valider l’incident et permettre qu’une action rapide soit lancée.

Exemple

Tendance concernant les tentatives d’authentification qui ont échoué

Requête

label=Authentication label=Fail | timechart count()