Un chiffre à retenir : seulement 54% des machines compromises analysées l’année dernière par les Mandiant étaient infectées par un malware.
Autrement dit si l’on se focalise sur la seule détection des malwares, l’on risque de passer à côté de l’essentiel. Et surtout, au moment de la remediation, de laisser des machines sous le contrôle des pirates…
Il n’y a bien sûr rien de nouveau ici, mais cela mérite d’être rappelé : les codes malveillants sont essentiellement utilisés pour prendre pied sur la première machine. Les intrus utilisent ensuite souvent d’autres techniques pour se déplacer au sein du réseau (interception de mots de passe, force brute, voire ingénierie sociale). Ils contrôlent donc la plupart des autres machines de manière naturelle, sans nécessiter de code malveillant. Seule l’observation du comportement de ces machines et de leur trafic pourra alors permettre de les identifier.