Les entreprises réalisent qu’ils pourraient avoir besoin de plus de munitions dans leur bataille sans fin contre les ransomwares.
Entrez le réseau Forensics, une branche de la criminalistique numérique. Les praticiens de la criminalistique du réseau sont les détectives de la sécurité du réseau, axés sur la surveillance et l’évaluation de tout le trafic numérique sur un réseau. Leur objectif est de découvrir des informations sur les intrusions, telles que des logiciels malveillants, et de recueillir des preuves juridiques en cas de procès.
La valeur de la criminalistique numérique est soulignée par un rapport de la société de sécurité malaisienne Akati. La société a souligné le cas d’un établissement de santé qui, au début de 2025, a subi une attaque de ransomware massive qui a paralysé plusieurs systèmes, une infrastructure informatique et des opérations commerciales. Des notes de rançon ont été déposées partout sur le réseau. Les sauvegardes du système et les copies fantômes des données ont été supprimées, ce qui a altéré la récupération des données. Les journaux d’activité de sécurité du réseau ont été anéantis et toutes les données restantes ont été cryptées d’une manière que l’entreprise ne pouvait pas le déchiffrer.
Comprendre l’attaque
Cette organisation avait besoin de deux choses après cette attaque de ransomware:
Pour obtenir son réseau, ses systèmes et ses données en cours d’exécution.
Pour comprendre toute l’étendue de l’attaque – comment cela s’est produit, comment cela a fonctionné et pourquoi cela a été aussi réussi que.
Apprendre pourquoi l’attaque s’est produite et comment prévenir les incidents de ransomware similaires à l’avenir nécessitait plus que de réviser les activités et les journaux de sécurité standard, qui avaient été largement anéantis. Pourtant, enquêter sur une intrusion aussi sophistiquée a dépassé la base de connaissances et les compétences du personnel du réseau interne de l’organisation des soins de santé. L’entreprise a décidé de faire appel à des spécialistes de la criminalistique du réseau.
L’enquête ultérieure a révélé une attaque de logiciels malveillants en plusieurs phases, soigneusement planifiée et exécutée qui a commencé avec l’exécution d’un fichier non autorisé par un utilisateur sans méfiance. À partir de là, les attaquants ont pris le contrôle de plusieurs systèmes et des connexions distantes établies qui leur ont permis de se déplacer non détecté entre les serveurs. Ils ont pu faire tout cela parce qu’ils avaient facilement craqué les informations d’administrateur du réseau faible. Au moment où la société a pris conscience de l’intrusion, les attaquants avaient toutes les données et le réseau lui-même.
Les entreprises ont-elles besoin de compétences en médecine légale du réseau?
Les attaques de ransomwares sont en augmentation. Selon un rapport de 2024 émis par ransomware.orgplus de la moitié des sociétés interrogées ont déclaré avoir subi une attaque de ransomware. Le plus gros paiement: un 75 millions de dollars pour les yeux, Selon une étude de ransomware distincte par Zscaler.
Les entreprises de toutes tailles ont besoin d’un certain type de plan de ransomware qui va au-delà de ce que la surveillance standard de la sécurité du réseau peut faire. Cette capacité est quelque chose qui Les compagnies d’assurance cyber-assurance sont de plus en plus exigeantes aussi.
La capture est que des compétences comme la médecine légale sont rares parmi la plupart des employés du réseau. Lorsque les entreprises essaient d’embaucher quelqu’un avec des compétences sophistiquées de lutte contre les logiciels malveillants en réseau, cela leur coûte de l’argent Ziprèceur.
Les banques, les maisons de courtage, les grands systèmes de soins de santé, les sociétés de sciences de la vie, les sociétés de défense, les gouvernements, les compagnies d’assurance et les sociétés pharmaceutiques sont parmi les entreprises les plus susceptibles d’embaucher des spécialistes de la criminalistique des réseaux internes. Pour d’autres organisations, trouver une expertise médico-légale du réseau impliquera soit d’embaucher une entreprise extérieure pour faire le travail, soit de former une formation croisée qui fait déjà partie du personnel ayant des compétences en médecine légale.
Que font les médecins légistes du réseau?
Les spécialistes médico-légaux du réseau supervisent de nombreux domaines que les professionnels du réseau réguliers couvrent, tels que la surveillance du réseau, l’étude des données voyageant à travers le réseau et la fouille dans différentes couches du cadre de communication du réseau OSI en cas de besoin. Ces pros étudient également les adresses IP, la sécurité, le trafic utilisateur et les authentifications – mais à partir de ce point, il devient plus profond et plus spécialisé.
Les spécialistes médico-légaux du réseau se concentrent sur la surveillance et l’enquête sur les menaces de réseau et les incidents suspects. D’autres fois, les sondes pourraient être liées à la découverte légale et aux enquêtes criminelles. À la suite d’un compromis de sécurité, une entreprise pourrait appeler un spécialiste de la criminalistique du réseau pour les rechercher. Comment est-ce arrivé? Quand est-ce arrivé? Qui étaient les auteurs? Quelles données et actifs réseau ont été affectés?
Pour accomplir des tâches comme celles-ci, les spécialistes de la criminalistique du réseau ont généralement au moins trois ans d’expérience en réseau. Ils ont ou suivent une formation avancée, gagnant des certificats tels que les suivants:
Examinateur judiciaire certifié du réseau.
Cyber Forensics professionnel certifié.
Défenseur du réseau certifié.
Hacker éthique certifié.
Examinateur informatique judiciaire certifié.
Une formation spécialisée les offre des compétences dont ils ont besoin pour un travail de médecine légale détaillée, ainsi que les connaissances nécessaires pour déployer des outils spécialisés que les professionnels du réseau réguliers n’utilisent généralement pas. Les spécialistes de la criminalistique du réseau sont également appelés à transformer les membres du personnel du réseau, éventuellement encadrer d’autres personnes qui pourraient assumer un rôle futur.
Les professionnels de la criminalistique doivent également être d’excellents résolveurs de problèmes et communicateurs. Ils doivent posséder les compétences générales nécessaires pour communiquer avec les équipes de sécurité et de réseau, les auditeurs et les régulateurs – mais aussi avec la gestion, la communauté juridique et potentiellement avec les forces de l’ordre.
Les entreprises devraient-elles investir dans des compétences en médecine légale de réseau?
La réponse courte est oui, les entreprises devraient investir. La cybercriminalité devient de plus en plus sophistiquée et les compétences en réseau doivent également devenir plus sophistiquées.
L’astuce pour les gestionnaires de réseaux, en particulier dans les petites entreprises, est de savoir comment mettre les compétences en médecine légale à bord. La plupart des organisations ne peuvent pas se permettre d’embaucher un personnel judiciaire à temps plein, et ils ne peuvent pas non plus conserver des consultants en médecine légale pendant de longues périodes. Une option: équipez un personnel de réseau existant de la formation, des cours et du mentorat d’un expert extérieur.
Pendant ce temps, voici plusieurs pratiques quotidiennes conçues pour réduire le risque de ne pas avoir accès à un expert en jumeau à temps plein de réseau.
Concentrez-vous sur la prévention. Vous avez à l’épreuve des balles de votre réseau à partir de nombreuses attaques de logiciels malveillants en fermant les limites et les segments de votre réseau et effectuer des audits de sécurité réguliers. Votre entreprise surveille avec diligence le trafic réseau et les informations d’identification des utilisateurs. Mais il y a plus que vous devriez faire. Former les utilisateurs sur l’importance d’utiliser des ID utilisateur et des mots de passe solides. Utilisez l’authentification multi-facteurs et envisagez de déployer Passkeys. Assurez-vous que les utilisateurs sécurisent l’informatique et les appareils de leurs départements lorsqu’ils ne les utilisent pas.
Ne vous dérogez pas sur la documentation. Le personnel du réseau a du mal à Gardez la documentation à jourmais avec la criminalistique légale, il est essentiel de s’assurer que la chaîne de garde des données est ininterrompue. Documentation de suivi et de trace, ainsi que des procédures et opérations certifiées pour assurer la sécurité des données.
Commencez par un micro examen de l’activité du réseau, puis montez vers le haut. Les spécialistes de la criminalistique du réseau procèdent des couches les plus microscopiques du modèle OSI via des sessions, des applications et de l’analyse du contenu. Cette tactique doit également être encouragée pour le personnel du réseau. Cela incorpore l’idée d’examen détaillé et de dépannage à partir de zéro. Tout le monde recherche tous les points d’entrée de logiciels malveillants imaginables – dans le but de verrouiller les vulnérabilités du réseau avant que toute violation ne se produise.
