Oman tietoliikenteen monitorointi ja poikkeamien tunnistaminen.
Organisaatiossa testataan uutta tietoturvaohjelmistoa verkon valvontaan. Testaamisen yhteydessä ohjelmisto havaitsee erikoista tietoliikennettä, jota ei tunnisteta. Salatulta vaikuttavaa liikennettä tulee useammalta työasemalta sekä muutamalta palvelimelta ja sen kohteena on ulkomainen palvelin. Liikenne käyttää useita eri protokollia (UDP, TCP, ICMP). Liikennettä tulee purskeittain välillä suuria määriä, ja välillä pienempiä, säännöllisen kokoisia paketteja. Työasemien haittaohjelmaskannaus ei tunnista haitallisia ohjelmia työasemilta.
Soveltaminen
Skenaario alkaa epäselvästä tilanteesta, jossa merkit viittaavat haittaohjelman toimintaan. On kuitenkin mahdollista, että liikenne on asianmukaista, mutta huonosti dokumentoitua. Asian selvittäminen edellyttää oman organisaation toimintaan syventymistä.
Lisähaaste
Lokitiedoista ilmenee, että ulkomaiseen palvelimeen on ollut liikennettä jo monta kuukautta. Asiaa selvitettäessä ilmenee, että kyseinen palvelin on raportoitu yhdeksi valtiollisen haittaohjelmakampanjan komentopalvelimista.