Leçons
Accéder à Diane

Analyse des attaques et incidents de cybersécurité

Aucune carte

Ce module couvre l'analyse des attaques et des incidents de cybersécurité, y compris la définition des incidents de sécurité, l'analyse du Kill Chain, les procédures de gestion des incidents, et les techniques de Threat Hunting.

M211 - Analyser les Attaques et les Incidents de Cybersécurité

Ce module de 42 heures, développé par l'OFPPT en partenariat avec WEBFORCE, vise à former les participants à l'analyse et à la gestion des attaques et incidents de cybersécurité. Il couvre une gamme étendue de sujets, des fondamentaux de la cybersécurité aux techniques de réponse avancées.

Objectifs du Module

  • S'approprier la notion d'un incident de sécurité : Définir un incident de sécurité et analyser le Kill Chain.

  • Appliquer les procédures de gestion des incidents : Présenter le processus de gestion des incidents de sécurité et appliquer les procédures NIST 800-61 R2.

  • Effectuer le Threat Hunting : Définir le Threat Hunting et identifier les étapes du processus.

  • Répondre à des incidents de cybersécurité : Définir les étapes d'un plan de base de réponse aux incidents et automatiser la réponse aux incidents.

Ressources Pédagogiques

Les supports de cours sont conçus pour maximiser l'apprentissage et sont accessibles via la plateforme WebForce Life :

  • Le guide de soutien : Contient le résumé théorique et le manuel des travaux pratiques.

  • La version PDF : Disponible en ligne pour les apprenants et les formateurs.

  • Des contenus téléchargeables : Fiches de résumés et exercices.

  • Du contenu interactif : Exercices et cours interactifs.

  • Des ressources en ligne : Consultables en synchrone et asynchrone.

Étapes de la Cyber Kill Chain

  1. Reconnaissance : L'attaquant collecte des informations sur la cible et les tactiques d'attaque (adresses e-mail, vulnérabilités système via scanners automatisés).

  2. Weaponization (Armement) : Création d'un moyen d'infiltration (malware) basé sur les informations collectées.

  3. Delivery (Livraison) : Le pirate livre l'arme pour atteindre la cible (e-mail de phishing avec lien malveillant, clé USB, site web compromis).

  4. Exploitation : Exploitation d'une vulnérabilité pour accéder au système d'information (faille 0-day, vulnérabilités connues, ouverture de pièce jointe ou clic sur lien malveillant).

  5. Installation : Installation d'un Cheval de Troie (porte dérobée) ou accès à distance pour maintenir l'accès. Détection possible par HIPS (Host-based Intrusion Prevention System).

  6. Command & Control (C2) : Le malware installé ouvre un canal de communication avec le pirate, prêt à exécuter des commandes (souvent via WEB, DNS, MAIL).

  7. Actions on Objectives (Actions sur Objectifs) : L'attaquant collecte, chiffre et exfiltre les données confidentielles du système.

Comparaison avec d'autres modèles :

  • MITRE ATT&CK : Décrit les tactiques et techniques des adversaires, offrant une base de connaissances pour la détection et la réponse.

  • Diamond Model of Intrusion Analysis : Analyse les intrusions en se basant sur quatre éléments interconnectés : Adversaire, Capacité, Infrastructure, et Victime, avec des métadonnées comme le Timestamp, Phase, Résultat, Direction, Méthodologie et Ressources.

2. Appliquer les Procédures de Gestion des Incidents

Ce chapitre se concentre sur l'application des procédures pour gérer efficacement les incidents, en se basant sur les modèles ISO 27035 et NIST 800-61 R2.

Présenter le Processus de Gestion des Incidents de Sécurité

Modèle de la Norme ISO 27035:2011

L'ISO/IEC 27035:2011 fournit une approche structurée pour :

  • Détecter, signaler et évaluer les incidents de sécurité de l'information.

  • Répondre aux incidents de sécurité de l'information et les gérer.

  • Détecter, évaluer et gérer les vulnérabilités de la sécurité de l'information.

  • Améliorer en permanence la sécurité de l'information et la gestion des incidents.

Elle offre des lignes directrices pour les grandes et moyennes entreprises, adaptables aux plus petites en fonction de leur taille et de leur profil de risque. Elle conseille également les organisations externes fournissant des services de gestion des incidents.

Détails de Chaque Étape Constituant le Processus

Le processus de gestion des incidents se décompose en plusieurs phases :

  1. Planification et Préparation :

    • Implique la mise en place de plans documentés de gestion des incidents, basés sur une analyse des risques.

    • Communication des risques et des incidents passés à tous les employés concernés.

    • Documentation de la politique de signalement et de traitement des événements et incidents.

    • Mise en place d'une structure organisationnelle et du personnel pour la gestion des incidents.

    • Programme de sensibilisation et de formation.

    • Définition claire des responsabilités et des procédures.

  2. Détection et Signalement :

    • Identifier un incident et le niveau de réponse approprié.

    • Lancer des procédures (alerter le personnel, informer les responsables ou autorités).

    • Reconnaissance qu'une réponse précoce est liée à une détection réussie.

  3. Évaluation et Décision :

    • Évaluer l'incident pour déterminer sa gravité et la voie à suivre.

    • Déterminer si l'événement est un incident réel ou une fausse alerte.

    • Catégoriser l'incident (mineur, modéré, majeur).

    • Déclencher les procédures de réponse respectives.

    • Fournir des lignes directrices et des modèles de décision clairs pour cette phase critique.

  4. Réponse :

    • Bien se préparer (plan et compétences) est essentiel.

    • Responsabilités claires, avec une hiérarchie appropriée.

    • Procédures formelles à suivre pour chaque personne notifiée.

    • Correction : Identifier les actions nécessaires pour ramener le système à un fonctionnement normal.

    • Restauration des systèmes, sécurisation, reconnexion aux réseaux externes.

    • Suppression des composants malveillants et identification/atténuation des vulnérabilités.

  5. Apprentissage :

    • Utiliser les expériences passées pour améliorer la préparation.

    • Documenter les actions prises et les expériences des personnes impliquées.

    • Fournir des informations d'état à la personne ayant déclenché l'alerte.

    • Processus d'apprentissage axé sur l'organisation (apprentissage en boucle unique et double boucle).

    • Analyser ce qui a conduit à l'incident, ce qui s'est passé, comment il a été géré, et proposer des améliorations.

Appliquer les Procédures 800-61 R2 du NIST

Le «Computer Security Incident Handling Guide» (SP 800-61 Rev. 2) du NIST fournit des directives pour la gestion et la réponse aux incidents de cybersécurité. Il met l'accent sur la réponse et la récupération plutôt que sur la prévention.

Présentation des Quatre Phases du Processus

Le NIST définit quatre phases clés :

  1. Préparation :

    • Minimiser les impacts des incidents et maintenir la continuité des activités.

    • Haute proactivité pour les événements imprévus (cygnes noirs).

    • Gestion de la sécurité de l'information (culture, formation, politiques).

    • Mise en place de contrôles de sécurité logiques (pare-feu, antivirus, évaluations de vulnérabilités, SIEM).

    • Sécurité physique et environnementale.

    • Création d'une équipe de réponse aux incidents (CSIRT).

  2. Détection et Analyse des Incidents :

    • Détecter et analyser rapidement une activité suspecte (nom de fichier inconnu, tentatives de connexion infructueuses, logs suspects).

    • La détection peut être automatique (IDS) ou manuelle (utilisateurs).

    • Utilisation de modèles de rapports d'incidents.

    • Analyser l'incident pour déterminer sa validité et ses impacts potentiels.

    • Évaluation des risques pour estimer les dommages et prioriser les incidents.

    • Attribution à un gestionnaire d'incidents, analyse de risques, catégorisation et hiérarchisation.

  3. Réponse aux Incidents :

    • Commence dès qu'un incident est confirmé.

    • Identifier les actions d'intervention immédiates pour faire face à l'incident.

    • Objectif principal : limiter les impacts négatifs, éradiquer la menace, et rétablir les services.

    • Le gestionnaire d'incidents coordonne les étapes de confinement, d'éradication et de récupération.

    • Nécessite une expertise en investigation ou l'accès à des tiers compétents.

    • Confinement : Acquérir, conserver, sécuriser et documenter les preuves. Confirmer et mettre en œuvre des mesures de confinement.

    • Éradication : Identifier et atténuer les vulnérabilités exploitées. Supprimer les composants à l'origine de l'incident.

    • Récupération : Remettre les systèmes et services en état de fonctionner normalement. Confirmer le bon fonctionnement.

  4. Activité Post-Incident :

    • Phase après la résolution ou la clôture de l'incident.

    • Compiler un résumé des actions et résultats.

    • Le gestionnaire d'incidents documente un rapport de clôture comprenant : résumé, acteurs, description détaillée, preuves, détails techniques, actions d'éradication, conclusion, et leçons apprises.

Comparaison NIST 800-61 R2 vs ISO/IEC 27035 :

Aspect

NIST 800-61 R2

ISO/IEC 27035

Origine

NIST (États-Unis)

ISO (Internationale)

Portée

Approche opérationnelle détaillée

Cadre général avec lignes directrices

Phases

4 phases (Préparation, Détection, Réponse, Post-incident)

5 phases (Planification, Détection, Évaluation, Réponse, Apprentissage)

Audience

Organismes publics et privés (orientés USA)

Organisations internationales

Détails techniques

Très détaillés (outils, techniques)

Plus général et adaptable

Focus sur la Partie Communication

La communication avec les tiers est essentielle :

  • Contacts avec les forces de l'ordre, médias, FAI, fournisseurs de logiciels vulnérables, autres équipes d'intervention.

  • Établir des politiques et procédures de partage d'informations avec le bureau des affaires publiques, le service juridique et la direction.

  • Documenter tous les contacts et communications pour des raisons de responsabilité et de preuve.

3. Effectuer le Threat Hunting

Le Threat Hunting est une démarche proactive pour rechercher et identifier les activités malveillantes qui échappent aux détections automatiques.

Définir le Threat Hunting

Le Threat Hunting peut être défini comme une stratégie proactive consistant à rechercher des menaces inconnues ou des adversaires cachés à l'intérieur d'un réseau avant qu'ils n'atteignent leurs objectifs. Contrairement aux outils traditionnels (antivirus, SIEM), le Threat Hunting explore les données pour trouver des signes d'intrusion ou de compromission latente.

Notion de Menaces Persistantes Avancées (APT)

Les APT (Advanced Persistent Threats) sont des cyberattaques sophistiquées, souvent parrainées par des États ou des organisations, visant à infiltrer des systèmes et y rester inaperçues sur de longues périodes pour voler des données sensibles.

  • Elles diffèrent des attaques ponctuelles par leur nature «mouvement lent et bas».

  • Caractéristiques des APT :

    • Plus dangereuses que les menaces traditionnelles (accès permanent aux données).

    • Cibles précises (gouvernements, grandes entreprises avec IP de valeur).

    • Objectifs clairs (avantages concurrentiels ou stratégiques).

    • Techniques d'attaque furtives (dissimulation dans le trafic réseau).

    • Attaques complexes et planifiées (plusieurs étapes).

    • Attaquants bien organisés et financés.

    • Tentatives répétées et adaptation constante.

  • Exemples d'APT : Opération Aurora, RAS Breach, Opération Ke3chang.

Méthodologies du Threat Hunting

Les experts en Threat Hunting partent du principe qu'un attaquant est déjà dans le réseau et recherchent des indicateurs de compromission ou de mouvement latéral.

Il existe trois méthodologies principales :

  1. Chasse basée sur l'hypothèse (Hypothesis-based Hunting) : Tester des hypothèses sur des menaces potentielles.

    • Axé sur l'analyse : Utilise l'analyse du comportement des utilisateurs (UEBA) et le Machine Learning pour élaborer des scores de risque.

    • Axé sur l'intelligence : Exploite les flux d'intelligence, les analyses de vulnérabilité et les rapports de malwares.

    • Conscience de la situation : Évalue les risques et identifie les actifs numériques critiques.

  2. Chasse structurée (Structured Hunting) : Méthodologie proactive.

    • Utilise des IoA (Indicators of Attack) et TTP (Tactics, Techniques, and Procedures) pour identifier les acteurs de menace.

    • Le chasseur estime l'environnement et les comportements d'attaque en s'alignant sur le MITRE ATT&CK Framework.

    • Recherche de modèles de menaces par la surveillance des activités système.

  3. Chasse non structurée (Unstructured Hunting) : Débute par un déclencheur ou un IoC (Indicator of Compromise).

    • Peut découvrir de nouveaux types de menaces ou des menaces latentes.

    • Le chasseur de menaces recherche des modèles malveillants avant et après le déclencheur/IoC dans les données historiques.

Distinction entre IoC et IoA :

Critère

IoC (Indicator of Compromise)

IoA (Indicator of Attack)

Focus

Conséquences et preuves d'une attaque réussie

Actions et comportements d'une attaque en cours ou imminente

Nature

Réactif (après compromission)

Proactif (avant ou pendant l'attaque)

Exemples

Hachages de fichiers malveillants, IP de C2, modifs système

Reconnaissance réseau, escalade de privilèges, exfiltration de données

Utilité principale

Investigation et réponse post-incident

Prévention et réponse en temps réel

Identifier les Étapes du Processus

La création d'un programme efficace de Threat Hunting implique généralement trois étapes :

  1. Déclenchement (Triggering) :

    • Processus ciblé où le chasseur collecte des informations sur l'environnement cible.

    • Élabore des hypothèses sur les menaces potentielles en utilisant l'intelligence sur les menaces ou les TTP des attaquants.

    • Un déclencheur est choisi, souvent une application ou une zone spécifique du réseau, pour une investigation approfondie.

  2. Investigation :

    • Recherche approfondie d'anomalies potentiellement malveillantes dans le système ou le réseau.

    • Utilisation d'outils de Threat Hunting comme UEBA (User Entity Behavior Analytics) et SIEM (Security Information and Event Management).

    • L'enquête se poursuit jusqu'à ce que l'hypothèse soit prouvée ou réfutée.

  3. Résolution :

    • Les informations collectées sont communiquées aux équipes de sécurité et d'exploitation pour réagir rapidement.

    • Les actions comprennent : mise à jour des règles de pare-feu/IPS, restauration de fichiers, suppression de malwares, modification des configurations, déploiement de correctifs, documentation des méthodes de l'attaquant.

Place du Threat Hunting dans la Stratégie de Sécurité

Le Threat Hunting est un complément essentiel pour renforcer la sécurité d'un système, en parallèle avec la défense ordinaire. Il est proactif et permet de détecter des menaces que les outils automatisés ne voient pas.

Threat Hunting vs Threat Intelligence :

  • Threat Hunting : Enquêteur qui recherche activement des intrus non détectés.

  • Threat Intelligence : Service de renseignement qui fournit des informations sur les méthodes et cibles des criminels pour renforcer les défenses.

Les deux sont complémentaires : la Threat Intelligence guide le Threat Hunting, et les résultats du Threat Hunting enrichissent la Threat Intelligence.

Outils Typiques du Threat Hunting

  • SIEM (Security Information and Event Management) : Splunk, QRadar, LogRhythm.

  • EDR (Endpoint Detection and Response) : CrowdStrike, Carbon Black.

  • Threat Intelligence Platforms : MISP, ThreatConnect.

  • Frameworks : MITRE ATT&CK, Cyber Kill Chain.

  • Outils analytiques : ELK Stack, Zeek (anciennement Bro), Wireshark.

Exploration des Outils et Techniques de Cybersécurité

Cette section détaille plusieurs outils et concepts pratiques utilisés en cybersécurité.

Microsoft IIS (Internet Information Services)

  • Logiciel de serveur web propriétaire développé par Microsoft pour Windows NT.

  • Utilisé pour héberger des sites web/applications web (statiques et dynamiques, ASP.NET, PHP).

  • Généralement configuré sur les ports 80/443.

  • Extensions de fichiers exécutables prises en charge : .asp, .aspx, .config, .php.

Analyse de Paquets et Vulnérabilités

  • HTTP (Hypertext Transfer Protocol) : Fondement du World Wide Web, utilisé pour charger des pages web.

  • Apache : Serveur web open source le plus utilisé (67% des sites web).

  • Wireshark : Analyseur de réseau pour inspecter le trafic.

  • Ettercap : Outil pour les attaques Man-In-The-Middle (MITM), qui permet notamment l'empoisonnement ARP (ARP poisoning) et le détournement DHCP (DHCP spoofing).

  • Vulnérabilités IIS : CVE-2022-21907 - Vulnérabilité de Microsoft IIS pour laquelle des mises à jour sont disponibles via Microsoft Update Catalog.

Attaques et Défenses Réseau

Serveur DHCP malveillant (Rogue DHCP server) : Un serveur DHCP non autorisé qui peut attribuer des adresses IP malveillantes aux victimes.

  • Défense : DHCP Snooping :

    • Active le DHCP snooping globalement et par VLAN.

    • Configure les ports connectés au serveur DHCP comme ports de confiance.

    • Limite le nombre de paquets DHCP DISCOVER sur les ports clients.

    • Commande de récupération automatique pour «dhcp-rate-limit» : errdisable recovery cause dhcp-rate-limit et errdisable recovery interval 60.

  • DAI (Dynamic ARP Inspection) : Empêche les attaques ARP Spoofing (Man-In-The-Middle) en validant les paquets ARP.

    • Configuration : ip arp inspection trust (pour interface routeur/serveur), ip arp inspection validate dst-mac src-mac ip.

    • Filtrage ARP : Création d'une liste d'accès ARP pour autoriser IP/MAC du routeur DHCP (arp access-list DHCP_ROUTER puis permit ip host ... mac host ...).

    • Application du filtre : ip arp inspection filter DHCP_ROUTER vlan 10.

    • Limitation du taux ARP : ip arp inspection limit rate 10 (par défaut, 15 paquets/sec sur interfaces non fiables).

  • IP Source Guard (IPSG) : Vérifie l'adresse IP source et peut utiliser la sécurité des ports (port-security) pour vérifier l'adresse MAC source.

    • Configuration : switchport port-security puis ip verify source port-security.

  • Attaque par Déni de Service (DoS) et Distribution (DDoS) : Vise à rendre un service indisponible.

    • Exemples : Syn Flood (Telnet), ICMP Flood (Windows).

    • Outils d'attaque : hping3 (hping3 -S --flood -p 23 192.168.219.1 pour Telnet ; hping3 --icmp --count 50000 --spoof @ip-target 192.168.219.255 --flood pour ICMP).

    • Défenses router :

      • Limitation de débit (Rate Limiting) : Utilisation d'Access-List et de Policy-Map pour limiter les flux (ex: access-list 100 permit icmp any any, class-map ICMP, policy-map ICMP-POLICY, police 8000 conform-action transmit exceed-action drop).

    • Défenses routeur (Cisco) :

      • Limitation du taux d'ICMP : access-list 111 permit icmp any any echo, access-list 111 permit icmp any any echo-reply, rate-limit input access-group 111 22000 22000 22000 conform-action transmit exceed-action drop sur l'interface.

  • HSRP (Hot Standby Router Protocol) : Protocole de redondance de saut pour les routeurs.

  • Vulnérabilité HSRP : Un appareil compatible HSRP peut annoncer une priorité élevée et prendre le contrôle du routeur actif.

  • Défenses HSRP :

    • Authentification : standby 1 authentication 123456 (clear-text) ou standby 1 authentication md5 key-string 123456 (MD5).

    • ACL sur le trafic HSRP : ip access-list extended HSRP puis permit udp 10.0.0.0 0.0.0.3 eq 1985 host 224.0.0.2 eq 1985, deny udp any eq 1985 any eq 1985, permit ip any any, et application sur l'interface.

Portsentry

  • Outil de détection de scan de ports.

  • Installation : apt-get update et apt-get install portsentry.

  • Configuration : Modifier /etc/portsentry/portsentry.ignore pour lister les IPs à ignorer.

  • Activer les modes actifs : TCP_MODE="atcp" et UDP_MODE="audp" dans /etc/default/portsentry.

  • Bloquer les ports explorés : BLOCK_UDP="1" et BLOCK_TCP="1".

  • Blocage des IPs pirates via iptables : KILL_ROUTE="/sbin/iptables -I INPUT -s -j DROP".

  • Redémarrage du service : sudo service portsentry restart.

pfSense (Firewall)

  • Système d'exploitation basé sur FreeBSD pour pare-feu/routeur.

  • Intégration d'outils de sécurité (Snort).

  • Configuration DHCP :

    • Peut autoriser tous les clients, clients connus de n'importe quelle interface, ou clients connus de cette interface uniquement.

    • Option pour ignorer les «denied clients».

    • Option pour ignorer les identifiants clients (UID) pour les requêtes DHCP.

  • Snort (IDS/IPS) : Système open source de prévention et détection d'intrusions.

    • Installation via Package Manager.

    • Configuration des règles VRT (Registered User ou Subscriber), GPLv2 Community, ET Open.

    • Nécessite un Oinkmaster Code pour les règles VRT.

    • Mises à jour des règles : intervalles de mise à jour (ex: 1 DAY), heure de début (ex: 00:05).

    • Configuration de l'interface Snort : Activer, choisir l'interface (WAN), description, envoyer les alertes aux logs système, bloquer les contrevenants.

    • Paramètres d'optimisation : Algorithme de correspondance de motifs (AC-BNFA), division du groupe ANY-ANY, optimisation de la recherche, Stream Inserts, désactiver la vérification de la somme de contrôle.

    • Règles IPS prédéfinies : Connectivity, Balanced, Security.

    • Règles personnalisées (ex: alert icmp $HOME_NET any -> any any (msg:"ping detected";sid:999000;)).

    • Les règles de pare-feu peuvent être configurées pour «Pass», «Block» ou «Reject».

Gestion des Événements Windows (Event Viewer)

  • Mécanisme de journalisation intégré aux systèmes Windows.

  • Enregistre les logs du système d'exploitation et des applications.

  • Utile pour le dépannage et la détection des problèmes de sécurité.

  • Types de logs : Application, Système, Sécurité, etc.

  • Informations des événements : Event ID, Log Level (Information, Warning, Error), Message.

  • Exemples d'Event IDs critiques pour la sécurité :

    • 4740 : Verrouillage de compte (Account Lockout).

    • 4728, 4732, 4756 : Ajout d'utilisateur à un groupe privilégié.

    • 4735 : Modification de groupe activé pour la sécurité.

    • 4624 : Connexion réussie d'un compte utilisateur.

    • 4625 : Échec de connexion d'un compte utilisateur.

    • 4648 : Connexion avec des informations d'identification explicites.

    • 4720 : Création d'utilisateur.

    • 4663 : Tentative d'accès à un fichier pour suppression.

    • 4660 : Confirmation de suppression de fichier.

  • La configuration avancée des stratégies d'audit (GPO) permet de loguer les ouvertures de sessions et l'audit du système de fichiers.

Sysmon (System Monitor)

  • Fait partie de la Sysinternals Suite de Microsoft.

  • Service Windows et pilote qui surveille et logue les activités système dans le journal d'événements Windows.

  • Fournit des informations détaillées sur la création de processus, les connexions réseau, le chargement de modules, l'activité des fichiers, les modifications du registre, etc.

  • Event IDs importants de Sysmon :

    • 1 : Création de processus.

    • 2 : Changement de temps de création de fichier.

    • 3 : Connexion réseau.

    • 5 : Processus terminé.

  • 11 : Création de fichier.

  • 13 : Événement de registre (Création et Suppression).

  • Installation : Sysmon.exe -accepteula -i (avec paramètres par défaut) ou Sysmon.exe -accepteula -i c:\windows\config.xml (avec fichier de configuration XML).

  • Sysmon for Linux : Équivalent officiel Microsoft, open-source, utilise eBPF pour capturer les événements noyau.

Outils d'Analyse de Malware (Sandboxes)

  • Any.Run : Plateforme interactive d'analyse de malware en ligne. Permet d'analyser l'activité réseau, fichier, module et registre.

  • Hybrid Analysis : Service gratuit d'analyse de malware utilisant la technologie Hybrid Analysis.

  • TCPView : Affiche les activités de connexion TCP/UDP, les processus associés.

Systèmes de Gestion de Logs et Sécurité

  • Splunk : Plateforme permettant d'indexer, regrouper, stocker, corréler, analyser et visualiser des logs.

    • Architecture : Recherche Head, Indexeur Splunk, Forwarder Splunk.

    • Déploiement : Cloud (SaaS) ou On-Premise.

    • Collecte de données : Logs d'événements locaux/à distance, fichiers et répertoires, HTTP Event Collector, TCP/UDP (Syslog), Performance Monitoring, Registry monitoring, Active Directory monitoring, Scripts.

    • Source type : Catégorise les données pour faciliter la recherche.

    • Index : Emplacement de stockage des événements.

  • Wazuh : Plateforme de sécurité open source (SIEM, FIM, détection d'intrusions, gestion des vulnérabilités).

    • Déploiement : Machine virtuelle (ex. VMware) ou autres.

    • Installation de l'agent sur les endpoints (ex. Windows 10 via PowerShell : `Invoke-WebRequest -Uri .../wazuh-agent.msi -OutFile .../wazuh-agent; msiexec.exe /i .../wazuh-agent /q WAZUH_MANAGER='IP_MANAGER' WAZUH_AGENT_NAME='NOM_AGENT'`).

    • Configuration de agent.conf (par groupe ou spécifique) pour la collecte de logs Windows (Security, System, Application), activation de Sysmon, surveillance de l'intégrité des fichiers, inventaire système, surveillance d'événements critiques.

    • FIM (File Integrity Monitoring) : Syscheck module. Détecte les modifications de fichiers/registre. Calcule les hashs, compare les états, génère des alertes.

    • Règles Wazuh personnalisées : Création de règles XML dans `local_rules.xml` pour détecter des événements spécifiques (ex. PowerShell EncodedCommand`).

Syslog sur Équipement Cisco

  • Centralisation des logs.

  • Niveaux de sévérité (du plus critique au plus verbeux) :

    • 0 : emergency (Système inutilisable)

    • 1 : alert (Action immédiate)

    • 2 : critical (Conditions critiques)

    • 3 : error (Erreurs)

    • 4 : warning (Avertissements)

    • 5 : notice (Événements normaux importants)

    • 6 : info (Informations)

    • 7 : debug (Très verbeux)

  • Configuration :

    • logging on, logging host 192.168.1.10, logging trap informational (niveau 6), logging Userinfo.

    • Synchronisation NTP : `ntp server 192.168.1.10`, `ntp authentication-key 1 md5 Cisco123`, `ntp authenticate`, `ntp trusted-key 1`, `ntp server 192.168.1.10 key 1`.

4. Répondre à des Incidents de Cybersécurité

Ce chapitre couvre les stratégies et processus de réponse aux incidents, y compris leur automatisation.

Définir les Étapes d'un Plan de Base de Réponse aux Incidents

Définition d'un Plan de Réponse aux Incidents

Un plan de réponse aux incidents de sécurité de l'information (IRP) est un document structuré qui identifie les objectifs, les attentes, les rôles et les responsabilités pour la préparation, la détection, l'activation/réponse, le confinement, la correction, la notification, la résolution et l'analyse post-action des incidents.

Objectifs généraux :

  • Fournir une stratégie cohérente de réponse.

  • Protéger la confidentialité, l'intégrité et la disponibilité des systèmes.

  • Protéger la communauté universitaire et minimiser les atteintes à la réputation.

  • Aider l'université à se rétablir.

  • Mettre en œuvre des actions correctives opportunes.

  • Répondre aux exigences légales/réglementaires.

Avantages de la planification :

  • Fournit un processus standardisé.

  • Aide à répondre rapidement et efficacement, en réduisant les délais et les coûts.

  • Prépare les équipes pour les scénarios clés (menaces connues et inconnues).

  • Protège les informations sensibles (PII, PHI, financières, secrets commerciaux).

Un IRP est un plan documenté en 6 phases distinctes, nécessitant des mises à jour régulières et une formation continue.

Exemple d'un Plan de Réponse (selon SANS Institute)

Le manuel des gestionnaires d'incidents du SANS Institute propose six étapes pour gérer efficacement les incidents :

  1. Préparation :

    • Phase cruciale pour déterminer les outils et ressources.

    • Prévenir les incidents en sécurisant systèmes, réseaux et applications.

    • Tâches : Définir les incidents critiques, examiner la politique de sécurité, effectuer une évaluation des risques.

    • Questionnaire de préparation : Formation des employés, approbation par la direction, connaissance des rôles de l'équipe, simulations d'exercices.

  2. Identification :

    • Surveiller les réseaux et systèmes pour détecter les écarts des activités normales.

    • Déterminer si les anomalies sont de réels incidents.

    • Questions clés : Quand, comment, qui a découvert l'événement ? Quels impacts, quelle portée, quelle source ?

  3. Confinement :

    • Limiter les dommages de l'incident et empêcher tout autre dommage.

    • Confinement à court terme (ex: isoler le segment réseau) et à long terme (correctifs temporaires, reconstruction).

    • Mettre en quarantaine les malwares, modifier les identifiants d'accès, renforcer les mots de passe, appliquer les correctifs.

  4. Éradication :

    • Trouver et éliminer la cause profonde de l'incident.

    • Supprimer les logiciels malveillants, restaurer les systèmes affectés.

    • Objectifs : Suppression sécurisée des malwares, identification de la cause première, définition de règles pour prévenir les futures attaques.

  5. Récupération :

    • Restaurer les systèmes et appareils en état de fonctionnement complet après vérification de leur propreté.

    • Procédures : Définir les opérations de restauration, vérifier la fonctionnalité des systèmes, surveiller en continu.

    • Questions clés : Quand remettre en production ? Systèmes corrigés et testés ? Possibilité de restaurer à partir de sauvegardes de confiance ? Outils pour prévenir de nouvelles attaques ?

  6. Leçons Apprises (Post-Incident) :

    • Deux semaines après l'incident, analyser l'incident et ses dégâts.

    • Documenter tout ce qui concerne l'incident.

    • Déterminer ce qui a bien fonctionné dans le plan et extraire les leçons pour l'améliorer.

    • Questions clés : Changements nécessaires à la sécurité ? Formation des employés ? Faiblesses exploitées ? Comment éviter une répétition ?

Automatiser la Réponse aux Incidents

L'automatisation de la réponse aux incidents (IRA) est le processus d'automatisation des actions pour garantir que les incidents critiques sont détectés et traités de manière efficace et cohérente.

Processus à Mettre en Place

L'avantage fondamental de l'automatisation est la rapidité, réduisant le temps de réponse face aux cybermenaces et permettant une défense 24/7.

  1. Créer le plan de réponse convenable : Débuter avec des tâches manuelles pour un premier plan, puis pratiquer sur des événements réels pour évaluer l'efficacité.

  2. Identifier et classer les incidents : Via rapports utilisateurs, analyses de solutions ou identification manuelle. Enregistrer l'incident, puis enquêter et catégoriser.

  3. Automatiser les actions de réponses aux incidents : Choisir les outils convenables. Déterminer les étapes à automatiser, surtout pour les premières implémentations.

  4. Évaluer et affiner continuellement : Examiner ce qui a fonctionné et non après chaque incident, affiner les processus. Surveiller les processus automatisés.

  5. Développer des modèles de réponses automatisées matures : Une fois le système mature, créer des modèles de réponses pour des incidents spécifiques, permettant la réutilisation et la personnalisation pour de nouveaux types d'incidents.

Technologies d'Automatisation

Points importants lors du choix des technologies :

  • Déterminer la partie du processus à automatiser (certains outils sont spécifiques, d'autres couvrent tout).

  • S'assurer que l'équipe de sécurité possède les compétences nécessaires.

  • Penser au déploiement des outils et au coût total de la solution.

Outils gratuits pour automatiser la réponse aux incidents :

  • AlienVault USM Anywhere : SIEM open source pour l'évaluation des vulnérabilités, la détection d'intrusions, l'analyse comportementale et la corrélation d'événements.

  • GRR Rapid Response (Google) : Framework de réponse aux incidents axé sur la criminalistique en direct à distance. Automatisation des tâches, scripts via console Python.

  • Velociraptor : Plateforme open-source avancée de surveillance des terminaux et de criminalistique numérique (collecte d'informations d'état via VQL).

  • TheHive : Système de management des SOC, permettant la collaboration des équipes pour la recherche et l'investigation des incidents. Intégration via API Python.

  • SANS Investigative Forensic Toolkit (SIFT) : Outil open source de réponse aux incidents et de criminalistique. Crée des chronologies, sculpte des fichiers, analyse la corbeille.

Outils payants pour automatiser la réponse aux incidents :

  • SolarWinds Security Event Manager (SEM) : SIM (Security Information Manager) qui recherche les activités malveillantes dans les fichiers journaux. Outil avancé nécessitant une maîtrise.

  • Splunk Phantom : Système SOAR (Orchestration, Automatisation et Réponse aux Incidents). Intégré à Splunk, crée des chaînes d'activités pour détecter les anomalies et lancer des actions d'atténuation.

  • LogRhythm NextGen SIEM : Plateforme qui fournit des services pour détecter et arrêter les menaces de sécurité via des outils comme NetMon (surveillance réseau) et SysMon (surveillance terminaux), qui alimentent AnalytiX (serveur

Lancer un quiz

Teste tes connaissances avec des questions interactives