ATIC
ATIC
ATIC
• Objectif de la compétence :
Introduction
• Les entreprises, les organisations et même les individus sont régulièrement attaqués par
des cybercriminels et subissent souvent des dommages à long terme.
• L’année 2021 a été marquée par l’augmentation inattendue du nombre de cyberattaques
au Maroc. En effet, la Direction Générale de la Sécurité des Systèmes d’Information
(DGSSI) a signalé que ses centres de veille ont détecté et analysé environs 400 incidents
[*].
• Les principales missions de ces centres sont :
Reference : *
https://www.lopinion.ma/Cyber-securite-La-DGSSI-confirme-sa-reponse-a-des-centaines-de-cyberattaques-contre-le-Maroc_a27027.html
Copyright - Tout droit réservé - OFPPT 3
01 – Définir un incident de sécurité
Impacts possibles d’un incident de sécurité
Exemples :
• Selon une nouvelle étude de la société de sécurité de contenu IRDETO, les
pirates vendent des centaines d'informations de connexion volées pour des
services over-the-top OTT populaires sur les marchés du "DARK WEB".
• INCIDENT
• Définition générale :Evènement causant des dommages ou susceptible de le faire à
des personnes ou à des organisations
INCIDENT INFORMATIQUE
• Incident SSI:
Enregistrement de l’incident
Catégorisation par une équipe de support
Qualification par l’équipe de réponse aux
incidents
Désigner un responsable de l'analyse
Informer les bonnes personnes devant en
connaître
Chapitre 2
La Cyber Kill chaine
Étape de
Exploiter une vulnérabilité pour obtenir un accès : Former les employés, sécuriser le code et les
• Utiliser une vulnérabilité logicielle, matérielle appareils :
ou humaine • Formation de sensibilisation des employés et tests
• Acquérir ou développer un kit d'exploit par e-mail
• Déclencher un kit d'exploit ciblant les • Formation des développeurs web à la sécurisation
vulnérabilités du serveur du code
• Utiliser un kit d'exploit déclenché par les • Analyses régulières des vulnérabilités et tests
victimes, par exemple en ouvrant une pièce d'intrusion fréquents
jointe ou en cliquant sur un lien web • Mesures de renforcement de la sécurité des
malveillant terminaux
• Audit des terminaux pour déterminer l'origine des
exploits
La chaîne de frappe
Installation
• Installation - L'acteur de menace crée une porte dérobée dans le système afin de bénéficier d'un accès
continu à la cible.
• Pour préserver cette porte dérobée, il est important que l'accès distant n'alerte pas les analystes en
cybersécurité ou les utilisateurs. Pour être efficace, la méthode d'accès doit survivre aux analyses du
programme antimalware et au redémarrage de l'ordinateur.
• Le tableau récapitule les tactiques et les défenses utilisées au cours de l'étape d'installation.
• Capacité - Il s’agit d’un outil ou technique qu’utilise l’adversaire pour attaquer la victime.
• Infrastructure - Il s’agit de chemins d’accès réseau que les adversaires empruntent pour
commander et contrôler leurs capacités.
• Victime - Il s’agit de cible de l’attaque. Cependant, une victime peut initialement être la
cible, puis être utilisée dans le cadre de l’infrastructure pour lancer d’autres attaques.
DIAMANT MODEL
Les méta fonctionnalités
Les méta fonctionnalités étendent légèrement le modèle afin d’inclure les éléments majeurs
suivants :
• Horodatage - Cette méta-fonctionnalité indique l’heure de début et l’heure de fin d’un
événement; elle permet de regrouper les activités malveillantes.
• Étape - Cette méta-fonctionnalité est similaire aux étapes de la chaîne cybercriminelle; les
activités malveillantes comprennent deux ou plusieurs étapes exécutées successivement
pour atteindre le résultat souhaité
• Résultat - Le résultat détermine les bénéfices que le hacker a tirés de l’événement. Les
résultats peuvent être de différents types : confidentialité compromise, intégrité compromise
et disponibilité compromise.
• Direction - Cette méta-fonctionnalité indique la direction de l’événement au sein du modèle
en diamant. Cela Inclue adversaire vers infrastructure, infrastructure vers victime, victime
vers infrastructure et infrastructure vers adversaire.
Les métafonctionnalités
• Méthodologie - cette méta-fonctionnalité permet de classer les types d’événements, par
exemple analyse des ports, phishing, attaques par diffusion de contenu, inondation SYN,
etc.
• *Ressources - il s’agit d’une ou de plusieurs ressources externes utilisées par l’adversaire
pour l’événement d’intrusion, telles que logiciels, connaissances de l’adversaire,
informations (p. ex., nom d’utilisateur/mots de passe) et ressources pour mener l’attaque
(matériel, fonds, installations, accès réseau).
Navigation dans le modèle en diamant
Le modèle en diamant montre très bien comment le hacker passe d'un événement à l'autre.
Par exemple :
1 Un employé signale que son ordinateur ne fonctionne pas normalement.
2. Une analyse de l'hôte effectuée par le technicien responsable de la sécurité indique que
l'ordinateur est infecté par un malware
3. Une analyse révèle que ce malware contient une liste de noms de domaine CnC.
4. Ces adresses IP sont ensuite utilisées pour identifier l'adversaire, mais aussi pour analyser
les journaux afin de savoir si d'autres victimes de l'entreprise utilisent le canal CnC.
Caractérisation du modèle diamant
d'un exploit
Analyse et réponse aux incidents numériques
Le cadre MITRE ATT&CK
• Le cadre ATT&CK (ATT&CK) de MITRE permet de détecter les tactiques, techniques et procédures de
l'attaquant dans le cadre de la défense des menaces et de l'attribution des attaques.
• Les tactiques consistent en les objectifs techniques qu'un attaquant doit accomplir pour exécuter une attaque.
• Les techniques sont le moyen par lequel la tactique est accomplie.
• Les procédures sont les mesures spécifiques prises par les acteurs de la menace dans les techniques qui ont été
identifiées.
• Le MITRE ATT&CK Framework est une base de connaissances mondiale sur le comportement des acteurs de
menace.
• Le cadre est conçu pour permettre le partage automatisé de l'information en définissant des structures de
données pour l'échange d'informations entre sa communauté d'utilisateurs et MITRE.
Remarque : Effectuez une recherche sur Internet sur MITRE ATT&CK pour en savoir plus sur l'outil.
Rappel sur Mire att&ck
Profiter des frameworks comme MITRE ATT&CK peut aider l’équipe de sécurité à
comprendre l’adversaire et son fonctionnement, accélérant ainsi encore davantage la
détection et la réponse aux menaces.
Quelles sont les tactiques du framework ATT&CK
Quelles sont les tactiques du framework ATT&CK
Profil de pirate
. Appliquer les procédures de gestion des incidents :
Modèle de la norme ISO 27035:2019
Les phases de gestion d’incident de cybersécurité
• La gestion d’un incident de sécurité ne s’improvise pas. Il est donc important de
procéder de façon structurée afin de concilier efficacité et rapidité, tout en conservant
une démarche d’amélioration continue. Le schéma ci-après illustre les cinq phases de
gestion d’incident :
La phase planification
A.
planifier et préparer une politique et un plan de gestion d’incident de cybersécurité
s’avère indispensable pour une détection et une réponse efficaces aux incidents.
B.
la phase de planification et de préparation de la gestion des incidents de sécurité de
l'information se concentre sur la documentation de la politique de signalement et de
traitement des événements et des incidents de sécurité de l'information, ainsi que des
procédures associées ; mettre en place la structure organisationnelle et le personnel
appropriés pour la gestion des incidents ; et la mise en place d'un programme de
sensibilisation et de formation.
Exemples de Mesure à Maitre en place
Mettre sur pied une équipe de réponse aux incidents et lui assurer un programme de
formation approprié .
Déployer des méthodes et des équipements de détection des incidents et de contrôle
(équipements de sécurité, gestion des correctifs, évaluation des vulnérabilités,…) ;
Décrire les catégories et les types des incidents de cybersécurité
Définir et décrire la criticité de ces incidents ;
Définir les rôles et les responsabilités pour chaque phase du processus de gestion des
incidents de cybersécurité ;
Planifier des tests réguliers de vérification des processus et procédures de la gestion
des incidents de cybersécurité.
Les mesures à Maitre en Place
Sécurité réseau:
L'architecture du réseau ainsi que les équipements de sécurité (Firewalls, Proxy, ...)
doivent être configurés pour refuser toute activité qui n'est pas expressément autorisée.
Les connexions établies avec les succursales ou les partenaires qui empruntent des
réseaux publics ( LS, ADSL, MPLS, VPN opérateur, …) doivent être chiffrées de bout
en bout.
Prévention contre les malwares:
Les solutions pour détecter et arrêter les logiciels malveillants doivent être déployées à
tous les niveaux de l'entité (Postes utilisateurs, serveurs, proxy web et messagerie, …) et
les alertes générées doivent déclencher immédiatement le processus de traitement des
incidents
Les mesures à Maitre en Place
• Les alertes de sécurité sont des messages de notification générés par des
outils de surveillance de la sécurité du réseau, des systèmes et des
Appliance de sécurité. Les alertes peuvent prendre différentes formes
selon la source
Présentation de l'évaluation des alertes
Évaluation des alertes
• Les incidents liés à la sécurité sont classés en fonction d'un système inspiré des diagnostics médicaux.
Ce système de classification est utilisé pour orienter les actions et évaluer les procédures de diagnostic.
Le souci est que chaque diagnostic peut être exact ou erroné.
• Dans le domaine de l'analyse de la sécurité du réseau, l'analyste en cybersécurité reçoit une alerte.
L'analyste en cybersécurité doit déterminer si ce diagnostic est correct.
• Les alertes sont classées comme suit :
• Vrai positif : l'alerte correspond à un incident réel, après vérification.
• Faux positif: L'alerte ne correspond pas à un incident réel de sécurité Une activité bénigne qui
entraîne un faux positif est parfois appelée un déclencheur bénin.
• Il est également possible qu'une alerte ne soit pas générée. Dans ce cas, l'absence d'alerte est classée
comme :
• Vrai négatif: Aucun incident ne s'est produit. L'activité est bénigne.
• Faux négatif : un incident n'a pas été détecté.
Présentation de l'évaluation des alertes
Évaluation des alertes (Suite)
Lorsqu'une alerte est émise, elle est classée de quatre manières
Vrai Faux
Positive (l'alerte Un incident s'est Aucun incident ne s'est
existe) produit produit
• Les vecteurs d'attaque courants sont les supports, l'attrition, l'usurpation d'identité et la perte ou le
vol.
• Détection : Détection automatisée - Logiciel antivirus, IDS, détection manuelle - rapports
d'utilisateurs.
• Analyse : utilisez le profilage réseau et système pour déterminer la validité des incidents de
sécurité.
• Établissement de la portée : Fournir de l'information sur le confinement de l'incident et une
analyse plus approfondie des effets de l'incident.
• Notification d'incident : Aviser les
parties prenantes appropriées et les
parties externes, une fois que
l'incident est analysé et établi par
ordre de priorité,
Traitement des incidents
Confinement, éradication et rétablissement des
systèmes
•Après avoir déterminé la validité de l'incident par la détection et l'analyse, il doit être contenu.
• Une stratégie de confinement doit être créée et appliquée pour chaque type d'incident.
• Lorsqu'un incident se produit, il est nécessaire de réunir des preuves pour le résoudre.Il est requis pour
une enquête ultérieure par les autorités.
• Elle permet néanmoins de minimiser l'impact sur les ressources et les services critiques de l'entreprise.
• Éradication, restauration et
correction : pour éradiquer,
identifier tous les hôtes qui ont
besoin d'être corrigés ; pour
récupérer des hôtes, utiliser
des sauvegardes récentes et
propres ou les reconstruire
avec des supports
d'installation.
Stratègies de confinement
Traitement des incidents
Activités après incident
• Il est important d'effectuer une analyse post-incident et de se réunir régulièrement avec toutes les parties
impliquées pour discuter des événements qui ont eu lieu et des actions mises en oeuvre lors du
traitement de l'incident.
Renforcement de la protection après avoir tiré des leçons des incidents:
• Une fois qu'un incident majeur a été traité, l'entreprise doit organiser une réunion de mise au point
pour :
•Examiner l'efficacité du processus de gestion des incidents.
•Identifier les éléments et les pratiques pour lesquels la sécurité doit être
renforcée.
Traitement des incidents
Cycle de vie de la gestion des incidents NIST
• Le NIST définit les quatre étapes suivantes dans le cycle de vie de la gestion des incidents :
• Préparation : les membres de l'équipe CSIRT sont formés pour gérer un incident.
• Détection et analyse : par le biais d'une surveillance constante, l'équipe CSIRT identifie, analyse et
valide rapidement un incident.
• Confinement, éradication et rétablissement des systèmes : l'équipe CSIRT met en place des
procédures visant à confiner la menace, à éliminer l'impact sur les ressources de l'entreprise et à
utiliser les sauvegardes pour restaurer les données et les logiciels.
• Activités après l'incident : l'équipe CSIRT décrit ensuite la façon dont l'incident a été géré,
recommande des modifications pour une gestion future et indique comment éviter toute récurrence.