Cours 5 - Réponse aux incidents Flashcards
Qu’est-ce qu’un NIDS?
systeme de detection d’intrusion réseau
Utilise une base de comportement (détection par anomalie) ou les signatures pour analyser le trafic. Détecte des patterns anormaux (ex port anormal) ou qui contrevient à une règle (action, port, ip source , ip destination, port dest ).
Regarde le contenu du paquet contrairement au firewall. Plus sophistiqué que le firewall.
Quelle est la méthode de détection par signature
Pattern matching
avantage: détecte avec précision les attaques connues. Facile à écrire et générer pour des attaques connues.
désavantages: Incapable de détecter les attaques inconnues. Si l’attaque change, la signature n’est plus utile.
1e ligne de défence
Qu’est-ce qu’un pot de miel
Une machine destinée à se faire attaquer.
difference entre IPS et firewall
IPS fait plus de liens entre les paquets pour comprendre l’info
firewall est stateless, il bloque le traffic selon des règles simples.
Qu’est-ce qu’un IDS fait, qu’un firewall ne fait pas?
Parefeu
ne fait pas de correspondance de contenu
IDS
scan ip port et fait correspondance du contenenu
analyse dynamique
a besoin d’une base de connaissance
(indicateur de compromission, signature)
Il peut aussi faire analyse de comportement
IPS vs IDS
IPS va bloquer automatiquement les intrusions
An IDS is designed to only provide an alert about a potential incident, which enables a security operations center (SOC) analyst to investigate the event and determine whether it requires further action. An IPS, on the other hand, takes action itself to block the attempted intrusion or otherwise remediate the incident.
Qu’est-ce qu’un IDS?
Intrusion detection system
Utilise des signatures comme base de connaissance pour caractériserr des attaques. Peut également se baser sur les comportements
Quelle est la difference entre NIDS et HIDS
HIDS: IDS au niveau de l’hôte (ex antivirus)
NIDS : IDS au niveau du network. Vérifie le contenue des paquets pour les analyser dynamiquement. des attaques.
Indicateur de compromis (IoC)
- un motif ou une signature
- permettant d’identifier une intrusion
avec une grande certitude
Quelle est la différence entre un IDS actif et un IPS?
IDS actif : bloque ce qui contrevient aux règles sans prévenir les attaques.
IPS: bloque et également analyse à l’avance pour prévenir les attaques
Quelle est la différence entre un IDS actif et un IDS passif?
IDS actif : bloque ce qui contrevient aux règles
IDS passif: envoie des alertes mais ne bloque pas le trafic
Quels sont différents éléments de cette signature
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:“BlackRose
C2”; flow:established,to_server; content:“GET”; content:
“|2f 3f|q|3d|”; distance:1; pcre:”/\x2f\x3fq\x3d\d+\x2d
Registration\x3a/smi”; content:!”User-Agent|3a|”; content:
”Connection|3a 20|keep-alive”; content: “Host|3a 20|”;
pcre:”/Host\x3a\x20([0-9]{1,2}.){3}[0-9]{1,3}\x3a/”;
classtype:trojan-activity; sid:10000003; rev:1;)
- $EXTERNAL_NET : tout le trafic externe
- any : tous les ports pour /viter botnets
- content: GET : méthode GET
- content:“|2f 3f|q|3d|”; code ascii de caractères spécifiques dans la requête
- distance:1 espace entre le GET et l’URL
GET /?q=… - content:!”User-Agent|3a|”; pas de user-agent
Qu’est-ce que la détection par anomalie? Quels sont ses avantages et ses inconvénients?
Apprentissage supervisé ou non supervisé des anomalies.
Avantages
- Détecte les attaques inconnues
- Contrôle n’importe quelle source de
données
- Trouve des comportements non habituels
impossible à détecter par les autres outils
Inconvénients
Génère beaucoup de faux positifs
- Entrainement coûteux (en temps, en matériel)
- Expertise requise
Quel est le rôle et les étapes du CTI?
CTI (Processs d’analyse des cyber menaces)
rôles:
Stratégique:
CTI explique les menaces aux personnels non techniques
- en offrant une vue globale des risques et conséquences
des attaques
Tactique
CTI décrit les méthodes d’attaque pour le
personnel technique , i.e.
- les TTP récentes utilisées par les attaques
Technique
- CTI fournit les détails techniques tels que les indicateurs
de compromission des attaques,
- l’analyse/prévention/détection des URL malicieux ou maliciels
opérationnel
- CTI fournit les détails techniques tels que les indicateurs
de compromission des attaques,
- l’analyse/prévention/détection des URL malicieux ou maliciels
étapes du processus:
Collection &Traitement
Analyse
Production (rapports)
Dissémination & Feedback
Planification & Direction
Quelles sont les étapes de réponse à un incident?
-Identification
-Endiguement (Isoler ou contenir le réseau/hôte infecté afin d’éviter la propagation )
-Eradication (Supprimer les maliciels
Stopper le cluster réseau / hôte
infecté)
- Restauration du système dans son
état normal
- Activité postincident (Tirer des leçons
Documenter l’attaque)
- Préparation (Former l’équipe,
Préparer de la plateforme
et du matériel, documentation)
:::::::::::::::::REVISION::::::::::::::::
:::::::::::::::::REVISION::::::::::::::::
Nommez des hosted hypervisor
Oracle VM VirtualBox, VMware Workstation
Qu’est-ce qu’un hyperviseur
A hypervisor is a program which controls the physical resources of a computing machine and distributes those resources between a number of various operating systems, which allows them to be run at the same time.
In other words, a hypervisor creates copies or clones of one physical computer’s hardware resources. Each clone is presented to the user as a separate device. Users can install guest operating systems on each of the virtual machines with no ties to the host hardware.
Qu’est-ce qu’un hyperviseur hybride?
a combination of a thin hypervisor and the specialized service OS functioning on the hardware level under its control
The hypervisor controls the CPU and the memory directly while the service OS provides guests access to I/O devices.
Nommez différents hyperviseurs baremetal
Hyper-V, Xen (Xenserver, Citrix Hypervisor), VMware ESXi
Nommez différents hyperviseurs hybrides
Hyper-V et Xen
Est-ce que le SDN permet seulement de virtualiser le réseau?
Non, il y a aussi les ressources de calcul qui sont virtualisées.
Comment est-ce que AWS sélectionne la région appropriée?
Route 53 (is a highly available and scalable Domain Name System (DNS) web service. Route 53 connects user requests to internet applications running on AWS or on-premises.) If you’re using Route 53 Resolver to set up hybrid configurations, you create endpoints in AWS Regions that you choose, and you specify IP addresses in multiple Availability Zones.
ou
CloudFront (qui trouve le datacenter le plus proche)
Quelles sont les techniques de caching
Consistent hashing car utilise la région pour créer son hache.
Consistent Hashing has several wide applications. It is used for sharding, load balancing, etc. It enables horizontal scalability. It minimizes disruption in a dynamic environment.
Consistent hashing is used in distributed systems to keep the hash table independent of the number of servers available to minimize key relocation when scale changes occur.
Particularité du consistent haching
A une table hachage et arrange les données de façon circulaire. Utilise la région pour créer son hache.
The main benefit of Consistent Hashing is that any server can be added or removed dynamically and only the minimal set of objects need to move.
Quelle est la différence entre SDN et NFV?
le SDN utilise le NFV pour virtualiser les données.
Le SDN opère à un plus haut niveau pour orchestrer le réseau. NFV procure les fonctions réseau de base.
SDN utilise quel protocole?
OpenFlow
Quels sont les risques au repos?
mauvais chiffrement
Exemple de chiffrement symmétrique
Blowfish, triple DES (128), AES (128)
Exemple de chiffrement asymmétrique
RSA 2048
Différence entre vulnérabilité et menace
vulnérabilité: faille qui offre opportunité de porter dommage à un bien.
menace: peut être accidentelle ou délibérée. Scénario qualitatif de la perte du bien qui fait intervenir le bien, et les agents de menace.
Différence entre tactique et technique
-Tactique : Ce qu’on veut faire . De haut niveau
- Technique: Comment on le réalise. Description détaillée de l’action dans le contexte d’une tactique.
Quelles sont les phases du cycle MITRE
Les phases du cycle MITRE se décomposent comme suit :
Reconnaissance : l’adversaire développe une stratégie sur la cible
Militarisation : il développe des cyber-armes et détermine la meilleure méthode pour réussir leur déploiement
Déploiement : il déploie les cyber-armes sur un système cible prédéterminé
Exploitation : il exploite une vulnérabilité pour installer et activer des programmes malveillants sur le système cible
Contrôle : il gère la cible initiale et procède à une reconnaissance interne
Exécution : il exécute son plan pour atteindre ses objectifs (exfiltration des données, par exemple)
Maintien : il assure sa présence à long terme sur les systèmes ou réseaux cibles (notamment en effaçant tout signe de présence)
Exemples de tactiques et techniques
Tactique : initial access
technique: phishing
Quelle est la ressource pour connaitre les tactiques et techniques
MITRE ATT&CK
Quelle est la différence entre la fédération des identités et IAM?
les deux peuvent gérer des identités dans le cadre de plusieurs organisations et plusieurs cloud.
fédération des identité
top level à partir de IDP
IAM
plus bas niveau
permet de gérer plus que les identités en faisant également la gestion des ressources de bas niveau.
gestion de l’infrastructure au niveau du provider
Quelle est la différence entre guard duty et inspector?
Guard duty: Analyse les menaces du système. GuardDuty is a cloud-centric IDS service that uses Amazon Web Services (AWS) data sources to detect a broad range of threat behaviors
Inspector: Collection des vulnérabilités et analyse les erreurs de compliance.
Amazon Inspector is an automated vulnerability management service that continually scans AWS workloads for software vulnerabilities and unintended network exposure.
Qu’est -ce qu’il faut comme info externe pour analyser les infos de guard duty?
Des filtres externes. Ex trouver des infos aditionneles sur l’adresse IP.
VPC Peering fonctionnement
comment est-ce que ça aide lors d’attaques.
End to end entre 2 VPC. Instances in either VPC can communicate with each other as if they are within the same network.
On peut autmatiquement synchroniser les données (no single point of failure).
Trafic mirroring
Copie du traffic. used to copy network traffic from the elastic network interface of an EC2 instance to a target for analysis.
Différence entre trafic mirroring et VPC Peering
VPC Peering n’est pas que le traffic, peut etre aussi les fichiers et configurations
Principes de IaC
Reusability, consistency, transparency
Comment est-ce qu’on scanne les vulnérabilités avec Terraform
Trivy ou Terraform scan
Réviser la matrice de contrôle d’accès
et les politiques IAM
et IAC
squelette sur cloudformation
paramètre, champ ressource
variables globales
comment gérer les états
