Cours 5 - Réponse aux incidents

Question 1

Qu’est-ce qu’un NIDS?

Answer 1

systeme de detection d’intrusion réseau

Utilise une base de comportement (détection par anomalie) ou les signatures pour analyser le trafic. Détecte des patterns anormaux (ex port anormal) ou qui contrevient à une règle (action, port, ip source , ip destination, port dest ).

Regarde le contenu du paquet contrairement au firewall. Plus sophistiqué que le firewall.

Question 2

Quelle est la méthode de détection par signature

Answer 2

Pattern matching

avantage: détecte avec précision les attaques connues. Facile à écrire et générer pour des attaques connues.

désavantages: Incapable de détecter les attaques inconnues. Si l’attaque change, la signature n’est plus utile.

1e ligne de défence

Question 3

Qu’est-ce qu’un pot de miel

Answer 3

Une machine destinée à se faire attaquer.

Question 4

difference entre IPS et firewall

Answer 4

IPS fait plus de liens entre les paquets pour comprendre l’info

firewall est stateless, il bloque le traffic selon des règles simples.

Question 5

Qu’est-ce qu’un IDS fait, qu’un firewall ne fait pas?

Answer 5

Parefeu
ne fait pas de correspondance de contenu
IDS
scan ip port et fait correspondance du contenenu
analyse dynamique
a besoin d’une base de connaissance
(indicateur de compromission, signature)

Il peut aussi faire analyse de comportement

Question 6

IPS vs IDS

Answer 6

IPS va bloquer automatiquement les intrusions

An IDS is designed to only provide an alert about a potential incident, which enables a security operations center (SOC) analyst to investigate the event and determine whether it requires further action. An IPS, on the other hand, takes action itself to block the attempted intrusion or otherwise remediate the incident.

Question 7

Qu’est-ce qu’un IDS?

Answer 7

Intrusion detection system
Utilise des signatures comme base de connaissance pour caractériserr des attaques. Peut également se baser sur les comportements

Question 8

Quelle est la difference entre NIDS et HIDS

Answer 8

HIDS: IDS au niveau de l’hôte (ex antivirus)

NIDS : IDS au niveau du network. Vérifie le contenue des paquets pour les analyser dynamiquement. des attaques.

Question 9

Indicateur de compromis (IoC)

Answer 9

• un motif ou une signature
• permettant d’identifier une intrusion
  avec une grande certitude

Question 10

Quelle est la différence entre un IDS actif et un IPS?

Answer 10

IDS actif : bloque ce qui contrevient aux règles sans prévenir les attaques.

IPS: bloque et également analyse à l’avance pour prévenir les attaques

Question 11

Quelle est la différence entre un IDS actif et un IDS passif?

Answer 11

IDS actif : bloque ce qui contrevient aux règles

IDS passif: envoie des alertes mais ne bloque pas le trafic

Question 12

Quels sont différents éléments de cette signature

alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:“BlackRose
C2”; flow:established,to_server; content:“GET”; content:
“|2f 3f|q|3d|”; distance:1; pcre:”/\x2f\x3fq\x3d\d+\x2d
Registration\x3a/smi”; content:!”User-Agent|3a|”; content:
”Connection|3a 20|keep-alive”; content: “Host|3a 20|”;
pcre:”/Host\x3a\x20([0-9]{1,2}.){3}[0-9]{1,3}\x3a/”;
classtype:trojan-activity; sid:10000003; rev:1;)

Answer 12

• $EXTERNAL_NET : tout le trafic externe
• any : tous les ports pour /viter botnets
• content: GET : méthode GET
• content:“|2f 3f|q|3d|”; code ascii de caractères spécifiques dans la requête
• distance:1 espace entre le GET et l’URL
  GET /?q=…
• content:!”User-Agent|3a|”; pas de user-agent

Question 13

Qu’est-ce que la détection par anomalie? Quels sont ses avantages et ses inconvénients?

Answer 13

Apprentissage supervisé ou non supervisé des anomalies.

Avantages
- Détecte les attaques inconnues
- Contrôle n’importe quelle source de
données
- Trouve des comportements non habituels
impossible à détecter par les autres outils

Inconvénients
Génère beaucoup de faux positifs
- Entrainement coûteux (en temps, en matériel)
- Expertise requise

Question 14

Quel est le rôle et les étapes du CTI?

Answer 14

CTI (Processs d’analyse des cyber menaces)

rôles:
Stratégique:
CTI explique les menaces aux personnels non techniques
- en offrant une vue globale des risques et conséquences
des attaques

Tactique
CTI décrit les méthodes d’attaque pour le
personnel technique , i.e.
- les TTP récentes utilisées par les attaques

Technique
- CTI fournit les détails techniques tels que les indicateurs
de compromission des attaques,
- l’analyse/prévention/détection des URL malicieux ou maliciels

opérationnel
- CTI fournit les détails techniques tels que les indicateurs
de compromission des attaques,
- l’analyse/prévention/détection des URL malicieux ou maliciels

étapes du processus:
Collection &Traitement
Analyse
Production (rapports)
Dissémination & Feedback
Planification & Direction

Question 15

Quelles sont les étapes de réponse à un incident?

Answer 15

-Identification
-Endiguement (Isoler ou contenir le réseau/hôte infecté afin d’éviter la propagation )
-Eradication (Supprimer les maliciels
Stopper le cluster réseau / hôte
infecté)
- Restauration du système dans son
état normal
- Activité postincident (Tirer des leçons
Documenter l’attaque)
- Préparation (Former l’équipe,
Préparer de la plateforme
et du matériel, documentation)

Question 16

:::::::::::::::::REVISION::::::::::::::::

Answer 16

:::::::::::::::::REVISION::::::::::::::::

Question 17

Nommez des hosted hypervisor

Answer 17

Oracle VM VirtualBox, VMware Workstation

Question 18

Qu’est-ce qu’un hyperviseur

Answer 18

A hypervisor is a program which controls the physical resources of a computing machine and distributes those resources between a number of various operating systems, which allows them to be run at the same time.

In other words, a hypervisor creates copies or clones of one physical computer’s hardware resources. Each clone is presented to the user as a separate device. Users can install guest operating systems on each of the virtual machines with no ties to the host hardware.

Question 19

Qu’est-ce qu’un hyperviseur hybride?

Answer 19

a combination of a thin hypervisor and the specialized service OS functioning on the hardware level under its control

The hypervisor controls the CPU and the memory directly while the service OS provides guests access to I/O devices.

Question 20

Nommez différents hyperviseurs baremetal

Answer 20

Hyper-V, Xen (Xenserver, Citrix Hypervisor), VMware ESXi

Question 21

Nommez différents hyperviseurs hybrides

Answer 21

Hyper-V et Xen

Question 22

Est-ce que le SDN permet seulement de virtualiser le réseau?

Answer 22

Non, il y a aussi les ressources de calcul qui sont virtualisées.

Question 23

Comment est-ce que AWS sélectionne la région appropriée?

Answer 23

Route 53 (is a highly available and scalable Domain Name System (DNS) web service. Route 53 connects user requests to internet applications running on AWS or on-premises.) If you’re using Route 53 Resolver to set up hybrid configurations, you create endpoints in AWS Regions that you choose, and you specify IP addresses in multiple Availability Zones.

ou

CloudFront (qui trouve le datacenter le plus proche)

Question 24

Quelles sont les techniques de caching

Answer 24

Consistent hashing car utilise la région pour créer son hache.

Consistent Hashing has several wide applications. It is used for sharding, load balancing, etc. It enables horizontal scalability. It minimizes disruption in a dynamic environment.

Consistent hashing is used in distributed systems to keep the hash table independent of the number of servers available to minimize key relocation when scale changes occur.

Question 25

Particularité du consistent haching

Answer 25

A une table hachage et arrange les données de façon circulaire. Utilise la région pour créer son hache.

The main benefit of Consistent Hashing is that any server can be added or removed dynamically and only the minimal set of objects need to move.

Question 26

Quelle est la différence entre SDN et NFV?

Answer 26

le SDN utilise le NFV pour virtualiser les données.

Le SDN opère à un plus haut niveau pour orchestrer le réseau. NFV procure les fonctions réseau de base.

Question 27

SDN utilise quel protocole?

Answer 27

OpenFlow

Question 28

Quels sont les risques au repos?

Answer 28

mauvais chiffrement

Question 29

Exemple de chiffrement symmétrique

Answer 29

Blowfish, triple DES (128), AES (128)

Question 30

Exemple de chiffrement asymmétrique

Answer 30

RSA 2048

Question 31

Différence entre vulnérabilité et menace

Answer 31

vulnérabilité: faille qui offre opportunité de porter dommage à un bien.
menace: peut être accidentelle ou délibérée. Scénario qualitatif de la perte du bien qui fait intervenir le bien, et les agents de menace.

Question 32

Différence entre tactique et technique

Answer 32

-Tactique : Ce qu’on veut faire . De haut niveau
- Technique: Comment on le réalise. Description détaillée de l’action dans le contexte d’une tactique.

Question 33

Quelles sont les phases du cycle MITRE

Answer 33

Les phases du cycle MITRE se décomposent comme suit :

Reconnaissance : l’adversaire développe une stratégie sur la cible
Militarisation : il développe des cyber-armes et détermine la meilleure méthode pour réussir leur déploiement
Déploiement : il déploie les cyber-armes sur un système cible prédéterminé
Exploitation : il exploite une vulnérabilité pour installer et activer des programmes malveillants sur le système cible
Contrôle : il gère la cible initiale et procède à une reconnaissance interne
Exécution : il exécute son plan pour atteindre ses objectifs (exfiltration des données, par exemple)
Maintien : il assure sa présence à long terme sur les systèmes ou réseaux cibles (notamment en effaçant tout signe de présence)

Question 34

Exemples de tactiques et techniques

Answer 34

Tactique : initial access
technique: phishing

Question 35

Quelle est la ressource pour connaitre les tactiques et techniques

Answer 35

MITRE ATT&CK

Question 36

Quelle est la différence entre la fédération des identités et IAM?

Answer 36

les deux peuvent gérer des identités dans le cadre de plusieurs organisations et plusieurs cloud.

fédération des identité

top level à partir de IDP

IAM
plus bas niveau
permet de gérer plus que les identités en faisant également la gestion des ressources de bas niveau.
gestion de l’infrastructure au niveau du provider

Question 37

Quelle est la différence entre guard duty et inspector?

Answer 37

Guard duty: Analyse les menaces du système. GuardDuty is a cloud-centric IDS service that uses Amazon Web Services (AWS) data sources to detect a broad range of threat behaviors

Inspector: Collection des vulnérabilités et analyse les erreurs de compliance.
Amazon Inspector is an automated vulnerability management service that continually scans AWS workloads for software vulnerabilities and unintended network exposure.

Question 38

Qu’est -ce qu’il faut comme info externe pour analyser les infos de guard duty?

Answer 38

Des filtres externes. Ex trouver des infos aditionneles sur l’adresse IP.

Question 39

VPC Peering fonctionnement

comment est-ce que ça aide lors d’attaques.

Answer 39

End to end entre 2 VPC. Instances in either VPC can communicate with each other as if they are within the same network.

On peut autmatiquement synchroniser les données (no single point of failure).

Question 40

Trafic mirroring

Answer 40

Copie du traffic. used to copy network traffic from the elastic network interface of an EC2 instance to a target for analysis.

Question 41

Différence entre trafic mirroring et VPC Peering

Answer 41

VPC Peering n’est pas que le traffic, peut etre aussi les fichiers et configurations

Question 42

Principes de IaC

Answer 42

Reusability, consistency, transparency

Question 43

Comment est-ce qu’on scanne les vulnérabilités avec Terraform

Answer 43

Trivy ou Terraform scan

Question 44

Réviser la matrice de contrôle d’accès

et les politiques IAM
et IAC

squelette sur cloudformation

paramètre, champ ressource
variables globales
comment gérer les états