durcissement Flashcards
hardenning?
Selon le NIST le “hardenning” ou “durcissement” en français désigne le processus destiné à éliminer un moyen d’attaque en corrigeant les vulnérabilités et en désactivant les services non essentiels.
Le but du durcissement des systèmes est de réduire les vulnérabilités et la surface d’attaque du système en configurant de manière appropriée les paramètres et les fonctionnalités afin de limiter les risques d’exploitation par des attaquants.
Les 3 grands principes de base du hardenning ou durcissement:
Le durcissement des systèmes doit respecter 3 grands principes de base en cybersécurité :
Le principe de minimisation
Le principe de moindre privilège
Le principe de défense en profondeur
Le principe de minimisation
Le principe de moindre privilège
Le principe de défense en profondeur
- Le principe de minimisation en cybersécurité préconise la conception et l’installation de systèmes informatiques en évitant toute complexité inutile dans le but de : Réduire la surface d’attaque au strict minimum , Permettre une mise à jour et un suivi des systèmes efficace, Rendre l’activité de surveillance des systèmes plus accessible
- Chaque utilisateur, processus ou programme doit se voir attribuer uniquement les privilèges strictement requis pour accomplir ses tâches spécifiques, sans bénéficier de droits supplémentaires qui pourraient potentiellement être utilisés de manière malveillante.
- ce principe impose la mise en place de plusieurs couches de sécurité indépendantes et complémentaires qui ont pour objectifs de retarder l’attaquant.
Exemples pour les systèmes :
- Authentification requise avant d’effectuer des opérations, en particulier pour les opérations privilégiées.
- Journalisation centralisée des évènements au niveau du système et des services.
- Privilégier l’utilisation de services qui mettent en œuvre des mécanismes de cloisonnement ou de séparation de privilèges.
MAPS(Microsoft Advanced Protection Service (MAPS)
Microsoft Defender Antivirus fonctionne en toute transparence avec les services cloud Microsoft. Ces services de protection cloud, également appelés Microsoft Advanced Protection Service (MAPS), améliorent la protection en temps réel standard. Avec la protection cloud, les technologies de nouvelle génération permettent d’identifier rapidement les nouvelles menaces, parfois même avant qu’un seul point de terminaison ne soit infecté.
BAFS Block at First Sight’ feature”
BAFS est une fonctionnalité de la protection cloud de Microsoft Defender Antivirus qui permet de détecter et de bloquer les nouveaux logiciels malveillants en quelques secondes.
Fonctionnement de BAFS :
- Lorsque vous téléchargez un fichier exécutable à partir d’Internet ou provenant de la zone Internet (par exemple, des fichiers JavaScript, VBS ou des macros), Windows utilise la protection cloud de Microsoft Defender pour le scanner.
- La protection cloud vérifie le hachage du fichier exécutable dans son système en ligne pour déterminer s’il est déjà connu comme étant malveillant. Si le fichier est déjà répertorié comme dangereux, il est bloqué immédiatement.
- Si le fichier est inconnu et que le serveur cloud ne peut pas prendre de décision immédiate, l’Antivirus Microsoft Defender bloque temporairement le fichier et l’envoie dans le cloud.
- Le serveur cloud effectue une analyse plus approfondie du fichier pour déterminer s’il est suspect ou non. Cette analyse permet de réduire le temps de réponse de plusieurs heures à quelques secondes.
- En fonction des résultats de l’analyse dans le cloud, le fichier est soit autorisé à s’exécuter s’il est jugé sûr, soit bloqué définitivement dans toutes les autres occurrences s’il est suspect ou malveillant.