Objectif pédagogique : Ce cours vise à fournir une compréhension approfondie des attaques courantes auxquelles un analyste SOC pourrait faire face, ainsi que des stratégies de mitigation. Les participants apprendront à identifier les tactiques, techniques et procédures (TTPs) des acteurs malveillants, ainsi qu’à mettre en place des contre-mesures efficaces.

Public visé : Analystes SOC, spécialistes en cybersécurité, gestionnaires des incidents de sécurité, étudiants en cybersécurité.

Pré-requis : Notions de base en réseaux et en cybersécurité.

Programme détaillé :

Introduction aux TTPs et à la gestion des incidents

  1. Qu’est-ce que les TTPs ?

    • Définition : Tactics, Techniques, and Procedures (TTPs) représentent les modèles d’activités ou de méthodes associées à un acteur de menace. Comprendre ces TTPs permet aux analystes SOC de prévoir les actions des attaquants et de réagir de manière appropriée.

    • Exemples :

      • Les tactiques incluent des objectifs généraux tels que la compromission d’un système ou l’exfiltration de données.

      • Les techniques représentent des méthodes spécifiques, comme l’utilisation de phishing pour accéder à des informations d’identification.

      • Les procédures décrivent des étapes détaillées suivies par un attaquant, comme l’utilisation d’outils spécifiques pour élever les privilèges.

  2. Rôle d’un Analyste SOC

    • Surveillance et détection :

      • Utiliser des outils de sécurité tels que les systèmes de gestion des informations et des événements de sécurité (SIEM) pour surveiller les activités suspectes.

      • Configurer des systèmes de détection d’intrusion (IDS) et des systèmes de prévention d’intrusion (IPS) afin d’identifier et d’empêcher les menaces.

    • Réponse aux incidents :

      • Analyser les alertes de sécurité et déterminer la nature des menaces.

      • Collaborer avec d’autres équipes (réseau, infrastructure) pour mettre en œuvre des solutions de mitigation et contenir l’incident.

      • Documenter les incidents, les actions entreprises, et les leçons apprises pour améliorer la réponse future.

Types d’attaques courantes et stratégies de mitigation

  1. Attaque par force brute

    • Description :

      • Une attaque par force brute consiste à essayer diverses combinaisons de noms d’utilisateur et de mots de passe jusqu’à trouver la bonne. Cela peut être effectué par des outils automatisés capables de tester des milliers de combinaisons par seconde.

    • Mitigation :

      • Mots de passe complexes : Utiliser des règles de complexité pour imposer des mots de passe robustes (majuscules, minuscules, chiffres, caractères spéciaux).

      • Verrouillage de compte : Bloquer un compte après plusieurs tentatives de connexion infructueuses pour empêcher les attaques répétées.

      • Captcha : Mettre en place des Captcha pour ralentir les attaques automatisées.

      • Authentification multi-facteurs (MFA) : Utiliser des facteurs d’authentification supplémentaires (ex. : SMS, applications OTP).

  2. Attaque par dictionnaire

    • Description :

      • Cette attaque est une variante de la force brute où l’attaquant utilise une liste de mots prédéfinis comme mots de passe. Ces listes sont souvent constituées de mots courants ou d’informations personnelles possibles (ex. : prénom, date de naissance).

    • Mitigation :

      • Éviter les mots simples : Conseiller aux utilisateurs de ne pas utiliser des mots simples ou des informations personnelles comme mots de passe.

      • Mots de passe uniques et complexes : Utiliser des générateurs de mots de passe et des gestionnaires pour assurer la complexité et l’unicité des mots de passe.

      • Captcha et MFA : Renforcer la sécurité avec des Captcha et des systèmes MFA.

  3. Attaque par table arc-en-ciel (Rainbow Table)

    • Description :

      • Utilise des tables pré-calculées de hachages pour casser les mots de passe. Une fois les hachages des mots de passe calculés, l’attaquant peut rapidement vérifier si un mot de passe donné correspond à un hachage dans la base.

    • Mitigation :

      • Salage des mots de passe : Ajouter des éléments aléatoires aux mots de passe avant de les hacher, rendant les tables arc-en-ciel inefficaces.

      • Hachage sécurisé : Utiliser des algorithmes de hachage sécurisés et lents, comme bcrypt ou scrypt, pour rendre les attaques plus difficiles.

      • Verrouillage de compte : Mettre en place des politiques de verrouillage après plusieurs tentatives infructueuses.

  4. Attaque “Pass-the-hash”

    • Description :

      • Permet à un attaquant d’authentifier un compte en utilisant le hachage du mot de passe au lieu du mot de passe en clair. Les attaquants volent des hachages de mots de passe et les utilisent pour accéder à des systèmes sans avoir à déchiffrer le mot de passe.

    • Mitigation :

      • Protection des comptes à privilèges : Restreindre l’accès aux comptes d’administrateurs et les protéger avec des solutions comme l’authentification MFA.

      • Isolation des comptes à privilèges : Utiliser des stations de travail dédiées uniquement aux actions administratives.

      • Pare-feu et segmentation : Limiter les mouvements latéraux avec des pare-feu locaux et une segmentation du réseau.

  5. Phishing, Spear Phishing et Whaling

    • Phishing :

      • Description : Attaque utilisant des emails déguisés pour tromper les utilisateurs et les inciter à divulguer des informations sensibles ou à cliquer sur des liens malveillants.

      • Mitigation : Utiliser des filtres de sécurité des emails pour bloquer les messages suspects, éduquer les utilisateurs à reconnaître les signes de phishing, et mettre en place des solutions comme DMARC.

    • Spear Phishing :

      • Description : Version plus ciblée du phishing, où l’attaquant utilise des informations spécifiques sur la victime pour rendre l’attaque plus crédible.

      • Mitigation : Former les employés à vérifier l’authenticité des demandes, même si elles semblent personnelles.

    • Whaling :

      • Description : Attaque visant des cadres supérieurs ou des membres de la direction, souvent pour obtenir un accès à des informations sensibles ou des fonds.

      • Mitigation : Éduquer les dirigeants sur les attaques ciblées et utiliser des mécanismes de vérification multiples pour les transactions sensibles.

  6. Attaque de type Man-in-the-Middle (MITM)

    • Description :

      • L’attaquant intercepte les communications entre deux parties afin d’espionner, de modifier ou d’injecter des messages. Ces attaques se produisent généralement dans des environnements de réseau non sécurisés (ex. : Wi-Fi public).

    • Mitigation :

      • Chiffrement : Utiliser des protocoles de chiffrement tels que TLS/SSL pour protéger les communications.

      • ARP statiques : Configurer des tables ARP statiques pour prévenir l’empoisonnement ARP.

      • IPS et détection des anomalies : Déployer des systèmes IPS capables de détecter des modifications inhabituelles dans les communications réseau.

  7. Attaque par déni de service (DoS) et déni de service distribué (DDoS)

    • Description :

      • Ces attaques consistent à surcharger un serveur ou un service avec des requêtes pour le rendre indisponible pour les utilisateurs légitimes. Les attaques DDoS utilisent plusieurs machines pour amplifier l’attaque.

    • Mitigation :

      • Anti-DDoS : Utiliser des services anti-DDoS qui filtrent le trafic avant qu’il n’atteigne l’infrastructure principale.

      • Limitation des connexions : Configurer des limites sur le nombre de connexions par IP pour éviter les abus.

      • Équilibrage de charge : Utiliser des équilibreurs de charge pour répartir le trafic entre plusieurs serveurs.

  8. Attaque par empoisonnement DNS (DNS Poisoning)

    • Description :

      • Exploite les vulnérabilités des serveurs DNS pour rediriger les utilisateurs vers des sites malveillants en falsifiant les enregistrements DNS.

    • Mitigation :

      • Audit régulier des zones DNS : Vérifier et sécuriser les configurations DNS pour éviter les vulnérabilités.

      • Mise à jour des serveurs DNS : Garder les logiciels DNS à jour pour éviter les exploits connus.

      • Restriction des transferts de zone : Limiter les transferts aux seuls serveurs autorisés.

  9. Attaque par “drive-by-download”

    • Description :

      • Cette attaque se produit lorsque l’utilisateur visite un site web compromis, déclenchant l’installation d’un logiciel malveillant sans son consentement.

    • Mitigation :

      • Mise à jour des logiciels : Encourager les utilisateurs à maintenir leurs systèmes, navigateurs et plugins à jour pour combler les vulnérabilités.

      • Antivirus et filtrage web : Utiliser des solutions antivirus qui analysent le trafic et des filtres web pour bloquer les sites potentiellement dangereux.

      • Limiter les add-ons : Restreindre l’installation d’extensions non vérifiées sur les navigateurs.

  10. ARP Poisoning

    • Description :

      • L’attaquant envoie des messages ARP falsifiés sur le réseau pour associer son adresse MAC à l’adresse IP d’une machine légitime, permettant ainsi d’intercepter ou de modifier les communications.

    • Mitigation :

      • ARP statiques : Utiliser des entrées ARP statiques pour les systèmes critiques, évitant ainsi les modifications malveillantes.

      • Outils de détection : Utiliser des outils comme XARP pour surveiller les anomalies ARP.

      • Filtrage de paquets : Configurer un filtrage de paquets pour bloquer les requêtes ARP suspectes.

Conclusion et pratiques recommandées

  • Formation continue des utilisateurs :

    • Reconnaître les menaces : Former les utilisateurs pour qu’ils reconnaissent les menaces potentielles (phishing, liens suspects, comportements inhabituels).

    • Gestion des mots de passe : Promouvoir l’utilisation de gestionnaires de mots de passe et la rotation régulière des mots de passe pour limiter les risques.

  • Utilisation de solutions de sécurité :

    • Outils de détection et de prévention : Implémenter des systèmes IDS/IPS pour détecter et bloquer les activités malveillantes.

    • Surveillance continue : Utiliser des solutions SIEM pour une surveillance continue, permettant de corréler les événements et d’identifier les incidents rapidement.

  • Approche en couches pour la sécurité :

    • Défense en profondeur : Mettre en œuvre des contrôles de sécurité à chaque niveau du réseau, incluant la sécurité périmétrique (pare-feu), la protection des hôtes (antivirus), et la sécurité des applications (WAF).

    • Segmentation du réseau : Segmenter le réseau pour limiter la propagation des attaques et faciliter le contrôle des accès.

Ce cours permet aux participants de se familiariser avec les techniques d’attaques courantes, leurs méthodes de mitigation, ainsi que le rôle essentiel des analystes SOC dans la réponse aux incidents de sécurité. Le contenu prépare les apprenants à mieux comprendre les comportements des attaquants et à réagir de manière proactive pour protéger les systèmes d’information.

 

Retour en haut