Understanding Defense

Le point de départ de la défense du réseau est l'identification des actifs, des vulnérabilités et des
menaces.
- Les actifs sont tout ce qui a de la valeur pour une organisation et qui doit être protégé,
notamment les serveurs, les dispositifs d'infrastructure, les dispositifs finaux et le plus grand
actif, les données.
-Les vulnérabilités sont des faiblesses dans un système ou sa conception qui pourraient être
exploitées par une menace.
acteur.
- Les menaces sont tout danger potentiel pour un bien.
Les organisations doivent utiliser une approche de défense en profondeur pour identifier les
menaces et sécuriser les données.
des actifs vulnérables.
- Les organisations doivent disposer d'un ensemble de politiques qui définissent les activités
autorisées sur le réseau.
- Les politiques d'entreprise définissent les normes de comportement correct pour l'entreprise et
ses employés.
Les politiques de sécurité servent à informer les utilisateurs, le personnel et les responsables
des exigences d'une organisation en matière de protection des technologies et des informations.
- L'objectif d'une politique BYOD (Bring Your Own Device) est de permettre aux employés
d'utiliser leurs propres appareils mobiles pour accéder aux systèmes, logiciels, réseaux ou
informations de l'entreprise.
Les règles de conformité qu'une organisation est tenue de respecter dépendent du type
d'organisation et des données qu'elle traite.

Access Control
La triade CIA est constituée des trois principaux composants de la sécurité de l'information :
confidentialité, intégrité et disponibilité.
- La confiance zéro est une approche globale de la sécurisation de tous les accès aux réseaux,
applications et environnements.
- Le principe de la confiance zéro est "ne jamais faire confiance, toujours vérifier". Les piliers de
la confiance sont la confiance zéro pour la main-d'œuvre, la confiance zéro pour les charges de
travail et la confiance zéro pour le lieu de travail.
- Dans une approche de confiance zéro, tout endroit où une décision de contrôle d'accès est
nécessaire doit être considéré comme un périmètre.
- Les méthodes de contrôle d'accès comprennent le contrôle d'accès discrétionnaire (DAC), le
contrôle d'accès obligatoire (MAC), le contrôle d'accès basé sur les rôles (RBAC), le contrôle
basé sur les attributs (ABAC), l'accès basé sur les règles (RBAC) et le contrôle d'accès basé sur
le temps (TAC).
Un réseau doit être conçu pour contrôler qui est autorisé à s'y connecter et ce qu'ils sont autorisés
à faire lorsqu'ils sont connectés, ce qui est spécifié dans la politique de sécurité du réseau.

- Les systèmes d'authentification, d'autorisation et de comptabilité (AAA) fournissent le cadre

nécessaire pour permettre une sécurité évolutive.
- Cisco propose deux méthodes courantes de mise en œuvre des services AAA : AAA local
Authentification et Authentification AAA basée sur le serveur.
L'AAA centralisé est plus évolutif et plus facile à gérer que l'AAA local et constitue la mise en
œuvre préférée de l'AAA.
Les appareils communiquent avec le serveur AAA centralisé en utilisant le service
d'authentification à distance des utilisateurs (RADIUS) ou les systèmes de contrôle d'accès des
contrôleurs d'accès aux terminaux.
(TACACS+).
- L'AAA centralisé permet également l'utilisation de la méthode de comptabilité. La comptabilité
AAA collecte et rapporte les données d'utilisation dans les journaux AAA.
- Les différents types d'informations comptables qui peuvent être collectées sont la comptabilité
du réseau, la comptabilité des connexions, la comptabilité des EXEC, la comptabilité du
système, la comptabilité des commandes et la comptabilité des ressources.

Threat Intelligence
- De nombreuses organisations telles que SANS, Mitre, FIRST, SecurityNewsWire, (ISC)2, et
Les SIC fournissent des renseignements sur le réseau.
- Les professionnels de la sécurité des réseaux doivent se tenir au courant des dernières menaces
et continuer à améliorer leurs compétences.
- Les services de renseignement sur les menaces permettent l'échange d'informations sur les
menaces telles que les vulnérabilités, les indicateurs de compromission (IOC) et les techniques
d'atténuation.
- Cisco Talos est l'une des plus grandes équipes commerciales de renseignement sur les menaces
au monde.
- FireEye est une autre société de sécurité qui propose des services pour aider les entreprises à
sécuriser leurs réseaux. Elle utilise une approche à trois volets combinant intelligence sécuritaire,
expertise en matière de sécurité et technologie.
- Le US department (DHS) propose un service gratuit appelé Partage automatisé des indicateurs
(AIS).
- AlS permet l'échange en temps réel d'indicateurs de cybermenaces entre les États-Unis.
Le gouvernement fédéral et le secteur privé.
Le gouvernement des États-Unis a chargé la MITRE Corporation de créer et de tenir à jour un
catalogue des menaces connues pour la sécurité, appelé Common Vulnerabilities and Exposition
(CVE).
- Les trois normes communes de partage des renseignements sur les menaces sont les suivantes :
Structured Threat (menace structurée)
Information Expression (STIX), Trusted Automated Exchange of Indicator Information (TAXII),
et CybOX.

End Point protection

Les points d'extrémité sont définis comme des hôtes sur le réseau qui peuvent accéder ou être
accédés par d'autres hôtes sur le réseau.
- Il y a deux éléments internes au LAN à sécuriser : les points d'extrémité et l'infrastructure du
réseau.
- Un logiciel antivirus/antimalware est installé sur un hôte pour détecter et atténuer les virus et
les logiciels malveillants.
- Les pare-feu basés sur l'hôte peuvent utiliser un ensemble de politiques prédéfinies, ou profils,
pour contrôler les paquets entrant et sortant d'un ordinateur.
- Parmi les exemples de pare-feu basés sur l'hôte, citons le pare-feu Windows Defender, iptables,
nftables et TCP Wrappers.
- HIDS protège les hôtes contre les logiciels malveillants connus et inconnus et utilise les
signatures pour détecter les malwares
Basé sur les anomalies
Basé sur les règles ou politiques
- Une surface d'attaque est la somme totale des vulnérabilités d'un système donné qui est
accessible à un attaquant.
- Les listes noires d'applications déterminent quelles applications utilisateur ne sont pas
autorisées à s'exécuter sur un ordinateur et les listes blanches précisent quels programmes sont
autorisés à s'exécuter.

Antivirus/Antimalware
- Point final
- Pare-feu basé sur l'hôte
- Sandboxing
- Système de détection d'intrusion basé sur l'hôte
(HIDS)
- Surface d'attaque

Résumé de l'évaluation de la vulnérabilité des points de terminaison

Le profilage du réseau et des périphériques fournit des informations statistiques de base qui
peuvent servir de point de référence pour les performances normales du réseau et des
périphériques.
La sécurité des réseaux peut être évaluée à l'aide de divers outils et services.
- L'évaluation des vulnérabilités utilise un logiciel pour analyser les serveurs tournés vers
l'Internet et les réseaux internes à la recherche de divers types de vulnérabilités.
- Le système CVSS (Common Vulnerability Scoring System) est un cadre ouvert, indépendant
des fournisseurs et normalisé par l'industrie, qui permet d'évaluer les risques d'une vulnérabilité
donnée en utilisant diverses mesures pour calculer un score composite.
Les vulnérabilités sont classées en fonction du vecteur d'attaque, de la complexité de l'attaque,
des privilèges requis, de l'interaction avec l'utilisateur et de la portée.
- La gestion des risques implique la sélection et la spécification des contrôles de sécurité pour
une organisation.
La gestion des vulnérabilités est une pratique de sécurité qui vise à prévenir de manière proactive
l'exploitation des vulnérabilités informatiques qui existent au sein d'une organisation.
- Les organisations peuvent utiliser un système de gestion de la sécurité de l'information (SGSI)
pour identifier, analyser et traiter les risques liés à la sécurité de l'information.
- Des normes pour la gestion du risque de cybersécurité sont disponibles auprès de l'ISO et du
NIST.
- Le NIST a également développé le Cvbersecurity Framework, qui est similaire aux normes
ISO/IEC 27000.

Groupe de mesures de base CVSS

• Les mesures d'exploitabilité du groupe de mesures de base
incluent les critères suivants :
• Vecteur d'attaque
• Complexité de l'attaque
• Privilèges requis
• Interaction avec les utilisateurs
• Portée
• Les composantes des mesures d'impact du groupe de mesures
de base comprennent les critères suivants :
• Incidence sur la confidentialité
• Incidence sur l'intégrité
• Incidence sur la disponibilité

Technologies and protocoles

Syslog est utilisé pour envoyer des entrées de journal à des serveurs centraux qui exécutent un
démon syslog. Cette centralisation de la collecte des journaux contribue à rendre la surveillance
de la sécurité pratique. Comme syslog est si important pour la surveillance de la sécurité, les
serveurs syslog peuvent être une cible pour les acteurs de la menace.
Les messages Syslog sont généralement horodatés. Comme les messages proviennent de
nombreux périphériques, il est important que ces derniers partagent une horloge cohérente en
utilisant le protocole NTP (Network Time Protocol).
- Les attaquants encapsulent différents protocoles réseau dans le DNS pour échapper aux
dispositifs de sécurité.
- Le DNS est désormais utilisé par de nombreux types de logiciels malveillants. Certaines
variétés de logiciels malveillants utilisent le DNS pour communiquer avec des serveurs de
commande et de contrôle (CnC) et pour exfiltrer des données dans un trafic déguisé en
requêtes DNS normales.
- Une exploitation de HTTP est appelée injection iFrame (inline frame). Pour lutter contre
l'altération ou l'interception de données confidentielles, il convient d'adopter le protocole
HTTPS.
- Le protocole HTTPS ajoute une couche de cryptage au protocole HTTP en utilisant la couche
de sockets sécurisés (SSL), rendant les données HTTP illisibles.

Les protocoles de messagerie électronique tels que SMTP, POP3 et IMAP peuvent être utilisés
par les acteurs de la menace pour diffuser des logiciels malveillants, exfiltrer des données ou
fournir des canaux vers des serveurs CC de logiciels malveillants.
ICMP peut être utilisé pour identifier les hôtes sur un réseau, la structure d'un réseau et
déterminer les systèmes d'exploitation utilisés sur le réseau.
- Il peut également servir de véhicule pour divers types d'attaques Do et être utilisé pour
l'exfiltration de données.
- Les attaquants peuvent déterminer quelles adresses IP, quels protocoles et quels ports sont
autorisés par les ACL. Cela peut être fait par un balayage de port ou un test de pénétration, ou
par d'autres formes de reconnaissance.
- La traduction d'adresses de réseau (NAT) et la traduction d'adresses de port (PAT) peuvent
compliquer la surveillance de la sécurité.
- Ce problème peut être particulièrement pertinent avec les données NetFlow qui sont
unidirectionnelles et sont définies par les adresses et les ports qu'elles partagent.

Le cryptage peut présenter des défis pour la surveillance de la sécurité en rendant les détails des
paquets
illisibles. Le cryptage fait partie des technologies VPN.
- Dans un réseau peer-to-peer (P2P), les hôtes peuvent jouer le rôle de client et de serveur.
- Il existe trois types d'applications P2P : le partage de fichiers, le partage de processeurs et la
messagerie instantanée.
- Tor est une plateforme logicielle et un réseau d'hôtes P2P qui fonctionnent comme des routeurs
Internet sur le réseau Tor. Cela permet aux utilisateurs de naviguer sur Internet de manière
anonyme.
- L'équilibrage des charges consiste à répartir le trafic entre les dispositifs ou les chemins du
réseau afin d'éviter de surcharger les ressources du réseau avec un trafic trop important.
- Cela peut être réalisé grâce à diverses techniques qui utilisent le DNS pour envoyer du trafic
vers des ressources qui ont le même nom de domaine mais plusieurs adresses IP.
- Certains dispositifs de gestion de l'équilibrage des charges (LBM) utilisent des sondes pour
tester les performances des différents chemins et la santé des différents dispositifs.

Network Security data

Les données d'alerte sont des messages générés par les systèmes de prévention des intrusions
(IPS) ou les systèmes de détection des intrusions (IDS) en réponse au trafic qui viole une règle
ou correspond à la signature d'un exploit connu.
Au sein de la suite d'outils NSM Security Onion, les alertes sont générées par Short et sont
rendues lisibles et consultables par les applications Sguil, Squert et Kibana.
- Les données de session comprendront des informations d'identification telles que les cinq tuples
d'adresses IP source et destination, les numéros de port source et destination, et le code IP du
protocole utilisé.
Les données relatives à la session comprennent généralement un identifiant de session, la
quantité de données transférées par la source et la destination, et des informations relatives à la
durée de la session.
Les captures de paquets complets contiennent le contenu réel des conversations de données,
comme le texte des messages électroniques, le HTML des pages Web et les fichiers qui entrent
ou sortent du réseau.
Les données statistiques sont créées par l'analyse de diverses formes de données de réseau.

Les systèmes de détection des intrusions basés sur l'hôte (HIDS) fonctionnent sur des hôtes
individuels.
- Syslog comprend des spécifications pour les formats de messages, une structure d'application
client-serveur et un protocole de réseau.
- Les journaux des serveurs sont une source de données essentielle pour la surveillance de la
sécurité des réseaux.
Les journaux du serveur proxy DNS documentent toutes les requêtes et les réponses DNS qui se
produisent sur le serveur proxy.
réseau.
- Les journaux de proxy DNS sont utiles pour identifier les hôtes susceptibles d'avoir visité des
sites Web dangereux et pour identifier les exfiltrations de données DNS et les connexions aux
serveurs de commande et de contrôle des logiciels malveillants.
- Le SIEM combine les fonctions essentielles des outils de gestion des événements de sécurité
(SEM) et de gestion des informations de sécurité (SIM) pour fournir une vue complète du réseau
de l'entreprise grâce à la collecte, la normalisation, la corrélation, l'agrégation, la création de
rapports et la conformité des journaux.
L'outil en ligne de commande topdump est un analyseur de paquets très populaire. Il peut
afficher des captures de paquets en temps réel ou écrire des captures de paquets dans un fichier.
- NetFlow fournit des informations précieuses sur les utilisateurs et les applications du réseau, les
heures de pointe et l'acheminement du trafic.
- Cisco Application Visibility and Control utilise le système de reconnaissance des applications
en réseau de nouvelle génération de Cisco, version 2 (NBAR2), également connu sous le nom de
Next-Generation NBAR.
- Des dispositifs tels que l'appliance Cisco Email Security Appliance (ESA) et l'appliance Cisco
Web Security
Appliance (WSA), offrent un large éventail de fonctionnalités pour la surveillance de la sécurité
en utilisant le filtrage du contenu.
Les serveurs mandataires sont des dispositifs qui servent d'intermédiaires aux clients du réseau.
- Les pare-feu NextGen étendent la sécurité du réseau au-delà des adresses IP et des numéros de
port de la couche 4, jusqu'à la couche application et au-delà.

Evaluation des alertes

- Security Onion est une suite open-source d'outils de surveillance de la sécurité des réseaux
(NSM) qui fonctionne sur une distribution Ubuntu Linux.
Les outils de Security Onion offrent trois fonctions essentielles à l'analyste en cybersécurité :
capture complète de paquets et types de données, systèmes de détection des intrusions basés sur
le réseau et l'hôte, et outils d'analyse des alertes.
Security Onion intègre les données et les journaux IDS dans une plateforme unique grâce aux
outils suivants :
Sguil - sert de point de départ à l'investigation des alertes de sécurité.
- Kibana - Il s'agit d'une interface de tableau de bord interactif pour les données Elasticsearch.
- L'application de capture de paquets Wireshark est intégrée à la suite Security Onion.
- Zeek est un analyseur de trafic réseau qui sert de moniteur de sécurité.

- Snort est un système de détection des intrusions dans le réseau (NIDS). Il est une source
importante des données d'alerte qui sont indexées dans l'outil d'analyse Sguil.
- Les alertes peuvent être classées en tant que True Positive (l'alerte a été vérifiée comme étant
un incident de sécurité réel) ou False Positive (l'alerte n'indique pas un incident de sécurité réel).
- Une autre situation est qu'une alerte n'a pas été générée. L'absence d'alerte peut être classée en
deux catégories : Vrai négatif (aucun incident de sécurité ne s'est produit, l'activité est bénigne)
et Faux négatif (un incident non détecté s'est produit).
- L'analyse déterministe évalue le risque en fonction de ce que l'on sait d'une vulnérabilité.
L'analyse probabiliste évalue le succès potentiel d'un exploit en estimant la probabilité que si une
étape de l'exploit a été réalisée avec succès, l'étape suivante le sera également.
Network Security Data

- Une plateforme de surveillance de la sécurité du réseau, telle que ELK ou Elastic Stack, doit
réunir les données pour les analyser.
ELK se compose d'Elasticsearch, Logstash, et Kibana avec des composants, Beats, ElastAlert.
et conservateur.
Les données du réseau doivent être réduites afin que seules les données pertinentes soient traitées
par le système NSM.
- Les données du réseau doivent également être normalisées pour convertir les mêmes types de
données dans des formats cohérents.
Sguil fournit une console qui permet à un analyste en cybersécurité d'examiner, de vérifier et de
classer les alertes de sécurité.
- Les visualisations Kibana permettent de mieux comprendre les données NSM en représentant
de grandes quantités de données dans des formats plus faciles à interpréter.
- La gestion du flux de travail ajoute de l'efficacité au travail de l'équipe SOC.

Synthèse de la Forensics numérique et de l'analyse et de la réponse aux incidents

- La Forensics numérique est la récupération et l'investigation d'informations trouvées sur des
dispositifs numériques en relation avec une activité criminelle.
- Les indicateurs de compromission sont la preuve qu'un incident de cybersécurité s'est produit.
Le processus médico-légal comprend quatre étapes : la collecte, l'examen, l'analyse et le rapport.
- Dans les procédures judiciaires, les preuves sont largement classées en preuves directes,
indirectes, meilleures preuves et preuves corroborantes.
- L'attribution de la menace consiste à déterminer l'individu, l'organisation ou la nation
responsable d'une intrusion ou d'une attaque réussie.
- Dans le cadre d'une enquête fondée sur des preuves, l'équipe de réponse aux incidents établit
une corrélation entre les tactiques, techniques et procédures (TTP) utilisées lors de l'incident et
d'autres exploits connus.

Le cadre MITRE Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) permet
de détecter les tactiques, techniques et procédures (TTP) des attaquants dans le cadre de la
défense contre les menaces et de l'attribution des attaques.
- La chaîne de destruction cybernétique a été développée pour identifier et prévenir les
cyber-intrusions.
Les étapes de la chaîne meurtrière cybernétique sont la reconnaissance, l'armement, la livraison,
l'exploitation, l'installation, le commandement et le contrôle, et les actions sur les objectifs.
- Le modèle en diamant de l'analyse des intrusions représente un incident ou un événement de
sécurité.
- Les quatre caractéristiques principales d'un événement d'intrusion sont l'adversaire, la capacité,
l'infrastructure et la victime.
La réponse aux incidents implique les méthodes, politiques et procédures utilisées par une
organisation pour répondre à une cyberattaque.

Cyber Kill Chain Steps

1. Reconnaissance
2. Weaponization
3. Delivery
4. Exploitation
5. Installation
6. Command and Control
7. Actions on Objectives
1. La règle 1 indique que Snort doit envoyer une alerte lorsqu'un paquet TCP provenant de
n'importe quel hôte dans le sous-réseau 172.16.0.0/16 est envoyé à un hôte qui n'est pas
dans ce sous-réseau. La règle vérifie également si le paquet contient le mot "HTTP".
L'événement associé à cette règle est "HTTP Detected" et le message est enregistré dans le
fichier log.txt.

2. La règle 2 indique que Snort doit envoyer une alerte lorsqu'un paquet TCP est envoyé à
l'adresse IP 172.16.1.3 sur le port 137. Le message associé à cette règle est "Attempt to
access port 137 and protocol TCP".
Preparation

a. What are the Systems and Network profiles...that is the normal and expected behaviors of the
systems and networks in the organization?

b. What are the organization's asset?

c. Are there mitigation software such as an image of OS and app installation files that may be
needed for recovery

Detection: a. What is the attack vector? b. Was there a detection indicator?

Containment, Eradication and Recovery: a. What is the containment strategy?

a. Should we clean and remediate?
b. Should we wipe and replace?

a. Do we need to delete the RAM cache ? b. Are patch and updates available ?

Post-incident activity

a. What did we learn from the attack?

b. How can we prevent the similar attacks from happening in the future?