Un Honeypot nommé DFIR

Magazine
Marque
MISC
Numéro
89
Mois de parution
janvier 2017
Domaines


Résumé

Honeypots et réponse aux incidents font bon ménage depuis de nombreuses années. Ce couple qui a fêté ses noces de perle a encore de beaux jours devant lui comme nous nous proposons de le démontrer dans cet article. Nous tenterons de répondre aux questions suivantes : les honeypots, qui sont-ils ? D'où viennent-ils ? Sur quelle étagère vont-ils ?


1. Si les honeypots m'étaient contés...

Si c'est en forgeant qu'on devient forgeron et en sciant que Léonard devint scie, c'est en devenant administrateur-système Unix que Clifford Stoll [STOLL] découvrit l'inforensique Unix et inventa le premier honeypot.

L'histoire commence en 1986. Clifford Stoll, astronome de formation, est affecté au département informatique du Lawrence Berkeley National Laboratory (LBL) en Californie. À cette époque que les moins de 30 ans ne peuvent pas connaître, l'informatique est encore dominée par les « gros systèmes » tournant sous VAX/VMS où Unix et Internet étaient encore réservés aux universités et aux militaires (alors qu'en France le Minitel était opérationnel depuis 6 ans, cocorico !). Les ressources de ces dinosaures numériques étaient partagées et aux États-Unis, qui dit « partage » dit « location ». Le temps de calcul, la consommation de temps CPU étaient donc facturés à chaque utilisateur.

Les...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[STOLL] The Cuckoo's Egg : Tracking a Spy Through the Maze of Computer Espionage – Clifford Stoll

[BERFERD] An Evening With Berferd - http://www.cheswick.com/ches/papers/berferd.pdf

[BELLOVIN] There Be Dragons - https://www.usenix.org/legacy/publications/library/proceedings/sec92/full_papers/bellovin.pdf

[ENISA] Proactive detection of security incidents II – Honeypots – https://www.enisa.europa.eu/publications/proactive-detection-of-security-incidents-II-honeypots/at_download/fullReport

[KYE] Know Your Enemy : Learning about Security Threats - The Honeynet Project

The Honeynet Project – https://honeynet.org



Articles qui pourraient vous intéresser...

Traitement de courriels d’hameçonnage avec TheHive & Cortex

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Face au nombre toujours plus important d'alertes de sécurité à qualifier et d'incidents à traiter, il devient primordial pour un SOC ou une équipe CSIRT de mettre en œuvre des solutions permettant d’identifier les sujets prioritaires. L’actualité de ces derniers mois et l’accroissement du nombre de victimes de rançongiciels met en évidence le besoin de détecter et de réagir au plus vite. Cet article propose de montrer comment intégrer TheHive et Cortex au processus de détection et de réponse pour automatiser un certain nombre de tâches, et donc gagner du temps, toujours précieux dans ces situations.

DFIR et CTI, une complémentarité idéale

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Lorsqu’une entreprise constate que son système d’information a été compromis par une attaque d’envergure et persistante, sa préoccupation première consiste à vouloir déloger les attaquants du système, et le sécuriser afin que l’attaquant ne puisse plus revenir. Cependant, pour mener à bien cette noble mission, il est nécessaire à la fois de procéder à des actions de réponse à incident, de confinement (c’est dans l’air du temps), de remédiation, mais aussi de procéder à des investigations plus poussées sur les attaquants et leur mode opératoire. Cette dernière phase n’est pas systématiquement mise en œuvre lors d’une réponse à incident, soit par manque de maturité ou méconnaissance des responsables de la sécurité de l’entreprise, soit par manque de budget, tout simplement. Pourtant, cette connaissance approfondie de l’attaque et de ses auteurs permet de remédier à l’incident beaucoup plus efficacement et souvent d’anticiper de prochaines attaques.

Doper votre SIEM pour la réponse sur incident

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

L’analyse de disques durs

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

L’analyse forensique de disques durs a toujours présenté des défis quotidiens, mais le problème actuel est la taille grandissante des supports de stockage. Quelles conséquences pour les experts et comment s’adapter ?

Introduction au dossier : Les fondamentaux de l'analyse forensique

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

La sécurité informatique est morte : vive la cybersécurité !

Les pirates des années 90 ont laissé place aux cybercriminels et aux APT, les attaques contre la chaîne logistique numérique (Supply Chain Attack) font la Une des journaux grand public. Des rançongiciels paralysent des hôpitaux en pleine pandémie de la Covid-19, des cyberespions chinois, russes, iraniens ou nord-coréens – bizarrement rarement indiens, et pourtant… – pillent les laboratoires pharmaceutiques de leurs recettes de vaccin.