Martine monte un CERT s02e01

Magazine
Marque
MISC
Numéro
94
Mois de parution
novembre 2017
Domaines


Résumé
L’année prochaine les CERT souffleront leur 30ème bougie. Peu de gens le savent, mais le CERT Coordination Center [CERT/CC] fut créé aux U.S.A. par la DARPA en 1988 en réponse au ver Morris. Celui-ci exploitait des vulnérabilités dans des services exposés sur Internet ainsi que la faiblesse des mots de passe de certains utilisateurs. Les incidents de 2017 - WannaCry puis NotPetya - ont démontré que, près de 30 ans plus tard, la marge de progrès reste… conséquente. Les cyberattaques de toutes intensités sont quotidiennes et les CERT sont plus que jamais le maillon central de la cybersécurité des entreprises comme des États. Anticipation, Détection, Réaction, les missions des CERT s'étoffent année après année et elles nécessitent une adaptation constante aux menaces et aux besoins de leurs constituency [CONST]. Par ailleurs, la résilience de la Nation dépend désormais si fortement des systèmes d’information de certaines entreprises ou administrations que la France a fixé les objectifs et les exigences de cybersécurité de ces opérateurs d’importance vitale [OIV]. Leurs CERT et plus généralement leurs équipes de détection et de réaction devront être certifiées, ou a minima conformes, respectivement aux référentiels PDIS et PRIS, tel que nous le verrons dans l’article consacré à la LPM.

Sans pouvoir aborder pleinement le sujet, cet article introductif vise à partager les lessons learnedopérationnels et organisationnels de son auteur.

1. CERT ? CSIRT ? SOC ? ¯\_(ツ)_/¯

Si CERT est souvent utilisé pour désigner l’acronyme Computer Emergency Response Team, c’est avant tout une marque déposée par le CERT/CC. Les CSIRT (Computer Security Incident Response Team) sont avant tout des équipes de réponse aux incidents de cybersécurité. Les CERT sont des CSIRT qui adhèrent et respectent les lignes directrices du CERT/CC. CERT et CSIRT sont généralement équivalents. Les SOC, eux, ont historiquement été créés pour assurer l’administration et l’exploitation des services opérationnels de sécurité (le pendant des NOC pour les services réseau). Ils ont assez naturellement évolué vers les fonctions de détection, là où les CERT se sont plutôt concentrés sur l’anticipation, au départ l’analyse des vulnérabilités, puis des attaques, et la...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Sauvegardez vos données, centralisez vos logs et supervisez votre sécurité

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Nos serveurs présentent désormais une surface d’attaque réseau maîtrisée et une sécurisation système d’un niveau cohérent avec notre modèle de menaces. De même, le service SSH tournant sur ces serveurs est configuré de manière optimisée. Nous pouvons donc être relativement sereins si nos adversaires sont d’un niveau intermédiaire. Et si malgré toutes ces protections, une attaque comme un rançongiciel réussissait ? Et bien dans ce cas-là, pour l’instant, notre infrastructure serait particulièrement vulnérable. Aucune sauvegarde externalisée. Pas de centralisation des traces. Une supervision sécurité inexistante. Remédions à cette situation afin d’élever le niveau de maturité de la sécurité de notre infrastructure.

Investigation numérique de l’image disque d’un environnement Windows

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Une investigation numérique requiert de nombreuses étapes. Celles-ci varient en fonction des données disponibles. Une des plus importantes est l’analyse de la mémoire vive (voir MISC N°111 [1]). L’analyse de la mémoire de masse, constituée des événements propres au système d’exploitation apporte de nouveaux éléments. Une fois celles-ci terminées, la corrélation des deux nous permettra de confirmer d’éventuelles hypothèses.

Sécurisez votre réseau

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Maintenant que notre serveur principal est déployé et que nous y avons appliqué un premier niveau de sécurisation système, occupons-nous de sa sécurisation réseau. Nous allons détailler en quoi les attaques réseau sont primordiales dans notre modèle de menace. Comme nous le verrons, l’accès distant est le risque principal qui guette nos serveurs. Nous allons mettre en œuvre une sécurité en profondeur et les mesures de protection réseau en seront une de ses dimensions importantes.