DFIR et CTI, une complémentarité idéale

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Spécialité(s)


Résumé

Lorsqu’une entreprise constate que son système d’information a été compromis par une attaque d’envergure et persistante, sa préoccupation première consiste à vouloir déloger les attaquants du système, et le sécuriser afin que l’attaquant ne puisse plus revenir. Cependant, pour mener à bien cette noble mission, il est nécessaire à la fois de procéder à des actions de réponse à incident, de confinement (c’est dans l’air du temps), de remédiation, mais aussi de procéder à des investigations plus poussées sur les attaquants et leur mode opératoire. Cette dernière phase n’est pas systématiquement mise en œuvre lors d’une réponse à incident, soit par manque de maturité ou méconnaissance des responsables de la sécurité de l’entreprise, soit par manque de budget, tout simplement. Pourtant, cette connaissance approfondie de l’attaque et de ses auteurs permet de remédier à l’incident beaucoup plus efficacement et souvent d’anticiper de prochaines attaques.


1. Définitions

La réponse à incidents de sécurité informatique est une discipline complexe qui mêle de nombreux aspects de l’informatique et nécessite de solides connaissances. Une connaissance profonde du fonctionnement de divers systèmes d’exploitation, des différents systèmes de fichiers, des réseaux informatiques, du fonctionnement des malwares, de l’exploitation de vulnérabilités, est nécessaire à une bonne culture de la réponse à incident.

Tout d’abord, qu’est-ce qu’un incident de sécurité ? Un incident de sécurité consiste en un ou plusieurs évènements de sécurité de l’information indésirables ou inattendus présentant une probabilité forte de compromettre les opérations liées à l’activité de l’organisme et/ou de menacer la sécurité de l’information [1].

D’après le NIST [2], la réponse à incident quant à elle est un processus structuré dont le but est de répondre à un incident de sécurité informatique....

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
S'abonner à Connect
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez chaque semaine un nouvel article premium
  • Consultez les nouveaux articles en avant-première
Je m'abonne


Article rédigé par

Par le(s) même(s) auteur(s)

Business e-mail compromise

Magazine
Marque
MISC
Numéro
87
Mois de parution
septembre 2016
Spécialité(s)
Résumé

Les fraudes ayant cours en matière de cybercriminalité sont en constante évolution. Alors qu’en ce moment nous vivons sous l’explosion médiatique générée par les rançongiciels (ransomwares), d’autres types de fraudes relativement récentes sont beaucoup plus lucratives pour certains cybercriminels. De plus, elles demandent moins de moyens afin de gagner des montants qui se chiffrent généralement en centaines de milliers, voire en millions d’euros. Il s’agit des escroqueries appelées « business e-mail compromise » outre-Manche.

Simulation d’attaque APT

Magazine
Marque
MISC
Numéro
86
Mois de parution
juillet 2016
Spécialité(s)
Résumé

Les audits de sécurité et les tests de pénétration ont toujours été nécessaires afin de connaitre les failles/vulnérabilités exploitables/problèmes d’architecture les plus importants dans les réseaux des entreprises et autres entités disposant de nombreuses machines. Néanmoins, cela ne semble plus suffisant auprès de certains décideurs, qui souhaitent maintenant savoir s’ils sont vulnérables à des attaques ciblées, également appelées APT (Advanced Persistent Threat). Quelle est la différence avec un audit traditionnel ? Pourquoi ce service ? En quoi consiste-t-il ? Autant de questions auxquelles nous allons nous efforcer de répondre dans cet article.

APT – Qui sont les attaquants ?

Magazine
Marque
MISC
Numéro
85
Mois de parution
mai 2016
Spécialité(s)
Résumé

De nombreuses publications détaillent le mode opératoire des attaques APT (Advanced Persistent Threat), ces attaques qui ciblent des entités diverses et variées afin de leur dérober leurs propriétés intellectuelles ou encore de les espionner. Ces attaques suivent généralement le même schéma connu et reconnu. Par contre, peu d’informations sont disponibles sur les attaquants. Certains chercheurs exposent des identités réelles d’attaquants, mais cela ne fournit pas forcément d’information sur les différents profils présents dans les groupes APT. Le but de cet article est de fournir une vue plus précise sur les profils composant ces groupes d’attaquants, ainsi que la façon dont ils sont structurés.

Les derniers articles Premiums

Les derniers articles Premium

Cryptographie : débuter par la pratique grâce à picoCTF

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

L’apprentissage de la cryptographie n’est pas toujours évident lorsqu’on souhaite le faire par la pratique. Lorsque l’on débute, il existe cependant des challenges accessibles qui permettent de découvrir ce monde passionnant sans avoir de connaissances mathématiques approfondies en la matière. C’est le cas de picoCTF, qui propose une série d’épreuves en cryptographie avec une difficulté progressive et à destination des débutants !

Game & Watch : utilisons judicieusement la mémoire

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Au terme de l'article précédent [1] concernant la transformation de la console Nintendo Game & Watch en plateforme de développement, nous nous sommes heurtés à un problème : les 128 Ko de flash intégrés au microcontrôleur STM32 sont une ressource précieuse, car en quantité réduite. Mais heureusement pour nous, le STM32H7B0 dispose d'une mémoire vive de taille conséquente (~ 1,2 Mo) et se trouve être connecté à une flash externe QSPI offrant autant d'espace. Pour pouvoir développer des codes plus étoffés, nous devons apprendre à utiliser ces deux ressources.

Raspberry Pi Pico : PIO, DMA et mémoire flash

Magazine
Marque
Contenu Premium
Spécialité(s)
Résumé

Le microcontrôleur RP2040 équipant la Pico est une petite merveille et malgré l'absence de connectivité wifi ou Bluetooth, l'étendue des fonctionnalités intégrées reste très impressionnante. Nous avons abordé le sujet du sous-système PIO dans un précédent article [1], mais celui-ci n'était qu'une découverte de la fonctionnalité. Il est temps à présent de pousser plus loin nos expérimentations en mêlant plusieurs ressources à notre disposition : PIO, DMA et accès à la flash QSPI.

Les listes de lecture

11 article(s) - ajoutée le 01/07/2020
Clé de voûte d'une infrastructure Windows, Active Directory est l'une des cibles les plus appréciées des attaquants. Les articles regroupés dans cette liste vous permettront de découvrir l'état de la menace, les attaques et, bien sûr, les contre-mesures.
8 article(s) - ajoutée le 13/10/2020
Découvrez les méthodologies d'analyse de la sécurité des terminaux mobiles au travers d'exemples concrets sur Android et iOS.
10 article(s) - ajoutée le 13/10/2020
Vous retrouverez ici un ensemble d'articles sur les usages contemporains de la cryptographie (whitebox, courbes elliptiques, embarqué, post-quantique), qu'il s'agisse de rechercher des vulnérabilités ou simplement comprendre les fondamentaux du domaine.
Voir les 55 listes de lecture

Abonnez-vous maintenant

et profitez de tous les contenus en illimité

Je découvre les offres

Déjà abonné ? Connectez-vous