---
tags: Semaine-Entreprise, ICE
---
# [Entreprise] VMWARE
```
Intervenant :
Baptiste Chevry - Digital Solution Engineer
Hilda Edimo - Solution Engineer
Entreprise :
VMWARE
```
## Informations essentielles
VMWARE - font des VM travaillent sur le cloud AWS OVH etc + secu + devops
80% des apps dans le monde tourne sur du VMWare
Transformation des applis, Kubernetes, Devops
Hilda Edimo - Irlande puis France, plus de contact sur le terrain
Baptiste Chevry - Barcelone, team de 15 graduates
Graduate program : prends des jeuns diplome puis les forms a des posts ou il faut plus d'experience -> accelerateur de cariere.
### Users & Datacenters
cible des hackers.
On se connecte aux applis et on passe par un firewall pour filtrer les connexions. Protection de l'extérieur.
VM : zone sensible.
### Cybersecurity
on est devenu de tres bonnes target depuis le confinement etant donne qu'on sortait de la secu de l'entreprise en ramenant les pc de boulots chez nous.
1834 : premiere attaque, French Telegraph System
1969 : premier virus RABBITS Virus
2010 : Stuxnet Worm, créé par les US et Israel pour des attaques contre l'Iran
Plus récent : Solarwinds
Multiplication des attacks dans pleins de secteurs.
De plus en plus sophistiqué
3.8 millions pour corriger des data breachs.
Latence entre l'attaque et sa decouverte.
### Mitre ATT&CK
![](https://i.imgur.com/gloDujW.png)
fournis une prez structure d'une attaque.
utile pour les contrecarrer/ voir les faiblesses de nos systemes
vois ou en est une attaque, donne un plan simple pour corriger l'attaque
Initial Access : divers vecteurs d'entrée par entrer dans un réseau (ex: phishing, SQLi, flash adobe player, clé usb)
Execution : essayer d'éxécuter un code malveillant -> utiliser powershell à distance pour executer des scripts
Persistence : l'adv va essayer de gagner/ de garder son enprise. l'adv va essayer de manipuler les comptes/acces pour maintenir son entree/ acces aux donnees
Privilege Escalation : essayer d'obtenir des acces d'authorisations supérieures. Tirer parties des vulnérabilités du système
Defense Evasion : eviter la secu, Desinstall des system de secu/desactiver, crypter leur donnees et leur script et cacher leur systems malveillant.
Credential Access : voler des identifiants et mdp, par ex le keylogging(enregistrer ce que l'user tape sur son clavier) et le dumping(supprimer des indentifiants pour que la cible en créée un nouveau auquel l'attaquant a accès).
Discovery/Lateral Movement/Collection : essayer de decouvrir l'env, ou sont les parfeu/ solutions de secu reperer les secu pour les terminate affin de reseter non detecté. Va chercher les donnees interressantes pour eux. Doivent pouvoir se ballader entre les machines, essayer d'avoir les droits d'admins. Une fois l'acces eu, ils essayent d'obtenir les donnees et les mettent sur une staging area
Command and Control : prise en main sur la machine. Créer des VM pour du cryptomining
Exfiltration : exfilter les données vers l'extérieur. compression des données afin de les envoyer.
Impact : pas toujours d'impact. si ransomware y'a souvent un impact, discks et data sont modifie/ detruit. Beaucoup de personnes se rendent compte de l'attaque a partir de l'impact.
### Security posture
Hardening -> Prevention -> Detect & response -> Hardening...
Hardening ->Harden systems / Reduce surface attack.
Prevention -> utiliser du ML pour détecter des attaques deja utilisées auparavant
Detect and Response : détecter les comportements anormaux, remédier aux incidents, mettre en place une nouvelle politique pour améliorer la sécurité
### Attack Journey
Mise en place de scénarios. Ex: USB avec programme malicieux.
#### Phase 1
Reconnaissance, detecter les autorisations des clef usb,
entrainer les equipes les informer
Detection automatique des fishing et IPS/IDS et sandboxing (observe tout pour avoir un retour)
IDS IPS : Va verif ce qui se passe sur le reseau et stopper tout ce qui n'est pas normal.
#### Phase 2
Exécution d'un script qui crée une backdoor -> puis désactiver l'antivirus
Prevention :
Agentless -> le malware n'a pas accès à l'agent
Push updates and patches
Identifier les vulnérabilités
Detection & Response :
Observer les actions sur les appareils
Mettre en quarantaine un appareil
Sandboxing
Actions(ouvir powershell, lancer des scripts, se connecter à une adresse IP, ...) ne sont pas graves individuellement mais mises les unes après les autres ca pose problème
#### Phase 3
Persistance/ essayer d'avoir plus de privilege. Ils vont utiliser des apps faites pour ca.
Define allowed Apps.
Detecter le vol de credentials et arreter le programme attaquant.
Et detecter des faux tickets/ Network sniffing (de l'ecoute sur les resaux).
Detecter le bruteforce etc...
#### Phase 4
Action on objective
Hardening :
Filtrer les connections
Least minimum access
Prevention :
Microsegmentation -> un firewall par VM ou groupe de VMs
Detection & Response :
Détecter des mouvements anormaux
Une fois qu'un attaquant est entré, c'est difficile de stopper les mouvements latéraux
On met sur chaque VM un firewall, des security policies
Antivirus détecte un problème -> on met la VM en quarantine
#### Phase 5
![](https://i.imgur.com/9zla7t8.png)
Stoper l'exfiltration. Stopper SCP pour la copie de donne.
#### Phase 6
Verifier ce qu'il s'est passse et essayer de corriger les failles.
### VMWARE
On ne voit pas la sécurité comme quelque chose que l'on ajoute à la fin mais qq chose qui fait partie de la solution
## Jobs / Offres de Stages
Full international.
Accepte des alternants souvent dans le graduate program
### En France
https://pages.beamery.com/vmware/form/epita
Actuellement rien d'ouvert mais ça arrive.
#### CDI
#### Stage
#### Etc
### À l'étranger
#### CDI
#### Stage
#### Etc