SOC - 1 - HackMD

--- title: SOC - 1 tags: SOC, moemoea.fierin --- # Introduction 4 cours en mai On va voir l'anatomy d'une attck quelle posture a avoir en defense TP pour la semaine prochaine # Concept Théorique Une attaque, un audit Si vous n'avez pas ete sollicite pour faire une attck/audit c'est illegale On se rend compte d'une attck 1-2 ans apres ## les differents attaquant Categorisation des attckant - script kiddies - White hay - gray hat - blck hat - cyber terrorist - state sponsored hacker Souvent attck en frontal (site web) car c'est sur internet du coup le frontal est auj bcp plus protege donc les coups sont maintenant concentrer sur les postes de travail avec du phishing par exemple ISO 9001 tendance actuelle: - vol de donnée - rancons - par ce que c'est rentable l'attck va attque ce qui rappot de l'argent a l'entreprise ### phase de preparation: preparation: - trouver les points d'entrer sur sa cible - une phase qu'on fait avec un outil: google - c'est tres difficilement detectable (on ne peut pas avoir d'info sur qui request des infos a google) - c'est pour ca qu'on va contacter des gens specifique pour cacher un peu ce genre d'information - par exemple sur linkedin on peut avoir pas mal d'info dessus un autre axe de fuite: - stagiaire - auditeur - ca fait fuiter des infos - consultant - toutes les population mobiles sont susceptible de leak des infos exemple: consultant fait des templates ou il rempli les cases il suffit de voler son ordi pour avoir toutes les infos sur les diff entreprise il ne faut pas partir du principe qu'uniquement cacher les informations qu'on va etre secure. Il faut faire de la def en profondeur. La technique du sable: une poigne de sable ca vaut rien mais si un million de mec prenne une poignee chacun il y'a plus de sable. A force de laisse des poignees partir on peut se retrouver avec un enorme leak d'information Exemple: information sur google sur EPITA - info sur orga interne - (a partir de 7% d'information on peut faire craquer une personne, si on appelle qqn et qu'on lui donne 2-3 info en mode on fait partie de l'entreprise bah on peut lui faire cracker des trucs) Bonne recommandation en securité: ne pas reinventer la roue si qqn l'a invente en general c'est bien fait Reconnaissance passive: - Shodan - important de faire de la veile sur internet pour faire des patchs au + vite La reconnaisance passive: - sinscrit dans la durée - a quelle point lattck a des info avant d'arrive sur la cible Contre mesure: - prevention par sensibilisation - veille permanente (par exemple creer plusieurs profils linkedin pour voir qui scan et regarde les profils si c'est la meme personne a chaque fois ...)