--- titre: Sécurité Opérationnelle description: Sécurité Opérationnelle tags: SOC, jerome.tchan author: Jérôme Tchan --- # Sécurité Opérationnelle (Cours 1) ## La killchain {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:soc:module_00_-_cyberkillchain.pdf %} Les attaques se déplacent de plus en plus vers les postes de travail Les attaques commencent à avoir une amélioration continue >![](https://upload.wikimedia.org/wikipedia/commons/c/c2/The_Unified_Kill_Chain.png) >[name=https://commons.wikimedia.org/wiki/File:The_Unified_Kill_Chain.png][color=lightblue] >![](https://www.sans.org/sites/default/files/isgs-cyber-kill-chain-infographic.png) >[name=https://www.sans.org/security-awareness-training/blog/leveraging-human-break-cyber-kill-chain][color=lightblue] ### Préparation - Reconnaissance - Reconnaissance passive (Google) - Très difficilement détectable - A combattre par la prévention: sensibilisation et veille de l'internet - Les stagiaires (en particuilier les rapports de stage) et les consultants sont des mines d'informations - Reconnaissance active (Social engineering, scans, etc.) - Interactions avec la cible - Potentiellement bruyante en fonction du type d'attaquant - Première phase d'une attaque, encore facilement gérable; doit être détectée au plus tôt - La sensibilisation des utilisateurs finaux est importante - Arsenalisation Moyens de défense: - Prévenir - Sensibilisation - Sécurité par l'obscurité technique - Détecter - Détecter des flux réseau anormaux - Détecter des journaux applicatifs anormaux - Endiguer - IPS ### Intrusion - Livraison - Exécution de code arbitraire - Cibles privilégiées: sauvegardes, contrôleurs de domaine - Latéralisation ### Exploitation - C&C (C2): serveur de contrôle des zombies, il y a généralement plusieurs C&C - Exploitation - Post-exploitation: destruction de traces, etc. ## Gestion d'incidents {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:soc:module_01_-_phase_preparation.pdf %} ## Détection et analyse Précurseur Indicateur Un incident est un aggrégat d'évènements Catégories d'évènements: - faibles occurrences d'évènements suspects - pic d'évènements isolement neutres - signaux faibles et expérience Structure N1, N2, N3 - N1: premier à traiter l'incident - N2: va réaliser l'investigation - N3: expert Contrôle opérationnel: ce qu'on fait (ou pas) ## Réponse Une opération "coup de poing" - Endiguement - Attribution - Eradication - Restauration d'un système sain et retour à l'état nominal