--- title: SOC cours 1 authors: jeremy.delbarre tags: SOC, jeremy.delbarre --- # les différents attaquants  # différent type d'attaque les attaques sur le front deviennes de plus en plus compliqué car la défense se met en place les attaquants se concentre donc sur les ordinateurs des salarié le but étant de récupérer une machine ayant le plus de droit possible la grande tendances est dans le vol de donnée et les rançons # cyber kill chain  # reconnaissance passive renseignement sur des sources ouvertes ou des open source intelligence - très difficile détectable - faire de la prévention ## les stagiares et consultant - personne venant pour des courtes durée - les rapports de stage sécurité doit pas reposer sur une sécurité par l'obscurité il est difficile de patcher les nouvelles failles trouvée dans une entreprise Caractéristique: - s'inscrit dans la durée - très peu d'interaction avec la cible - très difficilement détectable Contre-Mesure: - sensibilisation - veille permanent des infos disponible en publique # reconnaissance active attention a ne pas bannir les ip trop longtemps amazon ban les ip 3-4h caractéristiques: - intéractions avec la cible - potentiellement bruyant Contre mesure: - première phase d'une attaque - encore gérable doit etre detectée au plus tot ## social enginerring - phishing - pretexting - baiting scan de port: très pratique pour la topologie réseau # Préparation ## Moyen de défense Prévénir: - sensibilisation le personnels - sécurité par l'obscurité technique Détecter: - détecter des flux réseau anormaux (scan de ports, activité HNO) - détecter des journaux applicatifs anormaux (403, 500) Endiguer: - IPS # préparer la gestion de l'incident ## moyen de communication - point de contact: numero de tel, email, clé de chiffrement - canaux de communication - salle de crise: moyen logistique, stockage de scelles - cellule de communication: gestion des médias