Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Télécharger au format pdf ou txt
Vous êtes sur la page 1/ 69
CHAP 2 :
Les types de Menaces
Cyber Security A. CHERIFI script-kiddies Vulnerability brokers (Hacktivistes) Tâches de cybersécurité Indicateurs de cybermenace
Chaque attaque possède des attributs identifiables uniques. Les indicateurs de compromission (IOC) sont la preuve qu'une attaque a eu lieu.
Les IOC peuvent être des fonctionnalités qui identifient les fichiers malveillants, les adresses IP des serveurs utilisés dans les attaques, les noms de fichiers et les modifications caractéristiques apportées au logiciel système final, entre autres.
Les IOC aident le personnel de cybersécurité à identifier ce qui s'est passé lors d'une attaque et à développer des défenses contre l'attaque. De nombreuses attaques réseau peuvent être évitées en partageant les (IOC)
Les indicateurs d'attaque (IOA) se concentrent sur la motivation derrière une attaque et sur les moyens potentiels par lesquels les acteurs de la menace ont, ou vont, compromettre les vulnérabilités pour accéder aux actifs.
Les IOA concernent les stratégies utilisées par les attaquants. Pour cette raison, plutôt que d’éclairer la réponse à une menace unique, les IOA peuvent contribuer à générer une approche de sécurité proactive.
En effet, les stratégies peuvent être réutilisées dans plusieurs contextes et plusieurs attaques. Se défendre contre une stratégie peut donc empêcher de futures attaques utilisant la même stratégie ou une stratégie similaire. Partage des menaces et sensibilisation à la cybersécurité la Cybersecurity Infrastructure and Security Agency (CISA) des États-Unis mène des efforts visant à automatiser gratuitement le partage d’informations sur la cybersécurité avec des organisations publiques et privées.
L'AIS permet le partage d'indicateurs d'attaques entre le gouvernement américain et le secteur privé dès que les menaces sont vérifiées. CISA propose de nombreuses ressources qui contribuent à limiter la taille de la surface d’attaque des États-Unis.
L'AIS permet le partage d'indicateurs d'attaques entre le gouvernement américain et le secteur privé dès que les menaces sont vérifiées. CISA propose des ressources pour limiter la taille de la surface d’attaque des États-Unis. Partage des menaces et sensibilisation à la cybersécurité
La CISA et la National Cyber Security Alliance (NCSA) promeuvent la cybersécurité auprès de tous les utilisateurs. Chaque année en octobre une campagne intitulée « Mois national de sensibilisation à la cybersécurité » (NCASM).
Le thème du NCASM 2019 était « Posséder l'informatique , Sécurisez l'informatique, Protéger la »
La campagne fournit du matériel sur une grande variété de sujets de sécurité, notamment :
•Sécurité des réseaux sociaux
•Mise à jour des paramètres de confidentialité •Sensibilisation à la sécurité des applications sur les appareils •Garder le logiciel à jour •Achats en ligne sécurisés •Sécurité Wi-Fi •Protéger les données des clients Évolution des outils de sécurité les catégories d’outils Catégories d'attaques Types de logiciels malveillants Comportements courants des logiciels malveillants Les cybercriminels modifient continuellement le code des logiciels malveillants pour modifier la manière dont ils se propagent et infectent les ordinateurs. les symptômes sont détectés avec surveillance des log (réseau et appareils) Les ordinateurs infectés par des logiciels malveillants présentent souvent un ou plusieurs des symptômes suivants :
•Apparition de fichiers, programmes ou icônes de bureau étranges
•Les programmes antivirus et pare-feu désactivent ou reconfigurent les paramètres •L'écran de l'ordinateur se fige ou le système plante •Des emails sont envoyés spontanément à votre insu à votre liste de contacts •Les fichiers ont été modifiés ou supprimés •Utilisation accrue du processeur et/ou de la mémoire •Problèmes de connexion aux réseaux •Vitesses lentes de l'ordinateur ou du navigateur Web •Processus ou services inconnus en cours d'exécution •Ports TCP ou UDP inconnus ouverts •Les connexions sont établies avec des hôtes sur Internet sans action de l'utilisateur •Comportement étrange de l'ordinateur Attaques de réseau courantes – Reconnaissance accès et ingénierie sociale Pratiques recommandées de protection contre l’ingénierie sociale Botnet Mirai
Logiciel malveillant qui ciblait les appareils Internet des objets (IoT) ayant des accées par défaut Les caméras de télévision en circuit fermé (CCTV) constituaient la majorité des cibles de Mirai. À l’aide d’une attaque par dictionnaire par force brute, Mirai a parcouru une liste de noms d’utilisateur et de mots de passe par défaut largement connus sur Internet.
root/par défaut root/1111 root/54321 administrateur/admin1234 admin1/mot de passe invité/12345 technologie/technologie Evasion Method « se cacher, c’est prospérer », les logiciels malveillants et les méthodes d’attaque sont plus efficaces lorsqu’ils ne sont pas détectés.
De nombreuses attaques utilisent des techniques d’évasion furtives pour dissimuler une charge utile d’attaque. Leur objectif est d’empêcher la détection en contournant les défenses du réseau et de l’hôte.
Remplacement du trafic :tromper un IPS en obscurcissant les données contenues dans la charge utile en l'encodant dans un format différent. L'IPS ne reconnaît pas la véritable signification des données, mais le système final cible peut lire les données.
Épuisement des ressources : Cette technique rend l'hôte cible trop occupé pour utiliser correctement les techniques de détection de sécurité.
Fragmentation du trafic : diviser le malveillant en paquets plus petits pour éviter la détection de sécurité du réseau. Une fois que les paquets fragmentés ont contourné le système de détection de sécurité,
Interprétation erronée au niveau du protocole : lorsque les défenses du réseau ne gèrent pas correctement les fonctionnalités d'une PDU Cela peut inciter un pare-feu à ignorer les paquets qu'il doit vérifier. Evasion Method Chiffrement et tunneling : utilise un tunnel pour masquer ou chiffrement et brouiller les fichiers malveillants
Insertion de trafic : Semblable à la substitution de trafic, on insère des octets de données supplémentaires dans une paquet malveillant. Les règles IPS ignorent les données malveillantes et acceptent la séquence complète de données.
Pivotement : Compromettre un hôte interne puis étendre davantage son accès au réseau compromis. Un exemple est un acteur malveillant qui a obtenu l'accès au mot de passe administrateur sur un hôte compromis et tente de se connecter à un autre hôte en utilisant les mêmes informations d'identification.
Rootkits : Outil d’attaque complexe s'intègre aux niveaux les plus bas du système d'exploitation. Lorsqu'un programme tente de répertorier des fichiers, des processus ou des connexions réseau, le rootkit présente une version épurée de la sortie, éliminant toute sortie incriminante.
Procurations : Le trafic réseau peut être redirigé via des systèmes intermédiaires afin de masquer la destination finale des données volées. les commandes et contrôles connus ne seront pas bloqués par une entreprise car la destination du proxy semble inoffensive. Di des données sont volées sont réparties entre de nombreux proxys, n'attirant pas l'attention.
Kali linux pour les hackers : Le guide étape par étape du débutant pour apprendre le système d’exploitation des hackers éthiques et comment attaquer et défendre les systémes
Kali linux pour les hackers : Le guide étape par étape du débutant pour apprendre le système d’exploitation des hackers éthiques et comment attaquer et défendre les systémes
