Enviar pesquisa
Carregar
Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques
•
1 gostou
•
1,749 visualizações
M
michelcusin
Seguir
Negócios
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 33
Baixar agora
Baixar para ler offline
Recomendados
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
Prés kais
Prés kais
Kais Madi
Présentation pfe inchaallah
Présentation pfe inchaallah
Ilyass_rebla
Baudoin karle-ids-ips
Baudoin karle-ids-ips
Yassmina AGHIL
Securite Informatique Orthez
Securite Informatique Orthez
arnaudm
Sécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)
YousraChahinez
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
Recomendados
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
Prés kais
Prés kais
Kais Madi
Présentation pfe inchaallah
Présentation pfe inchaallah
Ilyass_rebla
Baudoin karle-ids-ips
Baudoin karle-ids-ips
Yassmina AGHIL
Securite Informatique Orthez
Securite Informatique Orthez
arnaudm
Sécurité des réseaux
Sécurité des réseaux
Sehla Loussaief Zayen
Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)
YousraChahinez
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
SmartnSkilled
2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids
kaser info2aaz
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
ALTITUDE CONCEPT SPRL
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Faouzi Maddouri
sécurité informatique
sécurité informatique
Mohammed Zaoui
Monitoring avec Zabbix
Monitoring avec Zabbix
Fourat Zouari
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
Johan Moreau
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
Securite informatique
Securite informatique
Souhaib El
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignements
ANSItunCERT
La sécurité sur le web
La sécurité sur le web
Softeam agency
Sécurité des applications Web
Sécurité des applications Web
Sylvain Maret
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
Hackfest Communication
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
Sylvain Maret
politique de sécurité a mettre en place
politique de sécurité a mettre en place
Manuel Cédric EBODE MBALLA
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
Hossin Mzaourou
Cours sécurité 2_asr
Cours sécurité 2_asr
TECOS
Politique de sécurité
Politique de sécurité
Sylvain Maret
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
Bee_Ware
Les mécanismes de motivation des Ressources Humaines
Les mécanismes de motivation des Ressources Humaines
Afaf MOSAIF
Mais conteúdo relacionado
Mais procurados
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Sylvain Maret
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
SmartnSkilled
2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids
kaser info2aaz
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
ALTITUDE CONCEPT SPRL
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Faouzi Maddouri
sécurité informatique
sécurité informatique
Mohammed Zaoui
Monitoring avec Zabbix
Monitoring avec Zabbix
Fourat Zouari
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
Johan Moreau
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
Securite informatique
Securite informatique
Souhaib El
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignements
ANSItunCERT
La sécurité sur le web
La sécurité sur le web
Softeam agency
Sécurité des applications Web
Sécurité des applications Web
Sylvain Maret
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
Hackfest Communication
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
Sylvain Maret
politique de sécurité a mettre en place
politique de sécurité a mettre en place
Manuel Cédric EBODE MBALLA
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
Hossin Mzaourou
Cours sécurité 2_asr
Cours sécurité 2_asr
TECOS
Mais procurados
(19)
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
sécurité informatique
sécurité informatique
Monitoring avec Zabbix
Monitoring avec Zabbix
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Securite informatique
Securite informatique
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignements
La sécurité sur le web
La sécurité sur le web
Sécurité des applications Web
Sécurité des applications Web
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
politique de sécurité a mettre en place
politique de sécurité a mettre en place
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
Cours sécurité 2_asr
Cours sécurité 2_asr
Destaque
Politique de sécurité
Politique de sécurité
Sylvain Maret
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
Bee_Ware
Les mécanismes de motivation des Ressources Humaines
Les mécanismes de motivation des Ressources Humaines
Afaf MOSAIF
Programa Semana Global del Emprendimiento
Programa Semana Global del Emprendimiento
UNIMET
Créer une histoire à succès en ligne transférable
Créer une histoire à succès en ligne transférable
Blog Atlantic
Encuesta De Marta Y Silvia
Encuesta De Marta Y Silvia
Jose Pedrouzo
La communication de la Première Dame de France
La communication de la Première Dame de France
Claire Veignant
Guide du ramassage scolaire à vélo
Guide du ramassage scolaire à vélo
webmestre lesvertsbn
Lgn international La Prosperité et le tourisme pour tous
Lgn international La Prosperité et le tourisme pour tous
kokorobilou
Gérer ses images sur wmp
Gérer ses images sur wmp
E2m Gig
À la découverte des Médas Sociaux
À la découverte des Médas Sociaux
Guillaume Brunet
2012 01-06 leccioninfantes
2012 01-06 leccioninfantes
Misión Peruana del Norte
Partage beta
Partage beta
sombreblood
SoLoMo - Web à la vitesse lumière - SATQ FEQ
SoLoMo - Web à la vitesse lumière - SATQ FEQ
Guillaume Brunet
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009
Alec Pemberton
Pre assessment
Pre assessment
remyy
Les Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunités
Sébastien Dubois
Cobertura móvil Micpd
Cobertura móvil Micpd
francoriveros
Journée cree 14 sept 2012 blog
Journée cree 14 sept 2012 blog
sylvianelauro
DIAM
DIAM
LEFLOT Jean-Louis
Destaque
(20)
Politique de sécurité
Politique de sécurité
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
Les mécanismes de motivation des Ressources Humaines
Les mécanismes de motivation des Ressources Humaines
Programa Semana Global del Emprendimiento
Programa Semana Global del Emprendimiento
Créer une histoire à succès en ligne transférable
Créer une histoire à succès en ligne transférable
Encuesta De Marta Y Silvia
Encuesta De Marta Y Silvia
La communication de la Première Dame de France
La communication de la Première Dame de France
Guide du ramassage scolaire à vélo
Guide du ramassage scolaire à vélo
Lgn international La Prosperité et le tourisme pour tous
Lgn international La Prosperité et le tourisme pour tous
Gérer ses images sur wmp
Gérer ses images sur wmp
À la découverte des Médas Sociaux
À la découverte des Médas Sociaux
2012 01-06 leccioninfantes
2012 01-06 leccioninfantes
Partage beta
Partage beta
SoLoMo - Web à la vitesse lumière - SATQ FEQ
SoLoMo - Web à la vitesse lumière - SATQ FEQ
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009
Pre assessment
Pre assessment
Les Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunités
Cobertura móvil Micpd
Cobertura móvil Micpd
Journée cree 14 sept 2012 blog
Journée cree 14 sept 2012 blog
DIAM
DIAM
Semelhante a Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques
annibal_mysqlcluster.ppt
annibal_mysqlcluster.ppt
Khalil BOUKRI
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Microsoft
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Trésor-Dux LEBANDA
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
ASIP Santé
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Microsoft pour les PME
The Dark Side Of The Cloud
The Dark Side Of The Cloud
Robert Viseur
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
Patrick Leclerc
Mon Cloud - Présentation des services
Mon Cloud - Présentation des services
GARRIDOJulien
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
Interface ULg, LIEGE science park
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
ISACA Chapitre de Québec
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
ACCESS Group
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
FootballLovers9
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
ngombeemmanuel
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Jean AMANI
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Abdellah Alahyane
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
ITrust - Cybersecurity as a Service
Semelhante a Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques
(20)
annibal_mysqlcluster.ppt
annibal_mysqlcluster.ppt
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
The Dark Side Of The Cloud
The Dark Side Of The Cloud
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
Mon Cloud - Présentation des services
Mon Cloud - Présentation des services
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
Mais de michelcusin
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
michelcusin
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
michelcusin
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
michelcusin
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12
michelcusin
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
michelcusin
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
michelcusin
Vos enfants, Internet et vous
Vos enfants, Internet et vous
michelcusin
Pwn plug: Arme fatale
Pwn plug: Arme fatale
michelcusin
Article secus 05_11_pwnplug
Article secus 05_11_pwnplug
michelcusin
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
michelcusin
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
michelcusin
Article mc secus_10_10
Article mc secus_10_10
michelcusin
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
michelcusin
Présentation botnet u_laval
Présentation botnet u_laval
michelcusin
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
michelcusin
Article secus 09_09
Article secus 09_09
michelcusin
Article mc secus_05_10
Article mc secus_05_10
michelcusin
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
michelcusin
Mais de michelcusin
(18)
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
Vos enfants, Internet et vous
Vos enfants, Internet et vous
Pwn plug: Arme fatale
Pwn plug: Arme fatale
Article secus 05_11_pwnplug
Article secus 05_11_pwnplug
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
Article mc secus_10_10
Article mc secus_10_10
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
Présentation botnet u_laval
Présentation botnet u_laval
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
Article secus 09_09
Article secus 09_09
Article mc secus_05_10
Article mc secus_05_10
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques
1.
Comment les administrateurs
de systèmes peuvent-ils détecter les pirates informatiques? © 2010 Michel Cusin & SANS 1
2.
Mise en contexte Pourquoi
perdons-nous la bataille? • Les attaquants ont un net avantage sur nous: o Ils ne suivent aucunes règles o Nous oui… o Ils ont une structure d’apprentissage différente o Ils ont très peu ou aucun scrupule • Plusieurs personnes croient que: conformité = sécurité o C’est faux! o Conformité et réglementation = Lignes directrices o Ils sont une série d’objectifs • Souvent, nous n'avons pas le temps de «connaître» nos réseaux et systèmes © 2010 Michel Cusin & SANS 2
3.
Heartland •
Conforme à la norme PCI • Plus de 130 millions de cartes de crédit compromises • Averti par les compagnies de cartes de crédit • Les pirates avaient des accès persistants à long terme • Attaque possiblement via un point d’accès sans fil ouvert • Conforme à la norme PCI !!! • Actions en justice © 2010 Michel Cusin & SANS 3
4.
Exemple de logiciel
malveillant (Conficker) • Ver dévastateur ayant infecté au-delà de 15M de machines • Infection via MS08_067 (partage de fichiers et médias amovibles) o Microsoft a désactivé la fonction “autorun” • Système de défense très efficace o Tente de désactiver l’AV à chaque seconde o Bloque certaines requête DNS o Désactive la mise à jour automatique o Désactive le “safe mode” • Capacité de se mettre à jour • Utilise du chiffrement pour se cacher • De plus en plus sofistiqué © 2010 Michel Cusin & SANS 4
5.
Donc… • Nous sommes
à la remorque des attaquants (désavantage) • La conformité quoi que nécessaire, donne parfois un faux sentiment de sécurité • Les “malware” sont de plus en plus efficace et sophistiqué • Mais que pouvons-nous faire !? © 2010 Michel Cusin & SANS 5
6.
Objectifs de la
présentation • Découvrir des outils et les techniques afin de mieux connaître nos systèmes o C’est le but de la sécurité o C’est aussi très difficile à faire • Vous aider à comprendre le point de vue de votre équipe de sécurité o Souvent, ils n’ont aucune idée o Vous pouvez les “aider” • Vous préparer à survivre aux audits et “test” de sécurité • Vous apprendre quelques bons trucs qui vous aideront dans vos tâches quotidiennes • Vous faire peur! © 2010 Michel Cusin & SANS 6
7.
Ce qu’une architecture
de sécurité n’est pas • Un diagramme réseau • Une solution “universelle” réplicable partout (cookie cutter) • Une collection de dispositifs de sécurité o Détection d’intrusion (IDS, IPS) o Coupe-feu (Firewall) o Antivirus • Quelque chose pour contenir une menace spécifique • Article intéressant de Bruce Schneier sur le sujet http://www.schneier.com/blog/archives/2006/10/architecture_an.html © 2010 Michel Cusin & SANS 7
8.
Ce qu’une architecture
de sécurité devrait être • Structure ou organisation des éléments d’un ensemble complexe. • Un processus supportant les objectifs organisationnels • Un processus orienté vers la compréhension et la visibilité • Un processus qui oriente la conception • Non basé sur un produit ou à un manufacturier spécifique © 2010 Michel Cusin & SANS 8
9.
Vous devez connaître
votre réseau • La sécurité se concentre trop souvent sur ce qui est “mauvais” • Nous devons nous concentrer sur ce qui est normal et sur ce qui ne l’est pas • Comment pouvons-nous identifier ce qui est anormal si nous ne savons pas ce qui est normal? • Quelques questions simples: o Quels services sont requis? o Quel trafic est généré à partir de mes systèmes? o Ou mes utilisateurs vont-ils sur Internet? © 2010 Michel Cusin & SANS 9
10.
Si vous n’en
avez pas besoin… Désactivez-le! • Plusieurs organisations se font “hacker” via des applications ou des services dont ils ne connaissaient pas l’existence o Serveur Web clandestin (rogue) o Serveur FTP anonyme o Serveur Windows 2000 clandestin et/ou pas à jour • Le tout s’applique également aux applications côté client o Quicktime o Adobe Acrobat o Word, Excel, etc… © 2010 Michel Cusin & SANS 10
11.
La sécurité en
plusieurs couches = sécurité en profondeur • Plusieurs croient que le fait d’avoir des IDS, IPS, FW, AV procure ou constitue une sécurité en profondeur • C’est faux! • C’est plutôt ce que nous appelons une sécurité de type “poteau de métal” o “J’espère que l’attaque sera bloquée par le poteau de métal“ • Tout dispositif de sécurité est contournable (et le sera!) o IDS – Utilisation de SSL o IPS – Fragmentation et encodage o AV – UPX, Metasploit o FW – Contournement à l’aide netcat © 2010 Michel Cusin & SANS 11
12.
Sécurité en profondeur •
La sécurité en profondeur ne réside pas dans le fait d’avoir plusieurs technologies différentes, mais plutôt dans l’inter- relation et dans la complémentarité qu’elles ont entre elles • Un point de défaillance ne devrait pas permettre que le réseau soit compromis en entier • Par exemple: o Le routeur ne permet que les ports 80, 443, 22 o Le coupe-feu ne permet que les mêmes ports et génère une alerte pour tous les autres ports o Le IDS vérifie pour les attaques dans le trafic (80, 443, 22) et aussi pour autre trafic © 2010 Michel Cusin & SANS 12
13.
Segmentation • Un facteur
clé d’une défense en profondeur est la segmentation réseau • Le réseau tout entier n’est pas nécessairement compromis si une portion ou une composante l’est • Posez-vous les questions suivantes o Est-ce que les postes de travail doivent absolument se parler entre eux? o Est-ce que vos systèmes de gestion doivent être accessibles aux utilisateurs? o Est-ce que le protocole STP doit être diffusé sur tous les ports des commutateurs? -> www.yersinia.net © 2010 Michel Cusin & SANS 13
14.
Durcissement de système
(System Hardening) • Les guides - Utilisez ce qui convient le plus à votre environnement o The Center For Internet Security (CIS) o The National Security Agency (NSA) o The Defense Information Systems Agency (DISA) o National Institute of Standards and Technology (NIST) • Bastille Linux (~30 paramètres) o Désactivation SUID (programmes, mount, etc…) o Restriction d’accès distant (root, tty, etc…) o Désactivation de protocoles (r, telnet, FTP, etc…) o Désinstallation du compilateur (GCC) © 2010 Michel Cusin & SANS 14
15.
Référence de base
des systèmes (System Baselines) • Ce qu’il peut être utile de savoir o Performance matérielle (Hardware) o Utilisateurs et groupes o Logiciels (installation/configuration) o Paramètres et réglages de sécurité o Membre – Domaine / Groupe de travail (workgroup) o Partages © 2010 Michel Cusin & SANS 15
16.
Ce que vous
ne savez pas peut être dangereux • Le vecteur d’attaque le plus utilisé dans votre environnement est le fureteur Web o Où sont les journaux de votre fureteur? o À quoi ressemble une attaque? o Comment les IDS réussiraient-ils à intercepter une attaque sur du trafic SSL? • Parfois notre sécurité technologique nous rend aveugles o Avez-vous un IDS? o Utilisez-vous SSL? o Est-ce que votre IDS déchiffre le trafic SSL? o Avez-vous une zone non couverte (blind spot)? © 2010 Michel Cusin & SANS 16
17.
Savoir ce qui
est normal Windows, Unix, Linux • Quand un problème survient, il faut être prêt! • Les références de bases ne servent pas uniquement à rendre les gens de sécurité heureux o Impressionnent les auditeurs o Aident grandement lors du diagnostique de problème o Peuvent permettre certaines automatisations o Permettent d’effectuer une surveillance proactive • Comprendre ce qui est normal permet de se concentrer sur les “zones de problèmes”. © 2010 Michel Cusin & SANS 17
18.
Chercher ce qui
est inhabituel Windows – Cheat Sheet • Commandes simple “C:>taskmgr.exe” ou “C:>tasklist” • wmic process list full -> Référence de base des systèmes • services.exe – Invoque le panneau de contrôle des services • net start – Liste les services démarrés ou “sc query | more” • dir c: - Chercher les gros fichiers (ex:15MB+) • Clés de registre -> C:reg query o HKLMSoftwareMicrosoftWindowsCurrentVersionRun o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx © 2010 Michel Cusin & SANS 18
19.
Chercher ce qui
est inhabituel Windows – Cheat Sheet • net view -> Voir le réseau • net session -> Voir les sessions ouvertes vers votre système • net use -> Voir les sessions ouvertes de votre système • nbtstat -> Voir les sessions NetBIOS over TCP/IP • netstat –nao 5 -> Affiche les ports TCP et UDP & PID (5 sec) • netsh firewall show config o netsh firewall set opmode disable • schtasks – Affiche les tâches cédulées © 2010 Michel Cusin & SANS 19
20.
Chercher ce qui
est inhabituel Windows – Cheat Sheet • msconfig © 2010 Michel Cusin & SANS 20
21.
Chercher ce qui
est inhabituel Unix, Linux – Cheat Sheet • ps -aux -> Liste les processus • lsof –p [pid] -> Liste les fichiers ouverts basé sur leur PID • find / -uid 0 –perm -4000 -print -> Fichiers avec SUID 0 • find / -size +10000k –print -> Trouve des fichiers de taille X • find / -name “ “ –print -> Trouve les fichiers avec les noms: • (“...”, “..”, “.” et “ “) • ip link | grep PROMISC -> Indication d’un “sniffer” • “lsof –i” et “netstat –nap” -> Liste les ports ouverts • arp –a -> Liste les associations des adresses MAC et IP • grep :0: /etc/passwd -> Liste les comptes avec le UID 0 © 2010 Michel Cusin & SANS 21
22.
Gestion des incidents
(six étapes) • Un Incident constitue une déviation de la norme • Les six étapes du processus de gestion des incidents o 1) Péparation o 2) Identification o 3) Contenir o 4) Éradiquer o 5) Recouvrement o 6) Leçon apprise © 2010 Michel Cusin & SANS 22
23.
Surveillance
(Monitoring) • Le but de la surveillance est de détecter ce qui constitue une déviation de la norme o Principe qui s’applique à la sécurité o S’applique également aux opérations o Syslogs • Les solutions “plug-and-play” ça n’existe pas o Elles doivent être ajustées o Il n’y a pas deux environnements identiques • Il ne s’agit pas d’une question de sécurité uniquement • Requis pour la plupart (ou tous) les standards d’audits © 2010 Michel Cusin & SANS 23
24.
Trafic réseau • Tcpdump
/ windump • Snort – IDS gratuit • Ntop o Interface Web – très graphique o Comme “top” pour le trafic réseau • Wireshark o Sniffer et analyseur de protocoles o Supporte ~500 protocoles o Option “Follow TCP Stream” et plus… o Utilisation facile des filtres • Many times we don't have time to "know" our networks and systems © 2010 Michel Cusin & SANS 24
25.
Nagios • Gratuit –
Logiciel libre • Configuration simple via des scripts o Plugins (services, utilisateurs, disques, proc, mémoire) o Alertes (courriel, pagette, signaux de fumée ;-) o Grande variété de plugins pour plus de possibilités © 2010 Michel Cusin & SANS 25
26.
© 2010 Michel
Cusin & SANS 26
27.
Intégrité des fichiers •
Plusieurs attaques modifient des fichiers systèmes critiques • Les signatures uniques générées par des outils comme AIDE et Tripwire sont modifiées • Parfois difficile de cibler exactement ce qui a été modifié • Les fichiers modifiés constituent un indice • Les références de base des systèmes prennent alors toute leur importance © 2010 Michel Cusin & SANS 27
28.
Quelques exemples d’outils
pour vérifier l’intégrité des fichiers • Tripwire o Produit commercial o Windows, Linux, Solaris • AIDE (Advanced Intrusion Detection Environment) o Gratuit (en replacement de Tripwire) o Versions modernes de *NIX • OSSEC (Open Source Security) o Gratuit o Windows et Linux © 2010 Michel Cusin & SANS 28
29.
Fichiers ayant été
modifiés © 2010 Michel Cusin & SANS 29
30.
OSSIM
Open Source Security Information Management • Relie Snort (IDS) et Nessus (Analyse de vulnérabilités) • Osiris (HIDS) • Intégration avec OSSEC • Très orienté vers la détection des anomalies o SPADE – Plugin d’anomalies réseau pour Snort o NTOP – Historique d’utilisation réseau o Algorithme de détection d’anomalie probable © 2010 Michel Cusin & SANS 30
31.
© 2010 Michel
Cusin & SANS 31
32.
Conclusion • Une architecture
c’est plus que juste un design • C’est un design et les processus le supportant • Avoir des références pour nos systèmes et savoir ce qui est normal est essentiel • Plusieurs outils puissants sont disponibles pour les administrateurs systèmes Utilisez les !!! • Connaissez votre environnement • Le pire temps pour se pratiquer est durant un incident • Les outils ne sont que des outils. La sécurité repose sur des gens et non sur des technologies. © 2010 Michel Cusin & SANS 32
33.
Formation - SANS •
SANS Security 564 - Hacker Detection for System Administrator “Détection de pirates informatiques pour administrateurs de systèmes” • Montréal 19 – 20 mai 2010 • Québec 16 – 17 juin 2010 • Info: http://cusin.ca ou michel@cusin.ca © 2010 Michel Cusin & SANS 33
Baixar agora