SlideShare uma empresa Scribd logo

Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques

M
michelcusin
Negócios
1 de 33
Baixar para ler offline
Comment les administrateurs de systèmes peuvent-ils détecter les pirates informatiques? © 2010 Michel Cusin & SANS 1
Mise en contexte Pourquoi perdons-nous la bataille? • Les attaquants ont un net avantage sur nous: o Ils ne suivent aucunes règles o Nous oui… o Ils ont une structure d’apprentissage différente o Ils ont très peu ou aucun scrupule • Plusieurs personnes croient que: conformité = sécurité o C’est faux! o Conformité et réglementation = Lignes directrices o Ils sont une série d’objectifs • Souvent, nous n'avons pas le temps de «connaître» nos réseaux et systèmes © 2010 Michel Cusin & SANS 2
Heartland • Conforme à la norme PCI • Plus de 130 millions de cartes de crédit compromises • Averti par les compagnies de cartes de crédit • Les pirates avaient des accès persistants à long terme • Attaque possiblement via un point d’accès sans fil ouvert • Conforme à la norme PCI !!! • Actions en justice © 2010 Michel Cusin & SANS 3
Exemple de logiciel malveillant (Conficker) • Ver dévastateur ayant infecté au-delà de 15M de machines • Infection via MS08_067 (partage de fichiers et médias amovibles) o Microsoft a désactivé la fonction “autorun” • Système de défense très efficace o Tente de désactiver l’AV à chaque seconde o Bloque certaines requête DNS o Désactive la mise à jour automatique o Désactive le “safe mode” • Capacité de se mettre à jour • Utilise du chiffrement pour se cacher • De plus en plus sofistiqué © 2010 Michel Cusin & SANS 4
Donc… • Nous sommes à la remorque des attaquants (désavantage) • La conformité quoi que nécessaire, donne parfois un faux sentiment de sécurité • Les “malware” sont de plus en plus efficace et sophistiqué • Mais que pouvons-nous faire !? © 2010 Michel Cusin & SANS 5
Objectifs de la présentation • Découvrir des outils et les techniques afin de mieux connaître nos systèmes o C’est le but de la sécurité o C’est aussi très difficile à faire • Vous aider à comprendre le point de vue de votre équipe de sécurité o Souvent, ils n’ont aucune idée o Vous pouvez les “aider” • Vous préparer à survivre aux audits et “test” de sécurité • Vous apprendre quelques bons trucs qui vous aideront dans vos tâches quotidiennes • Vous faire peur! © 2010 Michel Cusin & SANS 6
Ce qu’une architecture de sécurité n’est pas • Un diagramme réseau • Une solution “universelle” réplicable partout (cookie cutter) • Une collection de dispositifs de sécurité o Détection d’intrusion (IDS, IPS) o Coupe-feu (Firewall) o Antivirus • Quelque chose pour contenir une menace spécifique • Article intéressant de Bruce Schneier sur le sujet http://www.schneier.com/blog/archives/2006/10/architecture_an.html © 2010 Michel Cusin & SANS 7
Ce qu’une architecture de sécurité devrait être • Structure ou organisation des éléments d’un ensemble complexe. • Un processus supportant les objectifs organisationnels • Un processus orienté vers la compréhension et la visibilité • Un processus qui oriente la conception • Non basé sur un produit ou à un manufacturier spécifique © 2010 Michel Cusin & SANS 8
Vous devez connaître votre réseau • La sécurité se concentre trop souvent sur ce qui est “mauvais” • Nous devons nous concentrer sur ce qui est normal et sur ce qui ne l’est pas • Comment pouvons-nous identifier ce qui est anormal si nous ne savons pas ce qui est normal? • Quelques questions simples: o Quels services sont requis? o Quel trafic est généré à partir de mes systèmes? o Ou mes utilisateurs vont-ils sur Internet? © 2010 Michel Cusin & SANS 9
Si vous n’en avez pas besoin… Désactivez-le! • Plusieurs organisations se font “hacker” via des applications ou des services dont ils ne connaissaient pas l’existence o Serveur Web clandestin (rogue) o Serveur FTP anonyme o Serveur Windows 2000 clandestin et/ou pas à jour • Le tout s’applique également aux applications côté client o Quicktime o Adobe Acrobat o Word, Excel, etc… © 2010 Michel Cusin & SANS 10
La sécurité en plusieurs couches = sécurité en profondeur • Plusieurs croient que le fait d’avoir des IDS, IPS, FW, AV procure ou constitue une sécurité en profondeur • C’est faux! • C’est plutôt ce que nous appelons une sécurité de type “poteau de métal” o “J’espère que l’attaque sera bloquée par le poteau de métal“ • Tout dispositif de sécurité est contournable (et le sera!) o IDS – Utilisation de SSL o IPS – Fragmentation et encodage o AV – UPX, Metasploit o FW – Contournement à l’aide netcat © 2010 Michel Cusin & SANS 11
Sécurité en profondeur • La sécurité en profondeur ne réside pas dans le fait d’avoir plusieurs technologies différentes, mais plutôt dans l’inter- relation et dans la complémentarité qu’elles ont entre elles • Un point de défaillance ne devrait pas permettre que le réseau soit compromis en entier • Par exemple: o Le routeur ne permet que les ports 80, 443, 22 o Le coupe-feu ne permet que les mêmes ports et génère une alerte pour tous les autres ports o Le IDS vérifie pour les attaques dans le trafic (80, 443, 22) et aussi pour autre trafic © 2010 Michel Cusin & SANS 12
Segmentation • Un facteur clé d’une défense en profondeur est la segmentation réseau • Le réseau tout entier n’est pas nécessairement compromis si une portion ou une composante l’est • Posez-vous les questions suivantes o Est-ce que les postes de travail doivent absolument se parler entre eux? o Est-ce que vos systèmes de gestion doivent être accessibles aux utilisateurs? o Est-ce que le protocole STP doit être diffusé sur tous les ports des commutateurs? -> www.yersinia.net © 2010 Michel Cusin & SANS 13
Durcissement de système (System Hardening) • Les guides - Utilisez ce qui convient le plus à votre environnement o The Center For Internet Security (CIS) o The National Security Agency (NSA) o The Defense Information Systems Agency (DISA) o National Institute of Standards and Technology (NIST) • Bastille Linux (~30 paramètres) o Désactivation SUID (programmes, mount, etc…) o Restriction d’accès distant (root, tty, etc…) o Désactivation de protocoles (r, telnet, FTP, etc…) o Désinstallation du compilateur (GCC) © 2010 Michel Cusin & SANS 14
Référence de base des systèmes (System Baselines) • Ce qu’il peut être utile de savoir o Performance matérielle (Hardware) o Utilisateurs et groupes o Logiciels (installation/configuration) o Paramètres et réglages de sécurité o Membre – Domaine / Groupe de travail (workgroup) o Partages © 2010 Michel Cusin & SANS 15
Ce que vous ne savez pas peut être dangereux • Le vecteur d’attaque le plus utilisé dans votre environnement est le fureteur Web o Où sont les journaux de votre fureteur? o À quoi ressemble une attaque? o Comment les IDS réussiraient-ils à intercepter une attaque sur du trafic SSL? • Parfois notre sécurité technologique nous rend aveugles o Avez-vous un IDS? o Utilisez-vous SSL? o Est-ce que votre IDS déchiffre le trafic SSL? o Avez-vous une zone non couverte (blind spot)? © 2010 Michel Cusin & SANS 16
Savoir ce qui est normal Windows, Unix, Linux • Quand un problème survient, il faut être prêt! • Les références de bases ne servent pas uniquement à rendre les gens de sécurité heureux o Impressionnent les auditeurs o Aident grandement lors du diagnostique de problème o Peuvent permettre certaines automatisations o Permettent d’effectuer une surveillance proactive • Comprendre ce qui est normal permet de se concentrer sur les “zones de problèmes”. © 2010 Michel Cusin & SANS 17
Chercher ce qui est inhabituel Windows – Cheat Sheet • Commandes simple “C:>taskmgr.exe” ou “C:>tasklist” • wmic process list full -> Référence de base des systèmes • services.exe – Invoque le panneau de contrôle des services • net start – Liste les services démarrés ou “sc query | more” • dir c: - Chercher les gros fichiers (ex:15MB+) • Clés de registre -> C:reg query o HKLMSoftwareMicrosoftWindowsCurrentVersionRun o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx © 2010 Michel Cusin & SANS 18
Chercher ce qui est inhabituel Windows – Cheat Sheet • net view -> Voir le réseau • net session -> Voir les sessions ouvertes vers votre système • net use -> Voir les sessions ouvertes de votre système • nbtstat -> Voir les sessions NetBIOS over TCP/IP • netstat –nao 5 -> Affiche les ports TCP et UDP & PID (5 sec) • netsh firewall show config o netsh firewall set opmode disable • schtasks – Affiche les tâches cédulées © 2010 Michel Cusin & SANS 19
Chercher ce qui est inhabituel Windows – Cheat Sheet • msconfig © 2010 Michel Cusin & SANS 20
Chercher ce qui est inhabituel Unix, Linux – Cheat Sheet • ps -aux -> Liste les processus • lsof –p [pid] -> Liste les fichiers ouverts basé sur leur PID • find / -uid 0 –perm -4000 -print -> Fichiers avec SUID 0 • find / -size +10000k –print -> Trouve des fichiers de taille X • find / -name “ “ –print -> Trouve les fichiers avec les noms: • (“...”, “..”, “.” et “ “) • ip link | grep PROMISC -> Indication d’un “sniffer” • “lsof –i” et “netstat –nap” -> Liste les ports ouverts • arp –a -> Liste les associations des adresses MAC et IP • grep :0: /etc/passwd -> Liste les comptes avec le UID 0 © 2010 Michel Cusin & SANS 21
Gestion des incidents (six étapes) • Un Incident constitue une déviation de la norme • Les six étapes du processus de gestion des incidents o 1) Péparation o 2) Identification o 3) Contenir o 4) Éradiquer o 5) Recouvrement o 6) Leçon apprise © 2010 Michel Cusin & SANS 22
Surveillance (Monitoring) • Le but de la surveillance est de détecter ce qui constitue une déviation de la norme o Principe qui s’applique à la sécurité o S’applique également aux opérations o Syslogs • Les solutions “plug-and-play” ça n’existe pas o Elles doivent être ajustées o Il n’y a pas deux environnements identiques • Il ne s’agit pas d’une question de sécurité uniquement • Requis pour la plupart (ou tous) les standards d’audits © 2010 Michel Cusin & SANS 23
Trafic réseau • Tcpdump / windump • Snort – IDS gratuit • Ntop o Interface Web – très graphique o Comme “top” pour le trafic réseau • Wireshark o Sniffer et analyseur de protocoles o Supporte ~500 protocoles o Option “Follow TCP Stream” et plus… o Utilisation facile des filtres • Many times we don't have time to "know" our networks and systems © 2010 Michel Cusin & SANS 24
Nagios • Gratuit – Logiciel libre • Configuration simple via des scripts o Plugins (services, utilisateurs, disques, proc, mémoire) o Alertes (courriel, pagette, signaux de fumée ;-) o Grande variété de plugins pour plus de possibilités © 2010 Michel Cusin & SANS 25
© 2010 Michel Cusin & SANS 26
Intégrité des fichiers • Plusieurs attaques modifient des fichiers systèmes critiques • Les signatures uniques générées par des outils comme AIDE et Tripwire sont modifiées • Parfois difficile de cibler exactement ce qui a été modifié • Les fichiers modifiés constituent un indice • Les références de base des systèmes prennent alors toute leur importance © 2010 Michel Cusin & SANS 27
Quelques exemples d’outils pour vérifier l’intégrité des fichiers • Tripwire o Produit commercial o Windows, Linux, Solaris • AIDE (Advanced Intrusion Detection Environment) o Gratuit (en replacement de Tripwire) o Versions modernes de *NIX • OSSEC (Open Source Security) o Gratuit o Windows et Linux © 2010 Michel Cusin & SANS 28
Fichiers ayant été modifiés © 2010 Michel Cusin & SANS 29
OSSIM Open Source Security Information Management • Relie Snort (IDS) et Nessus (Analyse de vulnérabilités) • Osiris (HIDS) • Intégration avec OSSEC • Très orienté vers la détection des anomalies o SPADE – Plugin d’anomalies réseau pour Snort o NTOP – Historique d’utilisation réseau o Algorithme de détection d’anomalie probable © 2010 Michel Cusin & SANS 30
© 2010 Michel Cusin & SANS 31
Conclusion • Une architecture c’est plus que juste un design • C’est un design et les processus le supportant • Avoir des références pour nos systèmes et savoir ce qui est normal est essentiel • Plusieurs outils puissants sont disponibles pour les administrateurs systèmes Utilisez les !!! • Connaissez votre environnement • Le pire temps pour se pratiquer est durant un incident • Les outils ne sont que des outils. La sécurité repose sur des gens et non sur des technologies. © 2010 Michel Cusin & SANS 32
Formation - SANS • SANS Security 564 - Hacker Detection for System Administrator “Détection de pirates informatiques pour administrateurs de systèmes” • Montréal 19 – 20 mai 2010 • Québec 16 – 17 juin 2010 • Info: http://cusin.ca ou michel@cusin.ca © 2010 Michel Cusin & SANS 33

Recomendados

IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Prés kais
Prés kaisPrés kais
Prés kaisKais Madi
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallahIlyass_rebla
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)YousraChahinez
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 

Recomendados

IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Prés kais
Prés kaisPrés kais
Prés kaisKais Madi
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallahIlyass_rebla
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseauxSehla Loussaief Zayen
 
Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)Système de détection d'intrusion (Intrusion Detection System)
Système de détection d'intrusion (Intrusion Detection System)YousraChahinez
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASmartnSkilled
 
2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nidskaser info2aaz
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec ZabbixFourat Zouari
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Johan Moreau
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsANSItunCERT
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)Hackfest Communication
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Sylvain Maret
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place Manuel Cédric EBODE MBALLA
 
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v21 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2Hossin Mzaourou
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Politique de sécurité
Politique de sécuritéPolitique de sécurité
Politique de sécuritéSylvain Maret
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceBee_Ware
 
Les mécanismes de motivation des Ressources Humaines
Les mécanismes de motivation des Ressources HumainesLes mécanismes de motivation des Ressources Humaines
Les mécanismes de motivation des Ressources HumainesAfaf MOSAIF
 

Mais conteúdo relacionado

Mais procurados

Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASmartnSkilled
 
2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nidskaser info2aaz
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Faouzi Maddouri
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec ZabbixFourat Zouari
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Johan Moreau
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysJihen KOCHBATI
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsANSItunCERT
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le webSofteam agency
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications WebSylvain Maret
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)Hackfest Communication
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Sylvain Maret
 
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v21 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2Hossin Mzaourou
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 

Mais procurados (19)

Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASASupport formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
Support formation vidéo : Vos premiers pas avec le pare feu CISCO ASA
 
2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids2 aaz fonctionnement d'un nids
2 aaz fonctionnement d'un nids
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
 
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
Politique de sécurité pour les entreprises : de l'analyse de risque vers la s...
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Monitoring avec Zabbix
Monitoring avec ZabbixMonitoring avec Zabbix
Monitoring avec Zabbix
 
Actions prioritaires pour la SSI
Actions prioritaires pour la SSI Actions prioritaires pour la SSI
Actions prioritaires pour la SSI
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignements
 
La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
La détection d'intrusions est-elle morte en 2003 ? (Éric Gingras)
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
 
1 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v21 réseaux et protocoles-sécurité-partie 1 v2
1 réseaux et protocoles-sécurité-partie 1 v2
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 

Destaque

Politique de sécurité
Politique de sécuritéPolitique de sécurité
Politique de sécuritéSylvain Maret
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceBee_Ware
 
Les mécanismes de motivation des Ressources Humaines
Les mécanismes de motivation des Ressources HumainesLes mécanismes de motivation des Ressources Humaines
Les mécanismes de motivation des Ressources HumainesAfaf MOSAIF
 
Programa Semana Global del Emprendimiento
Programa Semana Global del EmprendimientoPrograma Semana Global del Emprendimiento
Programa Semana Global del EmprendimientoUNIMET
 
Créer une histoire à succès en ligne transférable
Créer une histoire à succès en ligne transférableCréer une histoire à succès en ligne transférable
Créer une histoire à succès en ligne transférableBlog Atlantic
 
Encuesta De Marta Y Silvia
Encuesta De Marta Y SilviaEncuesta De Marta Y Silvia
Encuesta De Marta Y SilviaJose Pedrouzo
 
La communication de la Première Dame de France
La communication de la Première Dame de FranceLa communication de la Première Dame de France
La communication de la Première Dame de FranceClaire Veignant
 
Guide du ramassage scolaire à vélo
Guide du ramassage scolaire à véloGuide du ramassage scolaire à vélo
Guide du ramassage scolaire à vélowebmestre lesvertsbn
 
Lgn international La Prosperité et le tourisme pour tous
Lgn international La Prosperité et le tourisme pour tousLgn international La Prosperité et le tourisme pour tous
Lgn international La Prosperité et le tourisme pour touskokorobilou
 
Gérer ses images sur wmp
Gérer ses images sur wmpGérer ses images sur wmp
Gérer ses images sur wmpE2m Gig
 
À la découverte des Médas Sociaux
À la découverte des Médas SociauxÀ la découverte des Médas Sociaux
À la découverte des Médas SociauxGuillaume Brunet
 
SoLoMo - Web à la vitesse lumière - SATQ FEQ
SoLoMo - Web à la vitesse lumière - SATQ FEQSoLoMo - Web à la vitesse lumière - SATQ FEQ
SoLoMo - Web à la vitesse lumière - SATQ FEQGuillaume Brunet
 
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin200902 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009Alec Pemberton
 
Pre assessment
Pre assessmentPre assessment
Pre assessmentremyy
 
Les Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunitésLes Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunitésSébastien Dubois
 
Cobertura móvil Micpd
Cobertura móvil MicpdCobertura móvil Micpd
Cobertura móvil Micpdfrancoriveros
 
Journée cree 14 sept 2012 blog
Journée cree 14 sept 2012 blogJournée cree 14 sept 2012 blog
Journée cree 14 sept 2012 blogsylvianelauro
 

Destaque (20)

Politique de sécurité
Politique de sécuritéPolitique de sécurité
Politique de sécurité
 
Menaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en franceMenaces informatique et pratique de sécurité en france
Menaces informatique et pratique de sécurité en france
 
Les mécanismes de motivation des Ressources Humaines
Les mécanismes de motivation des Ressources HumainesLes mécanismes de motivation des Ressources Humaines
Les mécanismes de motivation des Ressources Humaines
 
Programa Semana Global del Emprendimiento
Programa Semana Global del EmprendimientoPrograma Semana Global del Emprendimiento
Programa Semana Global del Emprendimiento
 
Créer une histoire à succès en ligne transférable
Créer une histoire à succès en ligne transférableCréer une histoire à succès en ligne transférable
Créer une histoire à succès en ligne transférable
 
Encuesta De Marta Y Silvia
Encuesta De Marta Y SilviaEncuesta De Marta Y Silvia
Encuesta De Marta Y Silvia
 
La communication de la Première Dame de France
La communication de la Première Dame de FranceLa communication de la Première Dame de France
La communication de la Première Dame de France
 
Guide du ramassage scolaire à vélo
Guide du ramassage scolaire à véloGuide du ramassage scolaire à vélo
Guide du ramassage scolaire à vélo
 
Lgn international La Prosperité et le tourisme pour tous
Lgn international La Prosperité et le tourisme pour tousLgn international La Prosperité et le tourisme pour tous
Lgn international La Prosperité et le tourisme pour tous
 
Gérer ses images sur wmp
Gérer ses images sur wmpGérer ses images sur wmp
Gérer ses images sur wmp
 
À la découverte des Médas Sociaux
À la découverte des Médas SociauxÀ la découverte des Médas Sociaux
À la découverte des Médas Sociaux
 
2012 01-06 leccioninfantes
2012 01-06 leccioninfantes2012 01-06 leccioninfantes
2012 01-06 leccioninfantes
 
Partage beta
Partage betaPartage beta
Partage beta
 
SoLoMo - Web à la vitesse lumière - SATQ FEQ
SoLoMo - Web à la vitesse lumière - SATQ FEQSoLoMo - Web à la vitesse lumière - SATQ FEQ
SoLoMo - Web à la vitesse lumière - SATQ FEQ
 
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin200902 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009
02 Onusida Adela Paez Jeunesse Et Vih MbodièNe 2juin2009
 
Pre assessment
Pre assessmentPre assessment
Pre assessment
 
Les Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunitésLes Français et le transhumanisme, entre peurs et opportunités
Les Français et le transhumanisme, entre peurs et opportunités
 
Cobertura móvil Micpd
Cobertura móvil MicpdCobertura móvil Micpd
Cobertura móvil Micpd
 
Journée cree 14 sept 2012 blog
Journée cree 14 sept 2012 blogJournée cree 14 sept 2012 blog
Journée cree 14 sept 2012 blog
 
DIAM
DIAMDIAM
DIAM
 

Semelhante a Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques

annibal_mysqlcluster.ppt
annibal_mysqlcluster.pptannibal_mysqlcluster.ppt
annibal_mysqlcluster.pptKhalil BOUKRI
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Trésor-Dux LEBANDA
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Microsoft pour les PME
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des servicesGARRIDOJulien
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)ACCESS Group
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfFootballLovers9
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfngombeemmanuel
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 

Semelhante a Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques (20)

annibal_mysqlcluster.ppt
annibal_mysqlcluster.pptannibal_mysqlcluster.ppt
annibal_mysqlcluster.ppt
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
Mise en place d’un laboratoire de sécurité « Scénarios d’Attaques et Détectio...
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
Peut-on survivre à une attaque informatique ? Les règles d’or de la sécurité ...
 
The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
 
Mon Cloud - Présentation des services
Mon Cloud - Présentation des servicesMon Cloud - Présentation des services
Mon Cloud - Présentation des services
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
Parlons Sécurité IT avec Access et Ludovic Peny (Sophos)
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdfInstallation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
Installation et Configuration d_un systeme de Detection d_intrusion (IDS).pdf
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
Reveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FRReveelium Smart Predictive Analytics - Datasheet FR
Reveelium Smart Predictive Analytics - Datasheet FR
 

Mais de michelcusin

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainmichelcusin
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vousmichelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatalemichelcusin
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008michelcusin
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackersmichelcusin
 

Mais de michelcusin (18)

Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'information
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12
 
Social Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humainSocial Engineer Toolkit: quand la machine attaque l’humain
Social Engineer Toolkit: quand la machine attaque l’humain
 
Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 

Comment les administrateurs de systèmes peuvent ils détecter les pirates informatiques

  • 1. Comment les administrateurs de systèmes peuvent-ils détecter les pirates informatiques? © 2010 Michel Cusin & SANS 1
  • 2. Mise en contexte Pourquoi perdons-nous la bataille? • Les attaquants ont un net avantage sur nous: o Ils ne suivent aucunes règles o Nous oui… o Ils ont une structure d’apprentissage différente o Ils ont très peu ou aucun scrupule • Plusieurs personnes croient que: conformité = sécurité o C’est faux! o Conformité et réglementation = Lignes directrices o Ils sont une série d’objectifs • Souvent, nous n'avons pas le temps de «connaître» nos réseaux et systèmes © 2010 Michel Cusin & SANS 2
  • 3. Heartland • Conforme à la norme PCI • Plus de 130 millions de cartes de crédit compromises • Averti par les compagnies de cartes de crédit • Les pirates avaient des accès persistants à long terme • Attaque possiblement via un point d’accès sans fil ouvert • Conforme à la norme PCI !!! • Actions en justice © 2010 Michel Cusin & SANS 3
  • 4. Exemple de logiciel malveillant (Conficker) • Ver dévastateur ayant infecté au-delà de 15M de machines • Infection via MS08_067 (partage de fichiers et médias amovibles) o Microsoft a désactivé la fonction “autorun” • Système de défense très efficace o Tente de désactiver l’AV à chaque seconde o Bloque certaines requête DNS o Désactive la mise à jour automatique o Désactive le “safe mode” • Capacité de se mettre à jour • Utilise du chiffrement pour se cacher • De plus en plus sofistiqué © 2010 Michel Cusin & SANS 4
  • 5. Donc… • Nous sommes à la remorque des attaquants (désavantage) • La conformité quoi que nécessaire, donne parfois un faux sentiment de sécurité • Les “malware” sont de plus en plus efficace et sophistiqué • Mais que pouvons-nous faire !? © 2010 Michel Cusin & SANS 5
  • 6. Objectifs de la présentation • Découvrir des outils et les techniques afin de mieux connaître nos systèmes o C’est le but de la sécurité o C’est aussi très difficile à faire • Vous aider à comprendre le point de vue de votre équipe de sécurité o Souvent, ils n’ont aucune idée o Vous pouvez les “aider” • Vous préparer à survivre aux audits et “test” de sécurité • Vous apprendre quelques bons trucs qui vous aideront dans vos tâches quotidiennes • Vous faire peur! © 2010 Michel Cusin & SANS 6
  • 7. Ce qu’une architecture de sécurité n’est pas • Un diagramme réseau • Une solution “universelle” réplicable partout (cookie cutter) • Une collection de dispositifs de sécurité o Détection d’intrusion (IDS, IPS) o Coupe-feu (Firewall) o Antivirus • Quelque chose pour contenir une menace spécifique • Article intéressant de Bruce Schneier sur le sujet http://www.schneier.com/blog/archives/2006/10/architecture_an.html © 2010 Michel Cusin & SANS 7
  • 8. Ce qu’une architecture de sécurité devrait être • Structure ou organisation des éléments d’un ensemble complexe. • Un processus supportant les objectifs organisationnels • Un processus orienté vers la compréhension et la visibilité • Un processus qui oriente la conception • Non basé sur un produit ou à un manufacturier spécifique © 2010 Michel Cusin & SANS 8
  • 9. Vous devez connaître votre réseau • La sécurité se concentre trop souvent sur ce qui est “mauvais” • Nous devons nous concentrer sur ce qui est normal et sur ce qui ne l’est pas • Comment pouvons-nous identifier ce qui est anormal si nous ne savons pas ce qui est normal? • Quelques questions simples: o Quels services sont requis? o Quel trafic est généré à partir de mes systèmes? o Ou mes utilisateurs vont-ils sur Internet? © 2010 Michel Cusin & SANS 9
  • 10. Si vous n’en avez pas besoin… Désactivez-le! • Plusieurs organisations se font “hacker” via des applications ou des services dont ils ne connaissaient pas l’existence o Serveur Web clandestin (rogue) o Serveur FTP anonyme o Serveur Windows 2000 clandestin et/ou pas à jour • Le tout s’applique également aux applications côté client o Quicktime o Adobe Acrobat o Word, Excel, etc… © 2010 Michel Cusin & SANS 10
  • 11. La sécurité en plusieurs couches = sécurité en profondeur • Plusieurs croient que le fait d’avoir des IDS, IPS, FW, AV procure ou constitue une sécurité en profondeur • C’est faux! • C’est plutôt ce que nous appelons une sécurité de type “poteau de métal” o “J’espère que l’attaque sera bloquée par le poteau de métal“ • Tout dispositif de sécurité est contournable (et le sera!) o IDS – Utilisation de SSL o IPS – Fragmentation et encodage o AV – UPX, Metasploit o FW – Contournement à l’aide netcat © 2010 Michel Cusin & SANS 11
  • 12. Sécurité en profondeur • La sécurité en profondeur ne réside pas dans le fait d’avoir plusieurs technologies différentes, mais plutôt dans l’inter- relation et dans la complémentarité qu’elles ont entre elles • Un point de défaillance ne devrait pas permettre que le réseau soit compromis en entier • Par exemple: o Le routeur ne permet que les ports 80, 443, 22 o Le coupe-feu ne permet que les mêmes ports et génère une alerte pour tous les autres ports o Le IDS vérifie pour les attaques dans le trafic (80, 443, 22) et aussi pour autre trafic © 2010 Michel Cusin & SANS 12
  • 13. Segmentation • Un facteur clé d’une défense en profondeur est la segmentation réseau • Le réseau tout entier n’est pas nécessairement compromis si une portion ou une composante l’est • Posez-vous les questions suivantes o Est-ce que les postes de travail doivent absolument se parler entre eux? o Est-ce que vos systèmes de gestion doivent être accessibles aux utilisateurs? o Est-ce que le protocole STP doit être diffusé sur tous les ports des commutateurs? -> www.yersinia.net © 2010 Michel Cusin & SANS 13
  • 14. Durcissement de système (System Hardening) • Les guides - Utilisez ce qui convient le plus à votre environnement o The Center For Internet Security (CIS) o The National Security Agency (NSA) o The Defense Information Systems Agency (DISA) o National Institute of Standards and Technology (NIST) • Bastille Linux (~30 paramètres) o Désactivation SUID (programmes, mount, etc…) o Restriction d’accès distant (root, tty, etc…) o Désactivation de protocoles (r, telnet, FTP, etc…) o Désinstallation du compilateur (GCC) © 2010 Michel Cusin & SANS 14
  • 15. Référence de base des systèmes (System Baselines) • Ce qu’il peut être utile de savoir o Performance matérielle (Hardware) o Utilisateurs et groupes o Logiciels (installation/configuration) o Paramètres et réglages de sécurité o Membre – Domaine / Groupe de travail (workgroup) o Partages © 2010 Michel Cusin & SANS 15
  • 16. Ce que vous ne savez pas peut être dangereux • Le vecteur d’attaque le plus utilisé dans votre environnement est le fureteur Web o Où sont les journaux de votre fureteur? o À quoi ressemble une attaque? o Comment les IDS réussiraient-ils à intercepter une attaque sur du trafic SSL? • Parfois notre sécurité technologique nous rend aveugles o Avez-vous un IDS? o Utilisez-vous SSL? o Est-ce que votre IDS déchiffre le trafic SSL? o Avez-vous une zone non couverte (blind spot)? © 2010 Michel Cusin & SANS 16
  • 17. Savoir ce qui est normal Windows, Unix, Linux • Quand un problème survient, il faut être prêt! • Les références de bases ne servent pas uniquement à rendre les gens de sécurité heureux o Impressionnent les auditeurs o Aident grandement lors du diagnostique de problème o Peuvent permettre certaines automatisations o Permettent d’effectuer une surveillance proactive • Comprendre ce qui est normal permet de se concentrer sur les “zones de problèmes”. © 2010 Michel Cusin & SANS 17
  • 18. Chercher ce qui est inhabituel Windows – Cheat Sheet • Commandes simple “C:>taskmgr.exe” ou “C:>tasklist” • wmic process list full -> Référence de base des systèmes • services.exe – Invoque le panneau de contrôle des services • net start – Liste les services démarrés ou “sc query | more” • dir c: - Chercher les gros fichiers (ex:15MB+) • Clés de registre -> C:reg query o HKLMSoftwareMicrosoftWindowsCurrentVersionRun o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonce o HKLMSoftwareMicrosoftWindowsCurrentVersionRunonceEx © 2010 Michel Cusin & SANS 18
  • 19. Chercher ce qui est inhabituel Windows – Cheat Sheet • net view -> Voir le réseau • net session -> Voir les sessions ouvertes vers votre système • net use -> Voir les sessions ouvertes de votre système • nbtstat -> Voir les sessions NetBIOS over TCP/IP • netstat –nao 5 -> Affiche les ports TCP et UDP & PID (5 sec) • netsh firewall show config o netsh firewall set opmode disable • schtasks – Affiche les tâches cédulées © 2010 Michel Cusin & SANS 19
  • 20. Chercher ce qui est inhabituel Windows – Cheat Sheet • msconfig © 2010 Michel Cusin & SANS 20
  • 21. Chercher ce qui est inhabituel Unix, Linux – Cheat Sheet • ps -aux -> Liste les processus • lsof –p [pid] -> Liste les fichiers ouverts basé sur leur PID • find / -uid 0 –perm -4000 -print -> Fichiers avec SUID 0 • find / -size +10000k –print -> Trouve des fichiers de taille X • find / -name “ “ –print -> Trouve les fichiers avec les noms: • (“...”, “..”, “.” et “ “) • ip link | grep PROMISC -> Indication d’un “sniffer” • “lsof –i” et “netstat –nap” -> Liste les ports ouverts • arp –a -> Liste les associations des adresses MAC et IP • grep :0: /etc/passwd -> Liste les comptes avec le UID 0 © 2010 Michel Cusin & SANS 21
  • 22. Gestion des incidents (six étapes) • Un Incident constitue une déviation de la norme • Les six étapes du processus de gestion des incidents o 1) Péparation o 2) Identification o 3) Contenir o 4) Éradiquer o 5) Recouvrement o 6) Leçon apprise © 2010 Michel Cusin & SANS 22
  • 23. Surveillance (Monitoring) • Le but de la surveillance est de détecter ce qui constitue une déviation de la norme o Principe qui s’applique à la sécurité o S’applique également aux opérations o Syslogs • Les solutions “plug-and-play” ça n’existe pas o Elles doivent être ajustées o Il n’y a pas deux environnements identiques • Il ne s’agit pas d’une question de sécurité uniquement • Requis pour la plupart (ou tous) les standards d’audits © 2010 Michel Cusin & SANS 23
  • 24. Trafic réseau • Tcpdump / windump • Snort – IDS gratuit • Ntop o Interface Web – très graphique o Comme “top” pour le trafic réseau • Wireshark o Sniffer et analyseur de protocoles o Supporte ~500 protocoles o Option “Follow TCP Stream” et plus… o Utilisation facile des filtres • Many times we don't have time to "know" our networks and systems © 2010 Michel Cusin & SANS 24
  • 25. Nagios • Gratuit – Logiciel libre • Configuration simple via des scripts o Plugins (services, utilisateurs, disques, proc, mémoire) o Alertes (courriel, pagette, signaux de fumée ;-) o Grande variété de plugins pour plus de possibilités © 2010 Michel Cusin & SANS 25
  • 26. © 2010 Michel Cusin & SANS 26
  • 27. Intégrité des fichiers • Plusieurs attaques modifient des fichiers systèmes critiques • Les signatures uniques générées par des outils comme AIDE et Tripwire sont modifiées • Parfois difficile de cibler exactement ce qui a été modifié • Les fichiers modifiés constituent un indice • Les références de base des systèmes prennent alors toute leur importance © 2010 Michel Cusin & SANS 27
  • 28. Quelques exemples d’outils pour vérifier l’intégrité des fichiers • Tripwire o Produit commercial o Windows, Linux, Solaris • AIDE (Advanced Intrusion Detection Environment) o Gratuit (en replacement de Tripwire) o Versions modernes de *NIX • OSSEC (Open Source Security) o Gratuit o Windows et Linux © 2010 Michel Cusin & SANS 28
  • 29. Fichiers ayant été modifiés © 2010 Michel Cusin & SANS 29
  • 30. OSSIM Open Source Security Information Management • Relie Snort (IDS) et Nessus (Analyse de vulnérabilités) • Osiris (HIDS) • Intégration avec OSSEC • Très orienté vers la détection des anomalies o SPADE – Plugin d’anomalies réseau pour Snort o NTOP – Historique d’utilisation réseau o Algorithme de détection d’anomalie probable © 2010 Michel Cusin & SANS 30
  • 31. © 2010 Michel Cusin & SANS 31
  • 32. Conclusion • Une architecture c’est plus que juste un design • C’est un design et les processus le supportant • Avoir des références pour nos systèmes et savoir ce qui est normal est essentiel • Plusieurs outils puissants sont disponibles pour les administrateurs systèmes Utilisez les !!! • Connaissez votre environnement • Le pire temps pour se pratiquer est durant un incident • Les outils ne sont que des outils. La sécurité repose sur des gens et non sur des technologies. © 2010 Michel Cusin & SANS 32
  • 33. Formation - SANS • SANS Security 564 - Hacker Detection for System Administrator “Détection de pirates informatiques pour administrateurs de systèmes” • Montréal 19 – 20 mai 2010 • Québec 16 – 17 juin 2010 • Info: http://cusin.ca ou michel@cusin.ca © 2010 Michel Cusin & SANS 33