Analyse Forensique et Réponse à Incident de Sécurité
Ce cours dure 4 jours.
| » Connaître la cybercriminalité moderneRappel des actualités récentes
Définition des types de criminalité : Les nouveaux outils de protections : UTM, Interception SLL, Sandboxing, etc.. Travaux pratiques Ce chapitre présentera en détail de nombreux cas de compromissions Obtenir des informations fiables, précises et à jour
» Cadre de gestion d’un incident de sécurité Détection d’une intrusion ou compromission informatique Alerte, Évaluation et Décision Mise en œuvre de contre-mesures Gestion de l’incident dans ses différentes phases. Boucle de rétroaction et Amélioration Continue en terme techniques et organisationnels Travaux pratiques Pas nécessairement de TP dans ce chapitre mais plutôt des retours d’expériences.
» Analyser et comprendre les attaques réseaux Les attaques sur les couches 3 et 4 (IP et TCP/UDP) Les attaques sur les applications (Web et autres…) Les attaques sur le chiffrement (ex HTTPS) Les attaques sur les utilisateurs Analyser des logs Réseaux d’un DDoS Volumétrique : compréhension et mise en place de contre-mesure Détection d’une attaque ARP Poisonning couplée à une interception HTTPS Analyse d’une attaque mystère
» La détection réseau d’intrusionsIDS pour alerter ou pour informer ? SNORT, IDS de référence. Paramètres. Syntaxe des règles. Modèle des données. Et les autres solutions commerciales ? Architectures de déploiement. Gestion des faux positifs et négatifs. Travaux pratiques Mise en place de SNORT. Analyser des logs Web et Réseau d’une attaque de type Apache Killer : compréhension et mise en place de contre-mesure Analyser des logs Web et Réseau d’une attaque de type HeartBleed : compréhension et mise en place de contre-mesure
» La collecte des informationsL’hétérogénéité des sources. Qu’est-ce qu’un événement de sécurité ? Le Security Event Information Management (SIEM). Les événements collectés du SI. Les journaux système des équipements (firewalls, routeurs, serveurs, bases de données, etc.). Travaux pratiques La géolocalisation d’une adresse. Analyser le cheminement des utilisateurs Web (via Cookie) ou bien la sauvegarde des données Web envoyées POST Analyser des logs Web d’une Injection SQL : compréhension et mise en place de contre-mesure
» Analyse de logs : Le logiciel SplunkVisualiser, trier, chercher dans les traces Utiliser Splunk pour comprendre les attaques Travaux pratiques Analyser des logs Web d’un Brute-Force sur Formulaire : compréhension et mise en place de contre-mesure
» Qu’est-ce que l’analyse forensique (ou inforensique) des systèmes ? Définition de l’informatique judiciaire Les Objectifs de l’analyse forensique Types de crimes informatiques Rôle de « l’enquêteur » informatique Pourquoi et quand utiliser l’analyse forensique Travaux pratiques (ce chapitre ne nécessite pas forcement de TPs)
» Qu’est-ce qu’une preuve numérique ? Définition et rôle de la preuve numérique. Caractéristiques des preuves numériques Présentation des différents types de preuves numériques Mise en place de règles de classement des preuves numériques Comment évaluer et sécuriser les éléments électroniques d’une scène de crime Collecter et préserver l’intégrité des preuves électroniques Comment établir le rapport final d’une scène de crime Principe de fonctionnement et présentation des différents types de stockage Explications du système de partition des disques Travaux pratiques Dupliquer les données numériques bit à bit (outil opensource ou professionel tels que Prodiscover) Vérifier l’intégrité des données dupliquées Récupérer les fichiers supprimés et/ou cachés Analyse des données numériques » Analyse forensique d’un système d’exploitation Windows Comment collecter les données volatiles et non volatiles Principe de fonctionnement du système de mot de passe de Windows Analyse des données contenues dans la mémoire vive Analyse des fichiers Windows Extractions des metadatas Analyse du cache, cookie et historique de navigation Fonctionnement du registre Windows Compréhension des processus de démarrage Windows Analyse de l’ensemble des historiques des événements Windows
Travaux pratiques Injection d’un utilisateur Windows Casser le mot de passe des sessions Windows Collecter puis analyser les données contenues dans la mémoire vive Référencer et faire le hash de tous les fichiers Windows Explorer les données du navigateur ainsi que le registre Windows |
» La législation française
La durée de conservation des logs.
Le point sur la législation (LSI, LCEN, DADVSI, HADOPI, LOPPSI, LPM)
La CNIL. Le droit du travail.
Travaux pratiques
Exemple de mise en place d’une charte informatique.
» Conclusions
Rappel sur les bonnes pratiques. Les pièges à éviter.
Choisir les bons outils et s’entourer des bonnes compétences
Formation
- Analyse Forensique et Réponse à Incident de Sécurité
- Check Point Niveau 1
- Check Point Niveau 2
- Détection d’Intrusion
- Firewall Cisco ASA
- Générer et Traiter les Logs pour la Sécurité
- Nagios
- Réseaux Privés Virtuels – VPN IPSEC
- Sécurité des Applications Web
- Sécurité des réseaux WiFi
- Séminaire SDN et Infrastructure as Code
- Wireshark
- Splunk