Cette formation représente la première partie d’une suite de formation relative aux techniques essentiel pour un analyste SOC et bien plus encore.
Elle permet d’avoir des compétences fonctionnelles pour tout analyste SOC qui souhaite commencer dans ce métier ou encore pour toute personne travaillante ou souhaitant travailler dans la sécurité défensive : les Blue teams.
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques.
Le Blue Teaming peut englober beaucoup de métiers : Analyste SOC, Incident Responder, Threat Hunte et même administrateurs !
C’est d’abord une mentalité de vigilance constante contre les acteurs de menaces, qui consiste à défendre, de protéger les organismes mais aussi de durcir les mécanismes de défense et rendre la réponse aux incidents beaucoup plus efficace.
2. Le Blue Teaming
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les
menaces et les cyberattaques
Le but ici n'est pas de garder le contrôle totale, mais plutôt d'encourager la curiosité et un
mindset proactif
Le Blue Teaming peut englober beaucoup de métiers
Analyste SOC
Incident Responder
Threat Hunter
Et même administrateurs
3. Tâches d’une Blue Team
La réalisation d'une analyse de l'empreinte numérique (test d’exposition) de
l’organisme
La mise en œuvre de solutions SIEM pour logger et analyser l'activité du réseau
Surveillance au niveau de l'hôte et du réseau
Prévenir les attaques de phishing
Analyse de risque
Threat Hunting
Durcissement reseaux et systèmes
Sensibilisation
Et bien plus encore …
4. Une formation
Plan de la formation
Introduction
1. Découvrir les normes et standards relatives au Blue
Teaming
2. Apprendre à identifier, catégoriser, analyser et bloquer
une attaque de phishing
3. Maitriser l'analyse de flux réseaux
4. Découvrir la Cyber Threat intelligence
Conclusion
5. Une formation
Public concerné
Administrateurs systèmes et réseaux
Architectes systèmes et réseaux
Analyste SOC
Analyste Cyberdéfense
Consultant cybersécurité
Blue Teams
Toute personne intéressé par l’IT
9. Le Blue Teaming
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les
menaces et les cyberattaques
Le but ici n'est pas de garder le contrôle totale, mais plutôt d'encourager la curiosité et un
mindset proactif
Le Blue Teaming peut englober beaucoup de métiers
Analyste SOC
Incident Responder
Threat Hunter
Et même administrateurs
10. Soft Skills
Autodidacte
Autonomie et organisation
Capacité d’analyse et de synthèse
Rigueur
Méthodologique
Qualité rédactionnelle
Communication
L’art du KISS (Keep It Simple Stupid)
11. Hard Skills
Il n'y a pas de poste de débutant en cybersécurité
Attention au portable skills
12. Les équipes Bleu et Rouge travaillent idéalement en parfaite harmonie les
unes avec les autres, comme deux mains qui forment la capacité d'applaudir
Blue Team et Red Team
13. Le Red Teaming
Les équipes rouges sont des entités internes ou externes dédiées à tester l'efficacité des mesures
de sécurités mis en place dans un organisme en émulant
les outils et techniques d'attaquants potentiels de la manière la plus réaliste possible (Les TTPs)
Cela peut aussi être considéré comme de l’adversary emulation
Utilisant des outils, des exploits, des méthodologies et des objectifs similaires d’acteurs de
menaces données
Plus d’informations : https://sh0ckfr.com/pages/les-differences-entre-red-team-et-pentest/
14. Red Team Vs Pentest
Source: https://sh0ckfr.com/pages/les-differences-entre-red-team-et-pentest/
16. Le Purple Teaming
Le Purple Teaming est un état d'esprit coopératif entre les attaquants et les défenseurs
travaillant du même côté
En tant que tel, il doit être considéré comme une fonction plutôt que comme une
équipe dédiée
Idéalement, Purple ne devrait pas du tout être une équipe, mais plutôt une
dynamique permanente entre le rouge et le bleu
18. Métiers liés au Blue Teaming
Analyste Sécurité
Consultant, Ingénieur et Architecte en cybersécurité
Administrateurs reseaux et systèmes
Analyste SOC (N1,N2 et N3)
Responsable du CSIRT
Threat Hunter
Cyber Threat Analyst
Analyste réponse aux incidents de sécurité
Gestionnaire de crise de cybersécurité
Analyste IAM
Analyste Forensique
Chef de projet cybersécurité
21. Un SOC, C'est la dure réalité qu'on ne peut pas arrêter toutes les attaques
À un moment donné, le système de sécurité le plus avancé échouera et à de
tels moments, la seul chose qui compte, c'est de limiter l'impact et
sécuriser le scope concerné
Introduction
22. Définition
SOC - Security Operations Center
Une fonction centralisée au sein d'un organisme (ou pas) employant des personnes, des processus
et des technologies (solutions) pour surveiller et améliorer en permanence la posture de sécurité
d'une organisation tout en prévenant, détectant, analysant et répondant aux incidents de
cybersécurité, représente un hub ou un poste de commandement central
23.
24. Un analyste SOC ou analyste cyber SOC est un des postes des plus prisés aujourd'hui, il joue
unrôle essentiel dans la sécurité des organismes
L'analyste SOC gère également la coordination et le suivi des incidents, ainsi que le reporting
Les analystes SOC de niveau 1
Tirage, Surveillance, Configuration, Forwarding
Les analystes SOC de niveau 2
Investigation, Réponse à incident, Forensique, amélioration
Les analystes SOC de niveau 3
Threat Hunting, Threat intellgance et même pentest/red teaming
Le métier d’analyste SOC
29. UTM SIEM IDS/IPS/IDPS EDR
Réponse à
incident
Analyse de
malware
Threat
intelligence
Analyse de
vulnérabilités
Honeypot
(internet et
externe)
Must Have pour un SOC
32. Introduction et definition
Le Threat Hunting est l’art de recherche itérative dans le données (brut ou structurées) afin de
pouvoir détecter des menaces (avancées principalement) qui passent entre les mailles du filet
Un contrastes avec les mesures de détection de menaces traditionnel
Firewalls
Systèmes de détection d’intrusion
Sandbox de détection de Malwares
SIEM (Intéressant ? Really ?)
Attention : Ce n’est pas de la réponse à incident
34. Objectifs
Identification
de systèmes
et comptes
compromis
Identification
de systèmes
et comptes
compromis
Identification
d’APT
Identification
d’APT
Améliorer les
règles de
détection de
menaces
Améliorer les
règles de
détection de
menaces
Effectuer des
analyses
forensics
Effectuer des
analyses
forensics
35. Méthodologie de threat Hunting
Collecte et
traitement
de data
Création
d’hypothèse
Ou définition
des objectis
Investigation
via outils et
techniques
Découverte
de nouveaux
patterns et
TTPs
Transfert
d’informations
et
enrichissement
(Analyse)
Réponse à
incident et
amélioration
continue
37. CSIRT
Computer Security Incident Response Team
Généralement un CSIRT est une équipe de sécurité
opérationnelle, composée d’experts de différents
domaines
CERT
Computer emergency response
Marque déposé et il faut respecter les conditions de la
marque Carnegie Melon pour l’utiliser
CSIRT et CERT
Une formation
38. Un CERT et un CSIRT (Plus mature) sont des termes interchangeables et certaines
conditions les séparent (Droit d’utiliser la marque et Réponse à incident/Threat
Intelligence)
CERT
39. Fonctions d’un CSIRT
Centralisation des demandes d'assistance suite aux incidents de
sécurité (attaques) sur les réseaux et les systèmes d'informations
Traitement des alertes et réaction aux attaques informatiques
Etablissement et maintenance d'une base de données des
vulnérabilités
Prévention par diffusion d'informations sur les précautions à
prendre pour minimiser les risques d'incident ou au pire leurs
conséquences
Coordination éventuelle avec les autres entités (hors du domaine
d'action)
Une formation
40. Computer Security Incident Response Team
CSIRT
Détection Réaction Suivi Veille
SOC Limite des responsabilités
SOC/CSIRT
CSIRT
45. Une formation
Configuration hôte conseillé
RAM : 16 Go
Disque Dur : 512 GB SSD
Processeur : i5 (8ème Gen) ou plus
OS : Windows 10
Hyperviseur : VMWare Workstation Pro 15 ou plus
OU
Serveur dédié
soyoustart & hetzner
48. Une formation
L’organisme MITRE
Mitre corporation : Le MITRE est une organisation à but
non lucratif américaine
Créé en 2013
Fond fédéral
Le MITRE c’est d’abord un travail collaboratif avec des
organismes (R&D) gouvernementaux (DoD) et des
institutions industrielles et universitaires
Site web : https://www.mitre.org/
49. Une formation
CVE
CVE : Common Vulnerabilities and Exposures
Un standard qui permet de réencenser des vulnérabilités
avec une description
Un annuaire/dictionnaire en termes plus simple
Format
CVE-AAAA-NNNN
50. CVSS
CVSS : Common Vulnerability Scoring System
Système de scoring créé par le FIRST (Forum of Incident Response and Security Teams)
Objectifs
Calculer
Comparer
Comprendre la gravité des failles de sécurité
Trois métriques
Score de base
Temporel
Environnemental
51. Modèles d’exposition de vulnérabilités
Secret complet
(bug secrecy)
Divulgation
complète (full
disclosure)
Divulgation
responsable
(responsaible
disclosure)
Approche
hybride
52. CWE et CWSS
Common Weakness Enumeration (CWE-XXXX)
Liste d’informations contenant les failles et faiblesses dans la conception et l’architecture d’une application
Common Weakness scoring system
Le Common Weakness Scoring System (CWSS) fournit un mécanisme permettant de hiérarchiser les faiblesses
logicielles de manière cohérente, flexible et ouverte
57. Une formation
Analyse des leaks
Les leaks représentent des fuites de données accessible sur
internet en public ou en vente libre
Exploitation des données dans un contexte de
social engineering, reconnaissance, password reuse ou
encore password spraying
Cela peut aussi concerner
des données personnelles et secrets industrielles
Un des points des plus importants pour une blue team est
de faire une veille continu sur les leaks des organismes
60. Une formation
Définition d’un groupe APT
APT : Advanced Persistent Threat
Représentent des groupes hautement qualifiés, avec des
outils sophistiqués, et des objectifs précis
Leurs objectifs, généralement, ce n’est pas toujours de faire
des dégâts
En premier temps
Persister dans le temps (furtivité) et exfiltration de données
Très souvent assimilé à des gouvernements
Attention aux false flags (Attribution)
64. Une formation
Notion de killchain
Kill chain est un terme utilisé à l'origine par les
militaires pour définir les étapes qu'un ennemi utilise
pour attaquer une cible
En 2011, Lockheed Martin a publié un article
définissant une Cyber Kill Chain
Similaire dans son concept au modèle militaire, il
définit les étapes utilisées par les cyber-attaquants
dans les cyber-attaques d'aujourd'hui
69. TTPs : Tactiques, Techniques et Procédures
La Tactique : L’objectif d’un attaquant
Pour atteindre ces objectifs tactiques, l’attaquant mettra en œuvre une ou plusieurs “techniques”
Sous-techniques
Elles décrivent les actions et le comportement de l'adversaire à un niveau inférieur et plus
technique
Procédures
Mises en œuvre spécifiques que les adversaires utilisent pour une technique ou une sous-
technique
72. Une formation
MITRE ATT&CK
Le MITRE ATT&CK est un des frameworks (Matrice) les plus connus
du MITRE
ATT&CK signifie Adversarial Tactics, Techniques, and Common
Knowledge
Documentation des TTPs courantes utilisées par les menaces
persistantes avancées (APT)
Le MITRE ATT&CK est un point de départ
Threat intelligence
Voir l’image en grand (Des logs biensure)
Ligne défensive efficace
Analyse forensique
73. Apport du MITRE
Analyser et
suivre
l’évolution des
TTPs
Analyser et
suivre
l’évolution des
TTPs
Comparer les
TTPS des
différents
attaquants
Comparer les
TTPS des
différents
attaquants
Permettre de
hiérarchiser la
détection et
l'analyse
Permettre de
hiérarchiser la
détection et
l'analyse
Émulation des
menaces (Adver
sary Emulation)
Émulation des
menaces (Adver
sary Emulation)
Partager
Partager Capitaliser
Capitaliser
78. D3FEND
La matrice D3FEND de Mitre explique la terminologie des techniques
défensives de cybersécurité et leur rapport avec les méthodes offensives
D3FEND est un schéma dont l’ambition est d'établir un langage commun pour
aider les cyberdéfenseurs à partager leurs stratégies et leurs méthodes
79. D3FEND « établit une terminologie des techniques de défense des réseaux
informatiques afin d’éclaircir les relations précédemment non spécifiées entre
les méthodes défensives et offensives »
NSA
Introduction
81. Les composants de D3FEND
D3FEND est composé de trois éléments essentiels
Un graphe de connaissances qui résume les méthodes défensives
Une série d'interfaces utilisateur pour accéder à ces données
Une façon de mettre en correspondance ces mesures défensives avec le modèle d'ATT&CK
84. Présentation
DeTTECT est un outil open source
https://github.com/rabobank-cdc/DeTTECT
Son objectif est d’aider les équipes SOC à comparer la qualité de leurs datasources aux matrices
MITRE ATTA&CK pour leur permettre de détecter les adversaires, en fonction des tactiques qu’ils
peuvent être
Ce qui rend DeTTECT si précieux, c’est qu’il le fait d’une manière facilement compréhensible
85. DETTECT
Le Framework DeTTECT utilise un outil Python, des fichiers d’administration YAML,
l’éditeur DeTTECT et plusieurs tables de scoring pour nous aider à évaluer notre
environement
103. Définition du Social Engineering
Le Social Engineering est la pratique (l’art) d'obtention d'informations critiques en exploitant la faille humaine
Art Of Deception
Vecteurs d’intrusion par prédilection!
L‘être humain = Le maillon faible dans la ligne de défense de l'entreprise/cible (le maillon fort aussi)
En tant qu‘être social, cela nous rend automatiquement vulnérable à des attaques de Social Engineering
Plusieurs vecteurs d'attaque
110. Mettre en place une campagne
de phishing avec gophish
Une formation
Hamza KONDAH
111. Objectifs d’une campagne de phishing
Identifier les
maillons faibles
Sensibiliser
ses utilisateurs
Sécuriser les surfaces
d’attaque
Se protéger contre
les futurs attaques
112. Lab : Mise en place d’une campagne de phishing avec gophish
113. Analyser les URL et les pièces jointes
des mails de phishing dans des sandbox
Une formation
Hamza KONDAH
120. Apprendre à réagir face
à une campagne de phishing
Une formation
Hamza KONDAH
121. Réagir face aux phishing
Mesures préventives
Sensibilisation
Campagne de phishing
Sécurisation des serveurs mails
Mesures réactives
Effecteur une sauvegarde/exportation du mail
Effectuer une analyse du mail
Communiquer !
Application des contremesures (Stratégie de blocage de mails)
Amélioration continue
124. SPF : Sender Policy Framework, est un protocole de validation de courrier électronique conçu pour détecter et
bloquer l’usurpation de courrier électronique qui permet aux échangeurs de courrier de vérifier que le courrier
entrant d’un domaine provient d’une adresse IP autorisée par les administrateurs de ce domaine
SPF
125. DKIM : DomainKeys Identified Mail, permet à une organisation (ou à un gestionnaire du message) d’assumer la
responsabilité d’un message en transit
DKIM
126. DMARC : DMARC, ou Domain-based Message Authentication, Reporting and Conformance est une méthode
d’authentification supplémentaire utilisant SPF et DKIM
Elle permet de vérifier si un courrier électronique a effectivement été envoyé par le propriétaire du domaine
«Friendly-From»
DMARC
130. Découvrir les extensions malicieuses
et leurs rôles dans les campagnes de phishing
Une formation
Hamza KONDAH
131. Les extensions malicieuses
Les extensions malicieuses ne sont pas forcément des document word (docx), document excel (xls)
ou encore des binaires (exe)
Plusieurs autres extensions peuvent êtres utilisés
133. Introduction à Wireshark
Analyseur de paquets
Le dépannage et l'analyse de réseaux informatiques
Le développement de protocoles
L'éducation et la rétro-ingénierie
Gère plus de 1500 protocoles
Interface GUI & CLI
134.
135.
136. Les filtres au niveau de Wireshark
Filtres
d’affichage
Filtres de
captures
148. Threat Intelligence
La Threat Intelligence est une pratique qui permet d’identifier et d’analyser des cybermenaces
Analyse Exploration + Identification + Réponse
Threat Intelligence # Threat Data
Equivalent de l’OSINT et l’OSINFO
La CTI permet de connaître, de mieux se défendre et d’anticiper pour détecter les prémices d’une
attaque
Empêcher la perte
de données
Faciliter la mise en
œuvre de mesures
de sécurité
Partager des
informations
149. Une formation
Informations collectées
Les informations collectées peuvent être de différentes natures
Campagnes d’attaques,
IOC (indicateurs de compromissions tels que des hash, des noms
de domaines ou des adresses IP),
historiques d’attaques,
réutilisation d’architecture ou de plateforme ayant servies
antérieurement, utilisation de services, techniques et méthodes
spécifiques (signatures communes, registrant identique)
156. MISP
Open Source Threat Intelligence and Sharing Plateforme
Recueillir et utiliser des informations liées aux menaces informatiques n'est pas une chose aisée ;
les standardiser et les partager est encore plus difficile
L'outil libre de renseignements sur les menaces
MISP a été conçu afin de faciliter ces aspects complexes et pourtant si essentiels de nos jours
158. Plateforme ouverte d’analyse de cybermenace, opensource, modulaire et bien documenté
API ++
Parmi les plateformes les plus intéressantes et efficaces
Une panoplie de fonctionnalités
Graph de connaissance
Modèle de données unifié
Sourcing de l’origine de données
Exploration et corrélation
Raisonnement automatique
Gestion des accès
Une panoplie de connecteurs
OpenCTI
163. Découvrir la différence entre
HoneyNets et la Deceptive Security
Une formation
Hamza KONDAH
164. Honeynets
Un honeynet est un réseau de honeypots interconnectés qui simule un véritable réseau et est
configuré pour surveiller et enregistrer discrètement toutes les données.
165. Deceptive Security
En général, la deception security consiste en un système d'information comprenant de vrais et de
faux actifs associés à des données et des accès fictifs. Ceux-ci sont communément appelés
“breadcrumbs”, qui veut dire “miettes de pain” en français.
166. Deceptive Security
En général, la deception security consiste en un système d'information comprenant de vrais et de
faux actifs associés à des données et des accès fictifs. Ceux-ci sont communément appelés
“breadcrumbs”, qui veut dire “miettes de pain” en français.
170. Ce qu’il faut retenir
Le Darkweb est un sous réseau logique d’internet
IL FAIT PARTIE D’INTERNET (dépendance)
L’avantage des darknets
Intégration de protocole d’anonymisation
Intégration de protocole de chiffrement
Architecture décentralisé P2P
Anonyme, mais pas totalement !
Il existe pas un mais « des » darknet (networks)
Généralement un accès via un navigateur ou bien un service/application
Aujourd’hui même la blochchain s’en mêle
Réseau ZeroNet pour l’exemple (dépendance Tor, reprend le principe du darkweb)
171. Les principaux darknets
Quand ont parlent de darknet, on parle principalement de
L’accès se fait principalement via un navigateur ou bien application/service
Au niveau de Tor, la communauté est beaucoup plus active, c’est plus sécurisé,
démocratisé et fiable !
172. Une formation
Le réseau Tor
D’abord le US Naval Research Laboratory, puis l’EFF et maintenant le Tor
Project
http://www.torproject.org/
Pourquoi ?
« Tor est un logiciel gratuit et un réseau ouvert qui vous aide à vous
défendre contre toutes forme de surveillance de réseau qui menace la
liberté personnelle et la vie privée, les activités et relations commerciales
confidentielles, et la sécurité de l’Etat connue sous le nom d’analyse du
trafic » - Tel
Quoi ?
Accéder anonymement aux sites Internet normaux et aux services cachés
de Tor
Comment ?
Exécuter localement le proxy SOCKS qui se connecte au réseau Tor
173. Archiecture Tor
Internet Server
Directory Server
Nœud
d’entrée
Nœuds
intermédiaire
Nœud de
sortie
V2 : http://nr6juudpp4as4gjg.onion/
V3 : http://danielas3rtn54uwmofdo3x2bsdifr47huasnmbgqzfrec5ubupvtpid.onion/
174.
175. Pros/Cons de Tor
Avantages Inconvénients
• Si vous pouvez le tunneler via un
proxy SOCKS, vous pouvez faire
fonctionner à peu près n’importe
quel protocole
• Trois niveaux de proxy, chaque
nœud ne connaissant pas l’avant-
dernier, rend les choses très
anonymes
• Lent
• Infrastructure semi @static
• Il est assez facile de dire que
quelqu'un l’utilise du côté serveur
176. Une formation
OSINT Darknet
En vue de la nature complexe du darknet, il est très complexe de
récupérer des données
L’identification d’informations/suspects est très difficile
La clé de voute : Combiner les techniques d’osint traditionnel avec
les données et informations récupéré sur le darkweb
Nom d’utilisateurs
Avatar
Informations de contact
Headers
Images
…
177. Use case par le passé
Identifiants en ligne
Exploitation PGP
Gpg – import XX.gpg
Empreinte digitaux
Erreurs de configuration
Serveur intermédiaire
Expositions d’informations
181. Définition des Ransomwares
Ransomware, Crypto Locker… par abus de langage, on
peut tout dire
A la base, c’est une catégorie de Malware qui vise à chiffrer
vos données et demander une rançon en échange de la clé
déchiffrement
De nos jours, c’est des groupes de cybercriminelles
structurés, encadré, avec des techniques sophistiqués
exploitant des CVEs connues et des 0-day
Une formation
188. Une formation
Bilan de la formation
Découvrir les normes et standards relatifs au Blue
Teaming
Apprendre à identifier, catégoriser, analyser et
bloquer une attaque de phishing
Maitriser l'analyse de flux réseaux
Découvrir la Cyber Threat Intelligence