SlideShare une entreprise Scribd logo

Rapport de Sécurité infio SOFAFER V1.0 .docx

Télécharger en tant que DOCX, PDF
M
mohamedlakhiari1

important pour l'infra

Périphériques & matériel
1  sur  9
CLIENT : SOFAFER NOM DU PROJET : Rapport de Sécurité SOFAFER DATE : 16/02/2024 VERSION : 1.0 Rapport de Sécurité SOFAFER 2024
2 Table des matières SUIVI DU DOCUMENT .......................................................................................................... 3 1. Contexte et objectif du document.................................................................................... 4 2. Analyse des intrusions ........................................................................................................ 4 2.1 Détection des attaques et des tentatives d'intrusion ......................................................... 4 2.2 Réponses aux événements détectés.................................................................................. 5 3. Détection des Malwares ......................................................................................................... 6 3.1 Types de malwares détectés ............................................................................................. 6 3.2 Réponses aux événements détectés.................................................................................. 6 4. Contrôle d'accès Internet ........................................................................................................ 7 4.1 Blocage de sites Web malveillants ou non conformes..................................................... 7 4.2 Analyse de l'utilisation d'Internet ..................................................................................... 7 4.3 Identification des tendances et des risques potentiels ...................................................... 9
3 SUIVI DU DOCUMENT Rédacteurs Nom Fonction Contact HAMZA MICHBAL Ingénieur Réseau & Sécurité +212 6 62 30 98 92 Historique des modifications Date Vérificateur Nature du changement 31/12/2023 Technique Création Cliquez ici pour entrer une date. Chef de projet Vérification Cliquez ici pour entrer une date. Historique des révisions Version Date Révisé par 1.0 31/12/2023 Hamza Michbal 2.0 Cliquez ici pour entrer une date. Diffusion du document Entité Destinataires SOFAFER Service Technique SOFAFER SINGLA Service Technique SINGLA Etat du document : Contact Pour toute demande concernant ce document : Nom Téléphone Email HAMZA MICHBAL +212 6 62 30 98 92 Hamza.michbal@singla.ma
4 Contexte et objectif du document Dans un paysage numérique en constante évolution, la sécurité des réseaux est une préoccupation primordiale pour les organisations. Avec la prolifération des cybermenaces, la mise en place d'une solution de firewalling robuste et polyvalente est essentielle pour protéger les actifs et les données sensibles. Ce rapport se concentre sur l'évaluation de la sécurité d’infrastructure réseau SOFAFER, en mettant en avant l'efficacité des fonctionnalités IPS, Antivirus et Filtrage Web intégrées à la solution de firewalling. En analysant les menaces actuelles, en évaluant l'architecture et la configuration du firewall, ainsi qu'en examinant les performances des différentes fonctionnalités de sécurité, ce rapport vise à fournir un aperçu complet de l'état de la sécurité du réseau et à proposer des recommandations pour renforcer sa résilience face aux cyberattaques. 1. Analyse des intrusions 2.1 Détection des attaques et des tentatives d'intrusion Le system IPS activé sur le Firewall Fortigate a Détecté et a bloqué plusieurs types attaques au niveau du Réseau SOFAFER : Figure 1 : Capture IPS Détection  La première attaque Bloqué De type TCP.Split.Handshake : consiste que les attaquants peuvent obtenir des informations sur le système pour se préparer à de nouvelles attaques. Le tableau suivant représente les traces de l’attaque : Date Source User/PC Destination Localisation Threat Level Attack Name Message 2024-02-16 172.16.20.106 50:65:f3:1a:98: 10 Windows 196.92.3.5 Maroc TCP.Split.Handsha ke a-ipdf: TCP.Split.Handshake, TCP split handshake at state: ESTABLISHED  La deuxième attaque Bloqué de type Mozi.Botnet : Mozi est un botnet IoT qui utilise le P2P pour la communication et consiste que les attaquants distants peuvent prendre le contrôle des systèmes vulnérables Le tableau suivant représente les traces de l’attaque : Date Source User/PC Destination Localisation Threat Level Attack Name Message 2024-02-16 172.16.20.55 DESKTOP- H26I7AH 178.72.88.231 Russie Mozi.Botnet backdoor: Mozi.Botnet
5 38:ca:84:41:eb: 0e Winwods 10  La Troisième Attaque Bloqué de type Java.Debug.Wire.Protocol.Insecure.Configuration : Cela indique une tentative d'utilisation du protocole Java Debug Wire (JDWP) pour accéder au débogage à distance.  JDWP permet le débogage à distance de la machine virtuelle Java. Cependant, ce protocole n'authentifie pas les utilisateurs et n'est pas sécurisé. Les attaquants peuvent utiliser JDWP pour effectuer une injection de commandes. Le port du service JDWP ne doit jamais être exposé au public.  Cette signature peut détecter les tentatives d'exploitation d'une vulnérabilité d'exécution de code à distance dans le NVR de SOFAFER. Une vulnérabilité dans la fonctionnalité de contrôle d'accès pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire avec les privilèges root sur un système affecté. La vulnérabilité est due à un manque d'authentification et à l'exposition du port du service JDWP au public. Le tableau suivant représente les traces de l’attaque : Time Source Localisation Destination Equipement Threat Level Attack Name Message 2024-02-14 45.128.232.159 Pays-Bas 172.16.20.21 4 NVR-port 8000 Java.Debug.Wire.P rotocol.Insecure.C onfiguration misc: Java.Debug.Wire.Protocol.I nsecure.Configuration 2024-02-13 49.51.252.126 US 172.16.20.21 4 NVR-port 8000 Java.Debug.Wire.P rotocol.Insecure.C onfiguration misc: Java.Debug.Wire.Protocol.I nsecure.Configuration  La quatrième attaque Bloqué de type Sality.Botnet : Sality est la classification d'une famille de logiciels malveillants (malware), qui infectent les fichiers du système Microsoft Windows Les systèmes infectés par Sality peuvent communiquer sur un réseau peer-to-peer (P2P) pour former un botnet afin de relayer le spam , le proxy des communications, l'exfiltration de données sensibles, la compromission des serveurs Web et/ou la coordination de tâches informatiques distribuées pour traiter des tâches intensives (par exemple, mot de passe). fissuration)  Le tableau suivant représente les traces de l’attaque : Time Source User/PC Destination Localisation Threat Level Attack Name Message 2024-02-09 172.16.20.30 c0:18:03:5b:0a:53 DESKTOP- 1L6J83L United Arab Emirates Émirats Sality.Botnet backdoor: Sality.Botnet 2024-02-09 172.16.20.30 c0:18:03:5b:0a:53 DESKTOP- 1L6J83L United Arab Emirates Émirats Sality.Botnet backdoor: Sality.Botnet 2.2 Réponses aux événements détectés La réponse aux événements précédents se décline comme suit :  Vérification des mises a jours antivirus Kaspersky sur les ordinateurs des utilisateurs.  Analyse des vulnérabilités sur les ordinateurs des utilisateurs.  Réalisation du formatage des ordinateurs affectés par les attaques mentionnées précédemment : User/PC Source OS Threat Level Attack Name Action ------ 172.16.20.106 50:65:f3:1a:98:10 Windows 10 TCP.Split.Handsha ke Formatage DESKTOP- H26I7AH 172.16.20.55 38:ca:84:41:eb:0e Winwods 10 Mozi.Botnet Formatage
6 DESKTOP- 1L6J83L 172.16.20.30 c0:18:03:5b:0a:53 Winwods 10 Sality.Botnet Formatage  Désactivation de la publication du NVR sur le Web 3. Détection des Malwares 3.1 Types de malwares détectés Le system Antivirus activé sur le Firewall Fortigate a Détecté et a bloqué plusieurs types de Malwares au niveau du Réseau SOFAFER :  Le système antivirus a identifié le premier virus sous le nom de Riskware/uTorrent : classé comme un type de Riskware, c’est un logiciel à risque désigne toute application potentiellement indésirable qui n'est pas classée comme logiciel malveillant, mais qui peut utiliser les ressources du système de manière indésirable ou gênante et/ou présenter un risque de sécurité.  Le tableau suivant représente les traces de l’attaque : Time Source User/PC File Name Destination Localisation Threat Level Attack Name Message 2024-02-14 172.16.20.99 80:c1:6e:f5:59:54 BENSOUDA utorrent.47008.in staller.exe 95.140.230.2 17 Italie Riskware/uTorr ent File is infected.  Le système antivirus a identifié le deuxième virus sous le nom de JS/Agent.00E5!tr est classé comme cheval de Troie. Est un type de malware qui exécute des activités à l'insu de l'utilisateur. Ces activités incluent généralement l'établissement de connexions d'accès à distance, la capture des saisies au clavier, la collecte d'informations système, le téléchargement/téléchargement de fichiers, l'introduction d'autres logiciels malveillants dans le système infecté, l'exécution d'attaques par déni de service (DoS) et l'exécution/termination de processus.  Le tableau suivant représente les traces de l’attaque : Time Source User/PC File Name Destination Localisation Threat Level Attack Name Message Full Time 172.16.20.52 e0:73:e7:11:5a:ba DESKTOP- SO10EFK PO.gz 64.90.62.162 US JS/Agent.00E5!t r File is infected.  Le cheval de Troie JS/Agent.00E5!tr tente de se propager avec le protocole IMAP de puis l’ordinateur DESKTOP-SO10EFK avec l’adresse électronique kurnia@graecum.com Vers l’adresse électronique compara.messaoudi@sofafer.ma. 3.2 Réponses aux événements détectés La réponse aux événements précédents se décline comme suit :  Vérification des mises a jours antivirus Kaspersky sur les ordinateurs des utilisateurs.  Analyse des vulnérabilités sur les ordinateurs des utilisateurs.  Réalisation du formatage des ordinateurs affectés par les virus mentionnés précédemment : User/PC Source OS Threat Level Virus Name Action BENSOUDA 172.16.20.99 80:c1:6e:f5:59:54 Windows 10 Riskware/uTorrent Désinstaller utorrent et analyse de l’ordinateur DESKTOP- SO10EFK 172.16.20.52 e0:73:e7:11:5a:ba Winwods 10 JS/Agent.00E5!tr Formatage
7 4. Contrôle d'accès Internet 4.1 Blocage de sites Web malveillants ou non conformes Le system Web Filter activé sur le Firewall Fortigate a Détecté et a bloqué plusieurs types de URL au niveau du Réseau SOFAFER :  Les LOG sont accompagnés avec ce rapport de Sécurité SOFAFER  Fichier LOG_forticloud-webfilter-2024_02_16 4.2 Analyse de l'utilisation d'Internet La capture suivante represent la totalité des site URL visité depuis l’installation du Firewall :
8
9 4.3 Identification des tendances et des risques  Voici une capture de la protection du trafic Firewall des risques sur le réseau.  Evènements de sécurité détectée :

Recommandé

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptxBahaty1
 
Snort
SnortSnort
SnortTchadowNet
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017Bastien Bobe
 
Audit
AuditAudit
Auditzan
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsMohamed Ben Bouzid
 

Recommandé

Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ipsYassmina AGHIL
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptxBahaty1
 
Snort
SnortSnort
SnortTchadowNet
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017Présentation ransomware - Ivanti Interchange 2017
Présentation ransomware - Ivanti Interchange 2017Bastien Bobe
 
Audit
AuditAudit
Auditzan
 
Annexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsAnnexe2 : Etude Comparative Sur Les Honeyclients
Annexe2 : Etude Comparative Sur Les HoneyclientsMohamed Ben Bouzid
 
Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Blandine Delaporte
 
8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdfssuserbd922f
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Blandine Delaporte
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Hamza Ben Marzouk
 
rapportWAS
rapportWASrapportWAS
rapportWASHamza Ben Marzouk
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHFabwice Bend'j
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatiqueBrahim Bouchta
 
Audit et sécurité informatique
Audit et sécurité informatiqueAudit et sécurité informatique
Audit et sécurité informatiqueMohamed Habib Jomaa
 
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4 Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4 Khalid EDAIG
 
Rapport des e-menaces 2012
Rapport des e-menaces 2012 Rapport des e-menaces 2012
Rapport des e-menaces 2012 Bitdefender en France
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromiseTarek MOHAMED
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.pptNatijTDI
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Blandine Delaporte
 

Contenu connexe

Similaire à Rapport de Sécurité infio SOFAFER V1.0 .docx

Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Blandine Delaporte
 
8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdfssuserbd922f
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKEyesOpen Association
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Blandine Delaporte
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Hamza Ben Marzouk
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHFabwice Bend'j
 
Audit et sécurité informatique
Audit et sécurité informatiqueAudit et sécurité informatique
Audit et sécurité informatiqueMohamed Habib Jomaa
 
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4 Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4 Khalid EDAIG
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromiseTarek MOHAMED
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCAntoine Vigneron
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.pptNatijTDI
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Blandine Delaporte
 

Similaire à Rapport de Sécurité infio SOFAFER V1.0 .docx (20)

Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016Rapport Threat Intelligence Check Point du 23 mai 2016
Rapport Threat Intelligence Check Point du 23 mai 2016
 
8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdf
 
Cyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CKCyber attaques APT avec le framework MITRE ATT&CK
Cyber attaques APT avec le framework MITRE ATT&CK
 
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide completAlphorm.com Formation Analyse de Malware 1/2 : Le guide complet
Alphorm.com Formation Analyse de Malware 1/2 : Le guide complet
 
Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016Rapport Threat Intelligence Check Point du 11 juillet 2016
Rapport Threat Intelligence Check Point du 11 juillet 2016
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015Rapport atelier Web App Security 2015
Rapport atelier Web App Security 2015
 
rapportWAS
rapportWASrapportWAS
rapportWAS
 
Recommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSHRecommandations pour un usage sécurisé d’(Open)SSH
Recommandations pour un usage sécurisé d’(Open)SSH
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
Audit et sécurité informatique
Audit et sécurité informatiqueAudit et sécurité informatique
Audit et sécurité informatique
 
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4 Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
Metasploit et Metasploitable2 : exploiter VSFTPD v2.3.4
 
Rapport des e-menaces 2012
Rapport des e-menaces 2012 Rapport des e-menaces 2012
Rapport des e-menaces 2012
 
Comment analyser une machine linux compromise
Comment analyser une machine linux compromiseComment analyser une machine linux compromise
Comment analyser une machine linux compromise
 
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOCJeudi de l AFAI - Evolutions des menaces et adaptation des SOC
Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2
 
Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016Rapport Threat Intelligence Check Point du 25 juillet 2016
Rapport Threat Intelligence Check Point du 25 juillet 2016
 

Rapport de Sécurité infio SOFAFER V1.0 .docx

  • 1. CLIENT : SOFAFER NOM DU PROJET : Rapport de Sécurité SOFAFER DATE : 16/02/2024 VERSION : 1.0 Rapport de Sécurité SOFAFER 2024
  • 2. 2 Table des matières SUIVI DU DOCUMENT .......................................................................................................... 3 1. Contexte et objectif du document.................................................................................... 4 2. Analyse des intrusions ........................................................................................................ 4 2.1 Détection des attaques et des tentatives d'intrusion ......................................................... 4 2.2 Réponses aux événements détectés.................................................................................. 5 3. Détection des Malwares ......................................................................................................... 6 3.1 Types de malwares détectés ............................................................................................. 6 3.2 Réponses aux événements détectés.................................................................................. 6 4. Contrôle d'accès Internet ........................................................................................................ 7 4.1 Blocage de sites Web malveillants ou non conformes..................................................... 7 4.2 Analyse de l'utilisation d'Internet ..................................................................................... 7 4.3 Identification des tendances et des risques potentiels ...................................................... 9
  • 3. 3 SUIVI DU DOCUMENT Rédacteurs Nom Fonction Contact HAMZA MICHBAL Ingénieur Réseau & Sécurité +212 6 62 30 98 92 Historique des modifications Date Vérificateur Nature du changement 31/12/2023 Technique Création Cliquez ici pour entrer une date. Chef de projet Vérification Cliquez ici pour entrer une date. Historique des révisions Version Date Révisé par 1.0 31/12/2023 Hamza Michbal 2.0 Cliquez ici pour entrer une date. Diffusion du document Entité Destinataires SOFAFER Service Technique SOFAFER SINGLA Service Technique SINGLA Etat du document : Contact Pour toute demande concernant ce document : Nom Téléphone Email HAMZA MICHBAL +212 6 62 30 98 92 Hamza.michbal@singla.ma
  • 4. 4 Contexte et objectif du document Dans un paysage numérique en constante évolution, la sécurité des réseaux est une préoccupation primordiale pour les organisations. Avec la prolifération des cybermenaces, la mise en place d'une solution de firewalling robuste et polyvalente est essentielle pour protéger les actifs et les données sensibles. Ce rapport se concentre sur l'évaluation de la sécurité d’infrastructure réseau SOFAFER, en mettant en avant l'efficacité des fonctionnalités IPS, Antivirus et Filtrage Web intégrées à la solution de firewalling. En analysant les menaces actuelles, en évaluant l'architecture et la configuration du firewall, ainsi qu'en examinant les performances des différentes fonctionnalités de sécurité, ce rapport vise à fournir un aperçu complet de l'état de la sécurité du réseau et à proposer des recommandations pour renforcer sa résilience face aux cyberattaques. 1. Analyse des intrusions 2.1 Détection des attaques et des tentatives d'intrusion Le system IPS activé sur le Firewall Fortigate a Détecté et a bloqué plusieurs types attaques au niveau du Réseau SOFAFER : Figure 1 : Capture IPS Détection  La première attaque Bloqué De type TCP.Split.Handshake : consiste que les attaquants peuvent obtenir des informations sur le système pour se préparer à de nouvelles attaques. Le tableau suivant représente les traces de l’attaque : Date Source User/PC Destination Localisation Threat Level Attack Name Message 2024-02-16 172.16.20.106 50:65:f3:1a:98: 10 Windows 196.92.3.5 Maroc TCP.Split.Handsha ke a-ipdf: TCP.Split.Handshake, TCP split handshake at state: ESTABLISHED  La deuxième attaque Bloqué de type Mozi.Botnet : Mozi est un botnet IoT qui utilise le P2P pour la communication et consiste que les attaquants distants peuvent prendre le contrôle des systèmes vulnérables Le tableau suivant représente les traces de l’attaque : Date Source User/PC Destination Localisation Threat Level Attack Name Message 2024-02-16 172.16.20.55 DESKTOP- H26I7AH 178.72.88.231 Russie Mozi.Botnet backdoor: Mozi.Botnet
  • 5. 5 38:ca:84:41:eb: 0e Winwods 10  La Troisième Attaque Bloqué de type Java.Debug.Wire.Protocol.Insecure.Configuration : Cela indique une tentative d'utilisation du protocole Java Debug Wire (JDWP) pour accéder au débogage à distance.  JDWP permet le débogage à distance de la machine virtuelle Java. Cependant, ce protocole n'authentifie pas les utilisateurs et n'est pas sécurisé. Les attaquants peuvent utiliser JDWP pour effectuer une injection de commandes. Le port du service JDWP ne doit jamais être exposé au public.  Cette signature peut détecter les tentatives d'exploitation d'une vulnérabilité d'exécution de code à distance dans le NVR de SOFAFER. Une vulnérabilité dans la fonctionnalité de contrôle d'accès pourrait permettre à un attaquant distant non authentifié d'exécuter du code arbitraire avec les privilèges root sur un système affecté. La vulnérabilité est due à un manque d'authentification et à l'exposition du port du service JDWP au public. Le tableau suivant représente les traces de l’attaque : Time Source Localisation Destination Equipement Threat Level Attack Name Message 2024-02-14 45.128.232.159 Pays-Bas 172.16.20.21 4 NVR-port 8000 Java.Debug.Wire.P rotocol.Insecure.C onfiguration misc: Java.Debug.Wire.Protocol.I nsecure.Configuration 2024-02-13 49.51.252.126 US 172.16.20.21 4 NVR-port 8000 Java.Debug.Wire.P rotocol.Insecure.C onfiguration misc: Java.Debug.Wire.Protocol.I nsecure.Configuration  La quatrième attaque Bloqué de type Sality.Botnet : Sality est la classification d'une famille de logiciels malveillants (malware), qui infectent les fichiers du système Microsoft Windows Les systèmes infectés par Sality peuvent communiquer sur un réseau peer-to-peer (P2P) pour former un botnet afin de relayer le spam , le proxy des communications, l'exfiltration de données sensibles, la compromission des serveurs Web et/ou la coordination de tâches informatiques distribuées pour traiter des tâches intensives (par exemple, mot de passe). fissuration)  Le tableau suivant représente les traces de l’attaque : Time Source User/PC Destination Localisation Threat Level Attack Name Message 2024-02-09 172.16.20.30 c0:18:03:5b:0a:53 DESKTOP- 1L6J83L United Arab Emirates Émirats Sality.Botnet backdoor: Sality.Botnet 2024-02-09 172.16.20.30 c0:18:03:5b:0a:53 DESKTOP- 1L6J83L United Arab Emirates Émirats Sality.Botnet backdoor: Sality.Botnet 2.2 Réponses aux événements détectés La réponse aux événements précédents se décline comme suit :  Vérification des mises a jours antivirus Kaspersky sur les ordinateurs des utilisateurs.  Analyse des vulnérabilités sur les ordinateurs des utilisateurs.  Réalisation du formatage des ordinateurs affectés par les attaques mentionnées précédemment : User/PC Source OS Threat Level Attack Name Action ------ 172.16.20.106 50:65:f3:1a:98:10 Windows 10 TCP.Split.Handsha ke Formatage DESKTOP- H26I7AH 172.16.20.55 38:ca:84:41:eb:0e Winwods 10 Mozi.Botnet Formatage
  • 6. 6 DESKTOP- 1L6J83L 172.16.20.30 c0:18:03:5b:0a:53 Winwods 10 Sality.Botnet Formatage  Désactivation de la publication du NVR sur le Web 3. Détection des Malwares 3.1 Types de malwares détectés Le system Antivirus activé sur le Firewall Fortigate a Détecté et a bloqué plusieurs types de Malwares au niveau du Réseau SOFAFER :  Le système antivirus a identifié le premier virus sous le nom de Riskware/uTorrent : classé comme un type de Riskware, c’est un logiciel à risque désigne toute application potentiellement indésirable qui n'est pas classée comme logiciel malveillant, mais qui peut utiliser les ressources du système de manière indésirable ou gênante et/ou présenter un risque de sécurité.  Le tableau suivant représente les traces de l’attaque : Time Source User/PC File Name Destination Localisation Threat Level Attack Name Message 2024-02-14 172.16.20.99 80:c1:6e:f5:59:54 BENSOUDA utorrent.47008.in staller.exe 95.140.230.2 17 Italie Riskware/uTorr ent File is infected.  Le système antivirus a identifié le deuxième virus sous le nom de JS/Agent.00E5!tr est classé comme cheval de Troie. Est un type de malware qui exécute des activités à l'insu de l'utilisateur. Ces activités incluent généralement l'établissement de connexions d'accès à distance, la capture des saisies au clavier, la collecte d'informations système, le téléchargement/téléchargement de fichiers, l'introduction d'autres logiciels malveillants dans le système infecté, l'exécution d'attaques par déni de service (DoS) et l'exécution/termination de processus.  Le tableau suivant représente les traces de l’attaque : Time Source User/PC File Name Destination Localisation Threat Level Attack Name Message Full Time 172.16.20.52 e0:73:e7:11:5a:ba DESKTOP- SO10EFK PO.gz 64.90.62.162 US JS/Agent.00E5!t r File is infected.  Le cheval de Troie JS/Agent.00E5!tr tente de se propager avec le protocole IMAP de puis l’ordinateur DESKTOP-SO10EFK avec l’adresse électronique kurnia@graecum.com Vers l’adresse électronique compara.messaoudi@sofafer.ma. 3.2 Réponses aux événements détectés La réponse aux événements précédents se décline comme suit :  Vérification des mises a jours antivirus Kaspersky sur les ordinateurs des utilisateurs.  Analyse des vulnérabilités sur les ordinateurs des utilisateurs.  Réalisation du formatage des ordinateurs affectés par les virus mentionnés précédemment : User/PC Source OS Threat Level Virus Name Action BENSOUDA 172.16.20.99 80:c1:6e:f5:59:54 Windows 10 Riskware/uTorrent Désinstaller utorrent et analyse de l’ordinateur DESKTOP- SO10EFK 172.16.20.52 e0:73:e7:11:5a:ba Winwods 10 JS/Agent.00E5!tr Formatage
  • 7. 7 4. Contrôle d'accès Internet 4.1 Blocage de sites Web malveillants ou non conformes Le system Web Filter activé sur le Firewall Fortigate a Détecté et a bloqué plusieurs types de URL au niveau du Réseau SOFAFER :  Les LOG sont accompagnés avec ce rapport de Sécurité SOFAFER  Fichier LOG_forticloud-webfilter-2024_02_16 4.2 Analyse de l'utilisation d'Internet La capture suivante represent la totalité des site URL visité depuis l’installation du Firewall :
  • 8. 8
  • 9. 9 4.3 Identification des tendances et des risques  Voici une capture de la protection du trafic Firewall des risques sur le réseau.  Evènements de sécurité détectée :