16.2.6 – Travaux pratiques – Menaces pour la sécurité du réseau
Objectifs
Partie 1: Découvrir le site web SANS
Partie 2 : Identifier les menaces pour la sécurité du réseau les plus récentes
Partie 3: Décrire en détail une menace spécifique pour la sécurité du réseau
Contexte/scénario
Pour protéger un réseau contre les attaques, un administrateur doit identifier les menaces externes présentant un risque pour le réseau. Les sites web de sécurité peuvent être utilisés pour identifier les nouvelles menaces et pour fournir des options d’atténuation permettant de protéger un réseau.
L’un des sites les plus populaires et les plus fiables permettant de se défendre contre les menaces de sécurité affectant les ordinateurs et les réseaux est SysAdmin, Audit, Network, Security (SANS). Le site SANS offre plusieurs ressources, notamment une liste des 20 contrôles de sécurité essentiels pour une défense efficace sur Internet et le bulletin d’informations hebdomadaire @Risk: The Consensus Security Alert. Ce bulletin d’informations décrit en détail les nouvelles attaques réseau et vulnérabilités.
Dans ces travaux pratiques, vous visiterez et étudierez le site SANS, et vous l’utiliserez pour identifier les menaces de sécurité réseau récentes. Vous identifierez d’autres sites web identifiant les menaces, et vous étudierez et présenterez les détails d’une attaque réseau spécifique.
Ressources requises
- Appareil avec accès Internet
- Ordinateur de présentation avec PowerPoint ou un autre logiciel de présentation installé
Instructions
Partie 1: Découvrir le site web SANS
Dans la première partie, vous accédez au site web SANS et explorez les ressources disponibles.
Étape 1: Localisez les ressources SANS.
Rechercher sur Internet le mot SANS. Sur la page d’accueil de SANS, cliquez sur Ressources GRATUITES.
Indiquez trois ressources disponibles.
Salle de lecture, diffusions Web, newsletters, blogs, 25 principales erreurs logicielles, 20 contrôles critiques, politiques de sécurité
Étape 2: Localisez le lien vers les contrôles de sécurité critiques CIS.
Les contrôles de sécurité critiques (Critical Security Controls) pour une défense efficace sur Internet figurant sur le site web SANS sont l’aboutissement d’un partenariat impliquant le Department of Defense (DoD), la National Security Association, le Center for Internet Security (CIS) et le SANS Institute. La liste a été mise au point afin de hiérarchiser les contrôles de sécurité sur Internet et les coûts du DoD. Elle est devenue la pièce maîtresse des programmes de sécurité du gouvernement des États-Unis. Dans le menu Resources, sélectionnez Critical Security Controls ou une option similaire. Le document sur les contrôles de sécurité critiques CIS est hébergé sur le site Web du Centre pour la sécurité Internet (CIS) et nécessite une inscription gratuite pour y accéder. Il y a un lien sur la page des contrôles de sécurité du SIC à SANS pour télécharger l’affiche 2014 de SANS Critical Security Controls, qui fournit une brève description de chaque contrôle.
Sélectionnez l’un des contrôles et indiquez les suggestions d’implémentation liées à ce contrôle.
Les réponses varieront. Contrôle critique 5 : Défenses contre les logiciels malveillants. Utilisez des outils automatisés pour surveiller en permanence les postes de travail, les serveurs et les appareils mobiles. Utilisez un logiciel anti-malware et des fonctionnalités de mise à jour automatique des signatures. Configurez les ordinateurs du réseau pour qu’ils n’exécutent pas automatiquement le contenu des supports amovibles.
Étape 3: Localisez le menu Newsletters (bulletins d’informations).
Sélectionnez le menu Resources (Ressources), sélectionnez Newsletters (Bulletins d’informations).
Présentez brièvement chacun des trois bulletins disponibles.
Les réponses varieront.
SANS NewsBites est un résumé bihebdomadaire de haut niveau des articles de presse les plus importants qui ont été publiés sur la sécurité informatique au cours de la semaine dernière. Chaque actualité est très brièvement résumée et comporte une référence sur le web pour des informations détaillées, si possible.
@RISK fournit un résumé hebdomadaire fiable des (1) vecteurs d’attaque récemment découverts, (2) des vulnérabilités avec de nouveaux exploits actifs, (3) des explications perspicaces sur le fonctionnement des attaques récentes et d’autres données précieuses
AIE! est la première newsletter gratuite de sensibilisation à la sécurité au monde conçue pour l’utilisateur ordinaire d’ordinateurs. Publiée chaque mois et en plusieurs langues, chaque édition est soigneusement étudiée et développée par l’équipe SANS Securing The Human, les experts en la matière des instructeurs SANS et les membres de l’équipe de la communauté. Chaque numéro se concentre sur et explique un sujet spécifique et les mesures concrètes que les gens peuvent prendre pour se protéger, protéger leur famille et leur organisation.
Partie 2: Identifier les menaces pour la sécurité du réseau les plus récentes
Dans la deuxième partie, vous étudierez les menaces récentes pour la sécurité du réseau au moyen du site SANS et vous identifierez les autres sites contenant des informations sur les menaces de sécurité.
Étape 1: Localisez les bulletins d’informations archivés @Risk: Consensus Security Alert.
À partir de la page Newsletters (Bulletins d’informations), sélectionnez l’option Archive en regard de @RISK: The Consensus Security Alert. Faites défiler l’écran pour accéder aux Archives Volumes (Volumes des archives) et sélectionnez un bulletin d’informations hebdomadaire récent. Examinez les sections Notable Recent Security Issues and Most Popular Malware Files (Problèmes de sécurité récents et fichiers des programmes malveillants les plus populaires).
Citez quelques vulnérabilités récentes. Parcourez plusieurs bulletins d’informations récents, si nécessaire.
Les réponses varieront.
Étape 2: Identifiez les sites fournissant des informations récentes sur les menaces.
En plus du site SANS, identifiez d’autres sites web fournissant des informations récentes sur les menaces.
Les réponses varieront.
Citez quelques-unes des menaces de sécurité récentes détaillées sur ces sites web.
Les réponses varieront.
Partie 3: Décrire en détail une menace spécifique pour la sécurité du réseau
Dans la troisième partie, vous étudierez une attaque réseau spécifique, qui s’est déjà produite, et vous concevrez une présentation à partir de vos découvertes. Remplissez le formulaire ci-dessous en fonction de vos découvertes.
Étape 1: Remplissez le formulaire suivant pour l’attaque réseau sélectionnée.
Nom de l’attaque: | WannaCry ransomware |
Type d’attaque: | CryptoWorm |
Dates des attaques: | Juillet 2001Mai 2017 |
Ordinateurs/entreprises concernés: | Estimation de 200 000 ordinateurs dans 150 pays |
Fonctionnement et description de ses actions: | |
De Wikipédia : WannaCry est un cryptoworm ransomware, qui ciblait les ordinateurs exécutant le système d’exploitation Microsoft Windows en cryptant les données et en exigeant des paiements de rançon dans la crypto-monnaie Bitcoin. Le ver est également connu sous le nom de WannaCrypt, Wana Decrypt0r 2.0, WanaCrypt0r 2.0 et Wanna Decryptor. Il est considéré comme un ver de réseau car il comprend également un mécanisme de « transport » pour se propager automatiquement. Ce code de transport recherche les systèmes vulnérables, puis utilise l’exploit EternalBlue pour y accéder, et l’outil DoublePulsar pour installer et exécuter une copie de lui-même. Les versions 0, 1 et 2 de WannaCry ont été créées à l’aide de Microsoft Visual C++ 6.0. EternalBlue est un exploit du protocole Windows Server Message Block (SMB) publié par The Shadow Brokers. Une grande partie de l’attention et des commentaires autour de l’événement a été occasionnée par le fait que la National Security Agency (NSA) des États-Unis (à qui l’exploit a probablement été volé) avait déjà découvert la vulnérabilité, mais l’a utilisée pour créer un exploit pour son propre travail offensif. , plutôt que de le signaler à Microsoft. Microsoft a finalement découvert la vulnérabilité et, le mardi 14 mars 2017, ils ont publié le bulletin de sécurité MS17-010, qui détaillait la faille et annonçait que des correctifs avaient été publiés pour toutes les versions de Windows actuellement prises en charge à ce moment-là, à savoir Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2016. Lorsqu’il est exécuté, le logiciel malveillant WannaCry vérifie d’abord le nom de domaine « kill switch » ; s’il n’est pas trouvé, le ransomware crypte les données de l’ordinateur, puis tente d’exploiter la vulnérabilité SMB pour se propager à des ordinateurs aléatoires sur Internet, et « latéralement » à des ordinateurs sur le même réseau. Comme pour les autres rançongiciels modernes, la charge utile affiche un message informant l’utilisateur que les fichiers ont été cryptés et exige un paiement d’environ 300 USD en bitcoins dans les trois jours, ou 600 USD dans les sept jours. Trois adresses bitcoin codées en dur, ou « portefeuilles », sont utilisées pour recevoir les paiements des victimes. Comme pour tous ces portefeuilles, leurs transactions et leurs soldes sont accessibles au public, même si les propriétaires de portefeuilles de crypto-monnaie restent inconnus. |
|
Options d’atténuation: | |
Appliquez les correctifs émis par Microsoft pour le système d’exploitation Windows. | |
Références et liens d’informations: | |
Wikipédia OSC en ligne |
Étape 2: Suivez les instructions du formateur pour terminer la présentation.
Questions de réflexion
1. Quelle procédure pouvez-vous suivre pour protéger votre propre ordinateur?
Les réponses varieront mais pourraient inclure la mise à jour du système d’exploitation et des applications avec des correctifs et des service packs, l’utilisation d’un pare-feu personnel, la configuration de mots de passe pour accéder au système et au bios, la configuration d’économiseurs d’écran pour expirer et exiger un mot de passe, protéger les fichiers importants en les rendant en lecture seule et cryptant les fichiers confidentiels et les fichiers de sauvegarde pour les conserver en toute sécurité.
2. Quelles sont quelques-unes des mesures importantes que les entreprises peuvent prendre pour protéger leurs ressources?
Les réponses varieront mais pourraient inclure l’utilisation de pare-feu, la détection et la prévention des intrusions, le renforcement des périphériques réseau, la protection des terminaux, les outils de vulnérabilité du réseau, la formation des utilisateurs et l’élaboration de politiques de sécurité.