Close Menu
Subscribe

28.5.2 Module 28 – Questionnaire d’évaluation des alertes

Aucun commentaire Cyberops Associate

28.5.2 Module 28 – Questionnaire d’évaluation des alertes réponses

1. Pour veiller à la continuité de la chaîne de responsabilité, quels éléments doivent être consignés concernant les preuves recueillies et analysées à la suite d’un incident ? Citez-en trois.

  • Mesures appliquées pour prévenir un incident
  • Localisation de tous les éléments de preuve
  • Date et heure auxquelles les informations ont été recueillies
  • Numéros de série et noms d’hôte des périphériques utilisés comme éléments de preuve
  • Étendue des dégâts aux ressources et aux actifs
  • Vulnérabilités qui ont été exploitées au cours d’une attaque

Explication: Une chaîne de responsabilité désigne la prise en compte des preuves recueillies sur un incident et utilisées dans le cadre d’une enquête. La chaîne de responsabilité doit contenir l’emplacement de toutes les preuves, les informations d’identification de toutes les preuves, telles que les numéros de série et noms d’hôte, les informations d’identification de toutes les personnes en charge du traitement des preuves, ainsi que la date et l’heure auxquelles les éléments de preuve ont été recueillis.

2. Un hacker a obtenu l’accès administratif à un système et est parvenu à prendre le contrôle de ce dernier en vue d’une prochaine attaque DDoS en établissant un canal de communication avec un serveur C&C lui appartenant. Quelle phase du modèle de chaîne de frappe décrit cette situation ?

  • Livraison
  • Exploitation
  • Action en fonction des objectifs
  • Commande et contrôle

Explication: La chaîne de cybercriminelle spécifie les sept étapes (ou phases) et séquences qu’un hacker doit effectuer pour exécuter une attaque:

  • Reconnaissance – L’acteur de menace réalise des recherches, recueille des informations et sélectionne des cibles.
  • Déploiement des armes – L’acteur de menace utilise les informations de reconnaissance en vue de développer une arme contre les systèmes ou les individuels ciblés dans l’entreprise.
  • Livraison – L’arme est transmise à la cible à l’aide d’un vecteur de livraison.
  • Exploitation – L’acteur de menace utilise l’arme diffusée pour tirer parti de la vulnérabilité et prendre le contrôle de la cible.
  • Installation – L’acteur de menace crée une porte dérobée dans le système afin de bénéficier d’un accès continu à la cible.
  • Commande et contrôle (CnC) – L’acteur de menace établit une connexion entre un serveur de type commande et le contrôle (CnC) et le système cible.
  • Action en fonction des objectifs – L’acteur de menace est en mesure d’effectuer des actions spécifiques sur le système cible et atteint ainsi son objectif initial.

3. Quel élément de méta-caractéristique du modèle Diamond décrit les outils et informations (logiciels, base de connaissances Black Hat, nom d’utilisateur et mot de passe, etc.) utilisés par le hacker pour l’événement d’intrusion ?

  • Résultats
  • Direction
  • Ressources
  • Méthodologie

Explication: L’élément Ressources du modèle Diamond sert à décrire une ou plusieurs ressources externes utilisées par le hacker pour l’événement d’intrusion. Les ressources comprennent les logiciels, connaissances acquises par le hacker, informations (noms d’utilisateur/mots de passe, par exemple) et ressources utilisés pour mener l’attaque.

4. Quelle action doit figurer dans un élément du plan qui fait partie d’un modèle de réponse aux incidents liés à la sécurité informatique (CSIRC) ?

  • Détailler la manière dont les incidents doivent être gérés sur la base de la mission et des fonctions d’une entreprise.
  • Hiérarchiser les incidents liés à la sécurité suivant leur degré de gravité.
  • Créer un organigramme et une définition des rôles, des responsabilités et des niveaux d’autorité.
  • Établir des métriques pour mesurer la capacité de gestion des incidents et son efficacité.

Explication: Le NIST recommande de définir des politiques, des plans et des procédures pour créer et mettre en œuvre un modèle CSIRT. L’un des objectifs de l’élément du plan est d’élaborer des métriques pour mesurer la capacité de gestion des incidents et son efficacité.

5. Que peut-on faire pour identifier plus facilement un hôte attaquant lors d’un incident de sécurité ? Citez-en deux.

  • Déterminer l’emplacement de recueil et de stockage de tous les éléments de preuve.
  • Valider l’adresse IP du hacker afin de déterminer si elle est viable.
  • Utiliser un moteur de recherche Internet pour obtenir des informations supplémentaires sur l’attaque.
  • Consigner la date et l’heure auxquelles la preuve a été recueillie et auxquelles l’incident a été résolu.
  • Élaborer des critères d’identification pour tous les éléments de preuve, tels que le numéro de série, le nom d’hôte et l’adresse IP.

Explication: Voici les mesures qui peuvent être prises pour identifier plus facilement un hôte attaquant lors d’un incident de sécurité:
– Utiliser les bases de données d’incidents pour rechercher des activités associées.
– Valider l’adresse IP du hacker afin de déterminer si elle est viable
– Utiliser un moteur de recherche Internet pour obtenir des informations supplémentaires sur l’attaque.
– Surveiller les canaux de communication que certains acteurs de menace utilisent, tels que le canal IRC.

6. Qu’est-ce qu’un framework MITRE ATT&CK?

  • Une collection d’exploits de logiciels malveillants et de solutions de prévention
  • Des lignes directrices pour la collecte des preuves numériques.
  • Une base de connaissances sur le comportement des acteurs de menace
  • Des procédures correctement documentées pour mener à bien les investigations numériques.

Explication: Le MITRE Framework est une base de connaissances mondiale sur le comportement des acteurs de menace. Il est basé sur l’observation et l’analyse des exploits du monde réel dans le but de décrire le comportement de l’attaquant, et non l’attaque elle-même. Il est conçu pour permettre le partage automatisé de l’information en définissant des structures de données pour l’échange d’informations entre sa communauté d’utilisateurs et MITRE.

7. Selon NIST, quelle étape du processus d’investigation numérique consiste à identifier les sources potentielles de données, leur acquisition, leur gestion et leur stockage?

  • Collection
  • Examen
  • Analyse
  • Signalement

Explication: NIST se compose des quatre étapes suivantes:

  • Collection – l’identification des sources potentielles de données d’investigation et acquisition, gestion et stockage de ces données.
  • Examen – évaluation et extraction des informations pertinentes à partir des données recueillies. La décompression ou le déchiffrement des données peuvent faire partie du processus.
  • Analyse – déduction de conclusions à partir des données. Les principales caractéristiques, telles que les personnes, les lieux, les dates et heures, les événements et ainsi de suite, doivent être documentées.
  • Rapport – préparation et présentation des informations issues de l’analyse. Les rapports doivent être impartiaux et doivent inclure des explications détaillées si cela est nécessaire.

8. Dans le cadre du traitement d’une menace pour la sécurité à l’aide du modèle de chaîne de frappe, quelles méthodes une entreprise peut-elle appliquer pour bloquer les exploitations potentielles d’un système ? Citez-en deux.

  • Mener une analyse complète des malwares.
  • Analyser le chemin d’infrastructure utilisé pour le déploiement.
  • Collectez les journaux web et de messagerie pour l’investigation.
  • Organiser une formation de sensibilisation des employés et effectuer des tests par e-mail.
  • Procéder à un audit des terminaux pour déterminer l’origine des exploits.

Explication: Une fois qu’une arme est diffusée, les exploits ciblent le plus souvent les applications, les vulnérabilités du système d’exploitation et les comptes utilisateur. Entre autres mesures, l’organisation d’une formation de sensibilisation des employés, l’exécution de tests par e-mail et l’audit des terminaux pour déterminer l’origine des exploits peuvent contribuer à bloquer les exploitations potentielles d’un système.

9. Quel terme est employé dans le modèle d’intrusion Diamond pour décrire un outil utilisé par un hacker contre un système cible ?

  • Adversaire
  • Capacité
  • Infrastructure
  • Préparation

Explication: Le modèle d’intrusion Diamond se compose de quatre parties:

  • Adversaire – il s’agit des parties responsables de l’intrusion
  • Capacité – un technique ou outil utilisé par le hacker pour attaquer la victime.
  • Infrastructure – les chemins d’accès réseau que les adversaires empruntent pour commander et contrôler leurs capacités.
  • Victime – cible de l’attaque

10. À quoi sert l’élément de stratégie d’une fonctionnalité de traitement d’un incident lié à la sécurité informatique d’une entreprise, suivant la recommandation du NIST ?

  • Il détaille la manière dont les incidents doivent être gérés sur la base des fonctions et de la mission de l’entreprise.
  • Il définit la manière dont les équipes de gestion des incidents communiqueront avec le reste de l’entreprise et avec d’autres entités.
  • Il fournit des métriques pour mesurer l’efficacité et la capacité de gestion des incidents.
  • Il fournit un calendrier de maturation de la capacité de gestion des incidents.

Explication: Le NIST recommande de définir des politiques, des plans et des procédures pour créer et mettre en œuvre un modèle CSIRT. L’un des objectifs de l’élément de stratégie est de détailler la manière dont les incidents doivent être gérés sur la base de la mission et des fonctions de l’entreprise.

11. Selon le NIST, quelle étape du processus d’investigation numérique consiste à extraire des informations pertinentes des données ?

  • Collection
  • Examen
  • Analyse
  • Signalement

Explication: NIST se compose des quatre étapes suivantes:

  • Collection – l’identification des sources potentielles de données d’investigation et acquisition, gestion et stockage de ces données.
  • Examen – évaluation et extraction des informations pertinentes à partir des données recueillies. La décompression ou le déchiffrement des données peuvent faire partie du processus.
  • Analyse – déduction de conclusions à partir des données. Les principales caractéristiques, telles que les personnes, les lieux, les dates et heures, les événements et ainsi de suite, doivent être documentées.
  • Rapport – préparation et présentation des informations issues de l’analyse. Les rapports doivent être impartiaux et doivent inclure des explications détaillées si cela est nécessaire.

12. Quel énoncé décrit la chaîne de frappe ?

  • Elle utilise le modèle OSI pour décrire les cyberattaques au niveau de chacune des sept couches.
  • Elle identifie les étapes que les hackers doivent suivre pour parvenir à leurs fins.
  • Elle spécifie les protocoles TCP/IP généralement utilisés pour lutter contre les cyberattaques.
  • Il s’agit d’un ensemble de mesures conçues pour créer une méthode de description des incidents de manière structurée et reproductible.

Explication: La chaîne cybercriminelle a été créée pour identifier et empêcher les cyberattaques en stipulant ce que les hackers doivent faire pour atteindre leur objectif.

13. Après avoir confiné un incident qui a infecté des postes de travail utilisateur avec des programmes malveillants, citez trois procédures de remédiation efficaces qu’une entreprise peut appliquer pour l’éradiquer. Citez-en trois.

  • Utiliser des sauvegardes propres et récentes pour récupérer les hôtes.
  • Modifier les noms et mots de passe attribués à tous les périphériques.
  • Régénérer les serveurs DHCP à l’aide d’un nouveau support d’installation.
  • Régénérer les hôtes avec des supports d’installation si aucune sauvegarde n’est disponible.
  • Mettre à jour le système d’exploitation et les logiciels installés sur tous les hôtes, et leur appliquer les correctifs nécessaires.
  • Déconnecter ou désactiver toutes les cartes réseau filaires et sans fil jusqu’à ce que la remédiation soit terminée.

Explication: Pour récupérer des postes de travail utilisateurs infectés, utilisez des sauvegardes propres et récentes ou régénérez les PC avec des supports d’installation s’ils ont été infectés ou si aucune sauvegarde n’est disponible. Veuillez également mettre à jour le système d’exploitation et les logiciels installés sur tous les hôtes, et leur appliquer les correctifs nécessaires. Tous les utilisateurs sont invités à modifier les mots de passe du ou des postes de travail qu’ils utilisent. La régénération des serveurs DHCP n’est nécessaire que s’ils sont touchés par l’incident. Ajoutons encore que le paramètre de configuration du nom et du mot de passe ne doit être modifié que sur les périphériques qui ont été touchés par l’incident.

14. Dès qu’un hacker a effectué une analyse des ports du serveur web public d’une entreprise et identifié une vulnérabilité potentielle, quelle est l’étape suivante pour préparer et lancer une attaque, telle qu’elle est définie dans la chaîne de frappe ?

  • Exploitation
  • Préparation
  • Reconnaissance
  • Action en fonction des objectifs

Explication: La chaîne de cybercriminelle spécifie les sept étapes (ou phases) et séquences qu’un hacker doit effectuer pour exécuter une attaque:

  • Reconnaissance – L’acteur de menace réalise des recherches, recueille des informations et sélectionne des cibles.
  • Déploiement des armes – L’acteur de menace utilise les informations de reconnaissance en vue de développer une arme contre les systèmes ou les individuels ciblés dans l’entreprise.
  • Livraison – L’arme est transmise à la cible à l’aide d’un vecteur de livraison.
  • Exploitation – L’acteur de menace utilise l’arme diffusée pour tirer parti de la vulnérabilité et prendre le contrôle de la cible.
  • Installation – L’acteur de menace crée une porte dérobée dans le système afin de bénéficier d’un accès continu à la cible.
  • Commande et contrôle (CnC) – L’acteur de menace établit une connexion entre un serveur de type commande et le contrôle (CnC) et le système cible.
  • Action en fonction des objectifs – L’acteur de menace est en mesure d’effectuer des actions spécifiques sur le système cible et atteint ainsi son objectif initial.

15. Quelle tâche décrit l’attribution des menaces?

  • Évaluer les données d’alerte du serveur
  • Obtenir la preuve la plus volatile
  • Identifier la personne responsable de l’attaque
  • Rapporter l’incident aux autorités compétentes

Explication: Attribuer une menace consiste à identifier l’individu, l’entreprise ou le pays responsable d’une intrusion ou d’une attaque. L’équipe en charge de l’enquête met en corrélation toutes les preuves afin d’identifier les points communs entre les tactiques, techniques et procédures (TTP) des hackers connus et inconnus.

 

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires