3.3.2 Quiz sur les informations de menace Réponses
1. Quelle est la fonction principale de (ISC2)?
- pour tenir à jour une liste détaillée de toutes les attaques de jour zéro
- fournir des produits de formation et des services de carrière neutres aux fournisseurs
- pour fournir un résumé hebdomadaire d’articles de presse sur la sécurité informatique
- tenir une liste des vulnérabilités et expositions communes (CVE) utilisées par les principales organisations de sécurité
Explication : Le Consortium international de certification en sécurité des systèmes d’information (ISC2) est une organisation de sécurité des réseaux qui fournit des produits éducatifs et des services professionnels neutres vis-à-vis des fournisseurs.
2. Quelle est la fonction principale des SANS?
- de tenir à jour la liste des vulnérabilités et expositions communes (CVE)
- pour consulter le site web de l’Centre de tempête Internet
- favoriser la coopération et la coordination en matière d’échange d’informations, de prévention des incidents et de réaction rapide
- fournir des produits de formation et des services de carrière neutres aux fournisseurs
Explication : L’une des principales fonctions du SysAdmin, Audit, Network, Security (SANS) Institute est la maintenance du système d’alerte précoce Centre de tempête Internet.
3. Quelle est la fonction principale du Centre de sécurité Internet (CIS)?
- tenir une liste des vulnérabilités et expositions communes (CVE) utilisées par les principales organisations de sécurité
- pour fournir un portail de nouvelles de sécurité qui regroupe les dernières nouvelles concernant les alertes, les exploits et les vulnérabilités
- fournir des produits éducatifs et des services de carrière neutres aux professionnels de l’industrie du monde entier
- pour offrir des avertissements et des avis sur les cybermenaces 24 h/24, 7 j/7, l’identification des vulnérabilités, ainsi que des mesures d’atténuation et de
Explication : CIS offre des avertissements et des avis sur les cybermenaces 24 h/24, 7 j/7, l’identification des vulnérabilités et les mesures d’atténuation et d’incident aux gouvernements des États, locaux, tribaux et territoriaux (SLTT) par l’intermédiaire du Centre d’analyse et de partage d’information multi-États (MS-ISAC).
4. Quel est le principal objectif du Forum des équipes d’intervention en cas d’incident et de sécurité (FIRST)?
- pour fournir des produits de formation et des services de carrière neutres aux professionnels de l’industrie du monde entier
- pour fournir un portail de nouvelles de sécurité qui regroupe les dernières nouvelles concernant les alertes, les exploits et les vulnérabilités
- pour offrir des avertissements et des avis sur les cybermenaces 24 h/24, 7 j/7, l’identification des vulnérabilités, l’atténuation et la réponse aux incidents
- afin de permettre à diverses équipes d’intervention en cas d’incident de sécurité informatique de collaborer, de coopérer et de coordonner les stratégies d’échange d’informations, de prévention des incidents et de réaction rapide
Explication : Le Forum des équipes d’intervention en cas d’incident et de sécurité (FIRST) a pour principal objectif de permettre à diverses équipes d’intervention en cas d’incident de sécurité informatique de collaborer, de coopérer et de coordonner l’échange d’information, la prévention des incidents et la réaction rapide entre les équipes.
5. Quel service est offert par le Département américain de la sécurité intérieure (DHS) qui permet l’échange en temps réel d’indicateurs de cybermenace entre le gouvernement fédéral américain et le secteur privé?
- CVE
- Formats STIX
- FireEye
- AIS
Explication : Le ministère américain de la sécurité intérieure (DHS) propose un service gratuit appelé Automated Indicator Sharing (AIS) qui permet d’échanger en temps réel des indicateurs de cybermenace (adresses IP malveillantes, adresse de l’expéditeur d’un e-mail d’hameçonnage, etc.) entre le gouvernement fédéral américain et le secteur privé.
6. Qu’est-ce que la société MITRE crée et entretient?
- IOC
- Formats STIX
- CVE
- TAXII
Explication : La société MITRE crée et gère un catalogue des menaces de sécurité connues appelé Vulnérabilités et expositions courantes (CVE). La base de données CVE fait office de dictionnaire des noms communs (c.-à-d., identificateurs CVE) pour définir les vulnérabilités de cybersécurité connues.
7. Quelle norme ouverte de partage de menace d’intelligence spécifie, capture, caractérise et communique les événements et les propriétés des opérations réseau?
- CyBox
- Talos
- MISP
- TAXII
Explication : STIX (Expression structurée des informations sur les menaces) est un ensemble de spécifications pour l’échange d’informations sur les cybermenaces entre les entreprises. Cyber Observable Expression (CyBox) est un ensemble de schéma standardisé qui spécifie, capture, caractérise et communique les événements et les propriétés des opérations réseau et qui prend en charge de nombreuses fonctions de cybersécurité. TAXII (Échange automatisé fiable d’informations sur les indicateurs) est une spécification pour un protocole de couche application qui permet de communiquer des données d’informations sur les cybermenaces (CTI) via HTTPS.
8. Quel est l’objectif principal d’une plateforme de renseignement sur les menaces (TIP)?
- de regrouper les données en un seul endroit et de les présenter dans un format compréhensible et utilisable
- fournir une plateforme d’opérations de sécurité qui intègre et améliore divers outils de sécurité et de renseignements sur les menaces
- pour fournir un schéma standardisé pour spécifier, capturer, caractériser et communiquer les événements et les propriétés des opérations réseau
- pour fournir une spécification pour un protocole de couche application qui permet de communiquer des données d’informations sur les CTI via HTTPS.
Explication : Une plateforme de renseignements sur les menaces (TIP) centralise la collecte de données sur les menaces à partir de nombreuses sources de données et formats. TIP est conçu pour regrouper les données en un seul endroit et les présenter dans un format compréhensible et utilisable. Cela est d’autant plus important que le volume des données de renseignement sur les menaces peut être écrasant.
9. Comment FireEye détecte-t-il et prévient les attaques «0 day»?
- en gardant une analyse détaillée de tous les virus et logiciels malveillants
- en établissant un paramètre d’authentification avant tout échange de données
- en couvrant toutes les étapes du cycle de vie d’une attaque à l’aide d’un moteur sans signature qui a recours à une analyse des attaques.
- en acceptant uniquement les paquets de données chiffrés qui se valident par rapport à leurs valeurs de hachage configurées
Explication : FireEye utilise une approche en trois volets qui allie sécurité adaptative, expertise en matière de sécurité et technologie. Il couvre toutes les étapes du cycle de vie d’une attaque à l’aide d’un moteur sans signature qui a recours à une analyse des attaques avec état pour détecter les menaces de type « zero-day ».
10. Quel service est fourni par le groupe Cisco Talos?
- collecte des informations sur les menaces actives existantes et émergentes.
- empêcher les virus d’affecter les machines des utilisateurs finaux
- empêcher les logiciels malveillants en ligne d’affecter les appareils des utilisateurs
- analyse des mises à jour de code de logiciel malveillant
Explication : Le groupe Cisco Talos recueille des informations sur les menaces actives, existantes et émergentes qui peuvent être utilisées par les produits Cisco Security en temps réel pour fournir des solutions de sécurité rapides et efficaces.
Le ministère américain de la sécurité intérieure (DHS) propose un service gratuit appelé Automated Indicator Sharing (AIS) qui permet d’échanger en temps réel des indicateurs de cybermenace (adresses IP malveillantes, adresse de l’expéditeur d’un e-mail d’hameçonnage, etc.) entre le gouvernement fédéral américain et le secteur privé.