Close Menu
Subscribe

6.6.2 Quiz « Digital Forensics » et « Incident Analysis and Response » (analyse et réponse aux incidents)

Aucun commentaire Gestion des Cybermenaces

1. Un utilisateur est chargé de créer un plan de reprise après sinistre pour une entreprise. Pour ce faire, l’utilisateur a besoin de poser quelques questions à la direction. Quelles sont les trois questions que l’utilisateur doit poser à la direction dans le cadre du processus de création du plan? (Choisissez trois réponses.)

  • Quel est le processus?
  • Où est-ce que la personne exécute le processus?
  • La personne peut-elle exécuter le processus?
  • Combien de temps dure le processus?
  • Le processus requiert-il une approbation?
  • Qui est responsable du processus?

Explication : Les plans de reprise après incident sont élaborés en fonction de la sensibilité d’un service ou d’un processus. Pour qu’un plan réussisse, il est nécessaire de répondre aux questions qui, quoi, où et pourquoi.

2. Que peut-on faire pour identifier plus facilement un hôte attaquant lors d’un incident de sécurité? (Choisissez deux réponses.)

  • Consigner la date et l’heure auxquelles la preuve a été recueillie et auxquelles l’incident a été résolu.
  • Valider l’adresse IP du hacker afin de déterminer si elle est viable.
  • Utiliser un moteur de recherche Internet pour obtenir des informations supplémentaires sur l’attaque.
  • Élaborer des critères d’identification pour tous les éléments de preuve, tels que le numéro de série, le nom d’hôte et l’adresse IP.
  • Déterminer l’emplacement de recueil et de stockage de tous les éléments de preuve.

Explication : Voici les mesures qui peuvent être prises pour identifier plus facilement un hôte attaquant lors d’un incident de sécurité:

  • Utiliser les bases de données d’incidents pour rechercher des activités associées.
  • Valider l’adresse IP du hacker afin de déterminer si elle est viable.
  • Utiliser un moteur de recherche Internet pour obtenir des informations supplémentaires sur l’attaque.
  • Surveiller les canaux de communication utilisés par certains hackers ; IRC, par exemple.

3. Selon le NIST, quelle étape du processus d’investigation numérique consiste à extraire des informations pertinentes des données?

  • analyse
  • collection
  • signalement
  • examen

Explication : D’après le NIST, le processus d’investigation numérique se compose des quatre étapes suivantes:

  • Collecte – l’identification des sources potentielles de données médico-légales et l’acquisition, la manipulation et le stockage de ces données.
  • Examen – évaluer et extraire des informations pertinentes des données collectées. La décompression ou le déchiffrement des données peuvent faire partie du processus.
  • Analyse – tirer des conclusions à partir des données. Les principales caractéristiques, telles que les personnes, les lieux, les dates et heures, les événements et ainsi de suite, doivent être documentées.
  • Rapport – préparation et présentation des informations résultant de l’analyse. Les rapports doivent être impartiaux et doivent inclure des explications, le cas échéant.

4. Quelle action doit figurer dans un élément du plan qui fait partie d’un modèle de réponse aux incidents liés à la sécurité informatique (CSIRC)?

  • Établir des métriques pour mesurer la capacité de gestion des incidents et son efficacité.
  • Détailler la manière dont les incidents doivent être gérés sur la base de la mission et des fonctions d’une entreprise.
  • Hiérarchiser les incidents liés à la sécurité suivant leur degré de gravité.
  • Créer un organigramme et une définition des rôles, des responsabilités et des niveaux d’autorité.

Explication : Le NIST recommande de définir des politiques, des plans et des procédures pour créer et mettre en œuvre un modèle CSIRT. L’un des objectifs de l’élément du plan est d’élaborer des métriques pour mesurer la capacité de gestion des incidents et son efficacité.

5. À quoi sert l’élément de stratégie d’une fonctionnalité de traitement d’un incident lié à la sécurité informatique d’une entreprise, suivant la recommandation du NIST?

  • Il fournit un calendrier de maturation de la capacité de gestion des incidents.
  • Il définit la manière dont les équipes de gestion des incidents communiqueront avec le reste de l’entreprise et avec d’autres entités.
  • Il fournit des métriques pour mesurer l’efficacité et la capacité de gestion des incidents.
  • Il détaille la manière dont les incidents doivent être gérés sur la base des fonctions et de la mission de l’entreprise.

Explication : Le NIST recommande de définir des politiques, des plans et des procédures pour créer et mettre en œuvre un modèle CSIRT. L’un des objectifs de l’élément de stratégie est de détailler la manière dont les incidents doivent être gérés sur la base de la mission et des fonctions de l’entreprise.

6. Dès qu’un hacker a effectué une analyse des ports du serveur web public d’une entreprise et identifié une vulnérabilité potentielle, quelle est l’étape suivante pour préparer et lancer une attaque, telle qu’elle est définie dans la chaîne de frappe?

  • préparation
  • action en fonction des objectifs
  • exploitation
  • reconnaissance

Explication : La chaîne de frappe spécifie les sept étapes (ou phases) et séquences qu’un hacker doit effectuer pour exécuter une attaque:

  • Reconnaissance – L’acteur menaçant effectue des recherches, recueille des renseignements et sélectionne des cibles.
  • Armement – L’acteur de la menace utilise les informations de la phase de reconnaissance pour développer une arme contre des systèmes spécifiques ciblés.
  • Livraison – L’arme est transmise à la cible à l’aide d’un vecteur de livraison.
  • Exploitation – L’acteur de la menace utilise l’arme fournie pour combler la vulnérabilité et prendre le contrôle de la cible.
  • Installation – L’acteur de la menace établit une porte dérobée dans le système pour permettre un accès continu à la cible.
  • Commandement et contrôle (CnC) – L’acteur menaçant établit un commandement et un contrôle (CnC) avec le système cible.
  • Action sur les objectifs – L’acteur de la menace est en mesure d’agir sur le système cible, atteignant ainsi l’objectif initial.

7. Un hacker a obtenu l’accès administratif à un système et est parvenu à prendre le contrôle de ce dernier en vue d’une prochaine attaque DDoS en établissant un canal de communication avec un serveur C&C lui appartenant. Quelle phase du modèle de chaîne de frappe décrit cette situation?

  • exploitation
  • commande et contrôle
  • livraison
  • action en fonction des objectifs

Explication : La chaîne de frappe spécifie les sept étapes (ou phases) et séquences qu’un hacker doit effectuer pour exécuter une attaque:

  • Reconnaissance – L’acteur menaçant effectue des recherches, recueille des renseignements et sélectionne des cibles.
  • Armement – L’acteur de la menace utilise les informations de la phase de reconnaissance pour développer une arme contre des systèmes spécifiques ciblés.
  • Livraison – L’arme est transmise à la cible à l’aide d’un vecteur de livraison.
  • Exploitation – L’acteur de la menace utilise l’arme fournie pour combler la vulnérabilité et prendre le contrôle de la cible.
  • Installation – L’acteur de la menace établit une porte dérobée dans le système pour permettre un accès continu à la cible.
  • Commande et contrôle (CnC) – L’acteur de menace établit une connexion entre un serveur de type commande et le contrôle (CnC) et le système cible.
  • Action sur les objectifs – L’acteur de la menace est en mesure d’agir sur le système cible, atteignant ainsi l’objectif initial.

8. Après avoir confiné un incident qui a infecté des postes de travail utilisateur avec des programmes malveillants, citez trois procédures de remédiation efficaces qu’une entreprise peut appliquer pour l’éradiquer. Citez-en trois.

  • Déconnecter ou désactiver toutes les cartes réseau filaires et sans fil jusqu’à ce que la remédiation soit terminée.
  • Mettre à jour le système d’exploitation et les logiciels installés sur tous les hôtes, et leur appliquer les correctifs nécessaires.
  • Modifier les noms et mots de passe attribués à tous les périphériques.
  • Régénérer les serveurs DHCP à l’aide d’un nouveau support d’installation.
  • Régénérer les hôtes avec des supports d’installation si aucune sauvegarde n’est disponible.
  • Utiliser des sauvegardes propres et récentes pour récupérer les hôtes.

Explication : Pour récupérer des postes de travail utilisateurs infectés, utilisez des sauvegardes propres et récentes ou régénérez les PC avec des supports d’installation s’ils ont été infectés ou si aucune sauvegarde n’est disponible. Veuillez également mettre à jour le système d’exploitation et les logiciels installés sur tous les hôtes, et leur appliquer les correctifs nécessaires. Tous les utilisateurs sont invités à modifier les mots de passe du ou des postes de travail qu’ils utilisent. La régénération des serveurs DHCP n’est nécessaire que s’ils sont touchés par l’incident. Ajoutons encore que le paramètre de configuration du nom et du mot de passe ne doit être modifié que sur les périphériques qui ont été touchés par l’incident.

9. Quel terme est employé dans le modèle d’intrusion Diamond pour décrire un outil utilisé par un hacker contre un système cible?

  • de votre réseau
  • préparation
  • adversaire
  • capacité

Explication : Le modèle d’intrusion Diamond se compose de quatre parties:

  • Adversaire – il s’agit des parties responsables de l’intrusion
  • Capacité – un outil ou une technique que l’adversaire utilise pour attaquer la victime.
  • Infrastructure – les chemins d’accès réseau que les adversaires empruntent pour commander et contrôler leurs capacités.
  • Victime – cible de l’attaque

10. Qu’est-ce qu’un framework MITRE ATT&CK?

  • des procédures correctement documentées pour mener à bien les investigations numériques.
  • une collection d’exploits de logiciels malveillants et de solutions de prévention
  • une base de connaissances sur le comportement des acteurs de menace
  • des lignes directrices pour la collecte des preuves numériques.

Explication : Le cadre MITRE est une base mondiale de connaissances sur le comportement des acteurs de menace. Il est basé sur l’observation et l’analyse des exploits du monde réel dans le but de décrire le comportement de l’attaquant, et non l’attaque elle-même. Il est conçu pour permettre le partage automatisé de l’information en définissant des structures de données pour l’échange d’informations entre sa communauté d’utilisateurs et MITRE.

11. Quel énoncé décrit la chaîne de frappe?

  • Il s’agit d’un ensemble de mesures conçues pour créer une méthode de description des incidents de manière structurée et reproductible.
  • Elle utilise le modèle OSI pour décrire les cyberattaques au niveau de chacune des sept couches.
  • Elle identifie les étapes que les hackers doivent suivre pour parvenir à leurs fins.
  • Elle spécifie les protocoles TCP/IP généralement utilisés pour lutter contre les cyberattaques.

Explication : La chaîne de frappe a été créée pour identifier et empêcher les cyberattaques en stipulant ce que les hackers doivent faire pour atteindre leur objectif.

12. Quel élément de méta-caractéristique du modèle Diamond décrit les outils et informations (logiciels, base de connaissances Black Hat, nom d’utilisateur et mot de passe, etc.) utilisés par le hacker pour l’événement d’intrusion?

  • méthodologie
  • ressources
  • direction
  • résultats

Explication : L’élément Ressources du modèle Diamond sert à décrire une ou plusieurs ressources externes utilisées par le hacker pour l’événement d’intrusion. Les ressources comprennent les logiciels, connaissances acquises par le hacker, informations (noms d’utilisateur/mots de passe, par exemple) et ressources utilisés pour mener l’attaque.

13. L’entreprise pour laquelle vous travaillez vous a demandé de créer un plan global qui inclut la prévention des risques de catastrophe et le transfert des systèmes critiques vers un autre site en cas de sinistre. Quel type de plan êtes-vous invité à créer?

  • plan de reprise après sinistre
  • pertes annuelles attendues
  • plan de continuité de l’activité
  • Contrôle d’admission dans le réseau

Explication : Un plan qui va au-delà d’une réponse aux incidents ou DRP permet également de planifier la relève en cas de catastrophe. Le plan global doit s’assurer que l’entreprise peut continuer à fonctionner en cas de catastrophe.

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires