Examen Checkpoint: Examen du Groupe des Acteurs de Menace et des Défenseurs

Explication: L’Internet des objets (IoT) facilite la connexion de différents types d’appareils à Internet, comme les appareils domestiques tels que les cafetières et les réfrigérateurs, ainsi que les appareils portables. Afin de sécuriser ces appareils et de ne pas être vulnérables aux attaques, ils doivent être mis à jour avec le dernier firmware.

Explication: La guerre cybernétique est un conflit basé sur Internet et qui implique la pénétration dans les réseaux et les systèmes informatiques des autres pays. L’objectif principal de la guerre cybernétique est d’obtenir un avantage sur les hackers, qu’ils soient des nations ou des concurrents.

Explication: Les amateurs, également connus sous le nom de «script kiddies», utilisent des outils trouvés sur Internet pour lancer des attaques. Les hacktivistes protestent contre des gouvernements ou des entreprises et agissent pour une cause sociale ou politique. Les hackers financés par un État utilisent le cyberespace à des fins d’espionnage industriel ou pour perturber le fonctionnement d’un autre pays. Les groupes terroristes lancent des attaques pour une cause qui leur est propre.

Explication: Un ransomware exige un paiement pour l’accès à l’ordinateur ou aux fichiers. Bitcoin est un type de devise numérique qui n’est gérée par aucune banque spécifique.

Explication: Les informations d’identification personnelle sont des données susceptibles d’identifier un individu spécifique. Il peut s’agir, par exemple, d’un numéro de carte bancaire et d’une adresse postale.

Explication: Une pièce jointe qui semble être un logiciel valide, mais contient en réalité des logiciels espions, montre comment des programmes malveillants peuvent être dissimulés. Une attaque pour bloquer l’accès à un site Web est une attaque par déni de service (DoS). Un hacker utilise l’empoisonnement de l’optimisation pour les moteurs de recherche (SEO) pour améliorer le classement d’un site Web afin que les utilisateurs soient dirigés vers un site malveillant qui héberge des programmes malveillants ou utilise des méthodes de piratage psychologique pour obtenir des informations. Un réseau de zombies est utilisé pour lancer une attaque par déni de service (DDoS).

Explication: Sur de nombreux points d’accès ouverts et gratuits, les mécanismes d’authentification mis en place sont soit faibles, soit simplement inexistants. Les hackers peuvent aisément capturer le trafic réseau entrant et sortant d’un tel point d’accès, et voler des informations utilisateur. Par conséquent, les utilisateurs qui utilisent des hotspots sans fil gratuits et ouverts pour se connecter à des sites Web devraient éviter de donner des informations personnelles aux sites Web.

Explication: La guerre cybernétique est un conflit basé sur Internet et qui implique la pénétration dans les réseaux et les systèmes informatiques des autres pays. Ce sont généralement des hackers organisés qui sont impliqués dans une attaque de ce type.

Explication: Les appareils connectés à l’IoT fonctionnent souvent à l’aide de leur micrologiciel d’origine et ne reçoivent pas de mises à jour aussi souvent que les ordinateurs portables, les ordinateurs de bureau et les plateformes mobiles.

Explication: DDoS est l’acronyme anglais de Distributed Denial of Service, c’est-à-dire une attaque par déni de service distribué. Ce type d’attaque est lancé à partir de plusieurs sources coordonnées. Ces sources sont des hôtes zombies que le cybercriminel a regroupés au sein d’un réseau. Une fois que tout est en place, le cybercriminel ordonne au réseau de zombies d’attaquer la cible choisie.

Explication: Les experts de niveau 3 appelés Chasseurs de menace sont spécialisés dans le domaine des réseaux, des terminaux, des informations sur les menaces et de l’ingénierie inverse des programmes malveillants. Ils savent très bien tracer les processus des programmes malveillants pour évaluer leur impact et déterminer comment les éradiquer.

Explication: Un Analyste de Cybersécurité surveille les files d’attente d’alertes de sécurité et utilise un système de billetterie pour assigner des alertes à une file d’attente pour qu’un analyste puisse enquêter. Le logiciel qui génère les alertes peut parfois déclencher de fausses alarmes, c’est pourquoi l’analyste de Cybersécurité doit vérifier qu’une alerte correspond réellement à un incident.

Explication: Un système de gestion des événements et des informations liés à la sécurité (SIEM) combine les données provenant de plusieurs sources pour aider le personnel du centre opérationnel de sécurité à recueillir et à filtrer les données, à détecter et à classer les menaces, à analyser et à enquêter sur les menaces et à gérer les ressources pour prendre des mesures préventives.

Explication: Dans un centre opérationnel de sécurité, les experts de niveau 3 sont spécialisés dans le domaine des réseaux, des terminaux, des informations sur les menaces et de l’ingénierie inverse des programmes malveillants. Ils participent activement à la chasse aux menaces potentielles et implémentent des outils de détection des menaces.

Explication: (ISC)² est une organisation internationale à but non lucratif qui offre la certification CISSP.

Explication: Dans un centre opérationnel de sécurité classique, les opérateurs de niveau 1 sont qualifiés d’analystes des alertes ou encore d’analystes en cybersécurité.

Explication: Disposez les options dans l’ordre suivant :

Explication: Les systèmes SIEM collectent et filtrent les données, détectent et classent les menaces, analysent et examinent les menaces. La technologie SOAR fait la même chose que les SIEMS, mais elle inclut également l’automatisation. SOAR intègre des renseignements sur les menaces et automatise les enquêtes sur les incidents. SOAR répond également aux événements en utilisant des workflows de réponse basés sur des playbooks développés précédemment.

Explication: Un centre opérationnel de sécurité doit intégrer les technologies suivantes :

• Collecte d’événements, corrélation et analyse
• Surveillance de la sécurité
• Contrôle de la sécurité
• Gestion des événements
• Évaluation des vulnérabilités.
• Suivi des vulnérabilités
• Informations sur les menaces

Le serveur proxy, le réseau privé virtuel (VPN) et le système de protection contre les intrusions sont des périphériques de sécurité déployés dans l’infrastructure réseau.

Explication: Les indicateurs de performance clés communs (KPI) compilés par les responsables SOC sont les suivants:
• Temps de séjour: durée pendant laquelle les acteurs de menace ont accès à un réseau avant qu’ils ne soient détectés et l’accès des acteurs de menace arrêté Temps
• moyen de détection (MTTD) : le temps moyen nécessaire au personnel du SOC pour identifier que des incidents de sécurité valides se sont produits dans le temps
• moyen de réponse (MTTR) du réseau: le temps moyen nécessaire pour arrêter et corriger un incident de sécurité
• Mean Time to Contient (MTTC): le temps nécessaire pour empêcher l’incident de causer d’autres dommages aux systèmes ou aux données
• Time to Control: le temps nécessaire pour arrêter la propagation des logiciels malveillants dans le réseau

Explication: Le ver Stuxnet est un parfait exemple d’arme de cyberguerre (ou cyber-arme) sophistiquée. Il fut utilisé en 2010 pour attaquer les contrôleurs logiques programmables qui commandaient des centrifugeuses d’enrichissement de l’uranium en Iran.

Explication: L’un des objectifs les plus lucratifs des cybercriminels est d’obtenir des listes d’informations personnelles identifiables qui peuvent ensuite être vendues sur le web noir. Le dark web n’est accessible qu’à l’aide d’un logiciel spécial et permet aux cybercriminels de dissimuler leurs activités. Ils peuvent utiliser les PII volées pour créer de faux comptes, tels que des cartes de crédit et des prêts à court terme.

Explication: PHI (Protected Health Information) incluent le nom du patient, les adresses, les dates de consultation, etc. Le HIPAA (Health Insurance Portability and Accountability Act) réglemente et prévoit des sanctions sévères en cas de violation de PHI EMRs (Electronic Medical Records) sont des documents créés et maintenus par la communauté médicale qui contiennent des PHI. Les informations personnelles identifiables (PII) correspondent à l’ensemble des informations qui permettent d’identifier un individu, tels que le nom et le numéro de sécurité sociale. Les informations personnelles de sécurité (ISP) sont liées à des informations sur une personne, telles que les mots de passe, les clés d’accès et les détails du compte.

Explication: Les trois grandes catégories d’éléments d’un centre opérationnel de sécurité sont les personnes, les processus et les technologies. Le moteur de base de données, le data center et la connexion Internet appartiennent à la catégorie des technologies.

Explication: La configuration du téléphone portable en tant que point d’accès sans fil signifie que le téléphone portable est désormais un point d’accès non autorisé. Sans en être conscient, l’employé a violé la sécurité du réseau de l’entreprise en permettant à un utilisateur d’accéder à ce réseau sans se connecter au point d’accès de l’entreprise. Le décodage est le processus d’obtention de mots de passe à partir de données stockées ou transmises sur un réseau. Les attaques par déni de service se réfèrent à l’envoi de grandes quantités de données vers un périphérique réseau, par exemple un serveur, afin d’y empêcher tout accès légitime. La mystification (ou usurpation) se réfère à l’accès à un réseau ou à des données par un pirate informatique se faisant passer pour un périphérique ou un utilisateur légitime de ce réseau.

Explication: Les attaques Man-in-the-middle sont une menace qui aboutit à la perte d’informations d’identification et de données. Ce type d’attaque est rendu possible par différentes méthodes, notamment la détection de trafic.

Explication: HIPAA (The Health Insurance Portability and Accountability Act) stipule que toutes les informations de santé personnelles des patients doivent être stockées, gérées et transmises de manière à garantir leur confidentialité.