Le monde de la ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦ ¨¦volue en permanence. La formation continue est donc la cl¨¦ de la compr¨¦hension des nouvelles menaces actuelles. Mais par o¨´ pouvez-vous commencer?? Le point de d¨¦part est une bonne compr¨¦hension de la terminologie. Cependant, conna?tre tous les termes diff¨¦rents peut sembler impossible. Pas d’inqui¨¦tude. Nous sommes l¨¤.
Voici quelques-uns des termes importants, types d’attaque, r¨¦glementations, questions fr¨¦quemment pos¨¦es et m¨ºme mesures pour en savoir plus sur les bases de la ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦.
Cybers¨¦curit¨¦?101?: d¨¦finitions ¨¤ conna?tre
Qu’est-ce que la ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦??
Quoi de mieux pour d¨¦buter?? La ??³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦?? est un ensemble de techniques pour emp¨ºcher l’infrastructure num¨¦rique d’une entreprise, notamment les r¨¦seaux, syst¨¨mes et applications, d’¨ºtre compromis par des pirates informatiques et autres acteurs malveillants. La ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦ associe technologie, personnel et processus pour cr¨¦er des strat¨¦gies destin¨¦es ¨¤ prot¨¦ger les donn¨¦es sensibles, ¨¤ garantir la continuit¨¦ op¨¦rationnelle et ¨¤ se pr¨¦munir contre les pertes financi¨¨res.
Quels sont les types de solutions de ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦??
AV
Un anti-virus est un type de logiciel de s¨¦curit¨¦ informatique qui analyse, d¨¦tecte, bloque et ¨¦limine les logiciels malveillants. Les programmes?AV s’ex¨¦cutent g¨¦n¨¦ralement en arri¨¨re-plan?: ils analysent les signatures de logiciels malveillants connus et les mod¨¨les de comportement pouvant indiquer la pr¨¦sence d’un logiciel malveillant.
EDR
L’EDR (Endpoint Detection and Response) est une cat¨¦gorie d’outils et de solutions se concentrant sur la d¨¦tection, la recherche et l’att¨¦nuation de l’activit¨¦ suspecte sur les points de terminaison et les h?tes. La valeur de l’EDR r¨¦side dans sa capacit¨¦ ¨¤ d¨¦tecter les menaces avanc¨¦es pouvant ne pas pr¨¦senter un mod¨¨le de comportement ou une signature de logiciel malveillant connu. L’EDR peut ¨¦galement d¨¦clencher une r¨¦ponse adaptative en fonction de la nature des menaces d¨¦tect¨¦es. Les offres de s¨¦curit¨¦ d’Arctic Wolf compl¨¨tent les solutions EDR pour fournir un niveau plus ¨¦lev¨¦ de s¨¦curit¨¦ globale.
MDR
La MDR (Managed Detection and Response)?est un composant d’un SOC en tant que service qui offre des solutions globales pour la surveillance continue, la d¨¦tection des menaces et la r¨¦ponse aux incidents par un fournisseur tiers. C’est une solution holistique cl¨¦ en main pour une gestion des menaces avanc¨¦es en temps r¨¦el qui aide les ¨¦quipes informatiques internes ¨¤ prioriser les incidents et ¨¤ am¨¦liorer la posture de s¨¦curit¨¦ de leur organisation.
NOC
Un NOC (Network Operations Center) est un emplacement central ¨¤ partir duquel les administrateurs r¨¦seau g¨¨rent et contr?lent un ou plusieurs r¨¦seaux et un serveur primaire sur des sites r¨¦partis en plusieurs endroits g¨¦ographiques. Les ing¨¦nieurs NOC traitent les attaques DDoS, les pannes de courant, les pannes r¨¦seau et les trous noirs de routage. Un NOC n’est pas une solution de s¨¦curit¨¦. Un client disposant d’un NOC ou de services NOC n’est pas prot¨¦g¨¦ contre les cybermenaces avanc¨¦es.
SOC
Un SOC (centre des op¨¦rations de s¨¦curit¨¦) est la combinaison du personnel de ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦, des processus de d¨¦tection des menaces et de r¨¦ponse aux incidents et de prise en charge des technologies de s¨¦curit¨¦ constituant les Security Operations d’une organisation. Les grandes entreprises cr¨¦ent et g¨¨rent g¨¦n¨¦ralement un SOC en interne. Les entreprises de toute taille peuvent choisir d’externaliser leur SOC aupr¨¨s d’un fournisseur de SOC en tant que service tel qu’Arctic Wolf.
SIEM
?signifie ??gestion des informations et des ¨¦v¨¦nements de s¨¦curit¨¦??. Le SIEM est un outil int¨¦gr¨¦ qui collecte et agr¨¨ge les ¨¦v¨¦nements et alertes de s¨¦curit¨¦ de diff¨¦rents produits de s¨¦curit¨¦. Le logiciel SIEM analyse et corr¨¨le ces ¨¦v¨¦nements pour identifier des menaces potentielles au sein de l’environnement de l’organisation.
VM
Les solutions de Vulnerability Management (VM) identifient, suivent et priorisent les vuln¨¦rabilit¨¦s de ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦ internes et externes, optimisant les activit¨¦s de pr¨¦vention des cyberattaques telles que les applications de correctifs, les mises ¨¤ niveau et les correctifs de configuration. Arctic Wolf Managed Risk est un service VM continu leader du march¨¦.
VA
La Vulnerability Assessment (VA) est le processus d’identification, de classification et de priorisation des vuln¨¦rabilit¨¦s dans les syst¨¨mes d’entreprise. Les ¨¦valuations peuvent se concentrer sur les vuln¨¦rabilit¨¦s internes, externes et bas¨¦es sur les h?tes.
Quels sont les diff¨¦rents types de cyberattaques??
Attaques par force brute
Une attaque par force brute est une tentative par un acteur malveillant pour obtenir un acc¨¨s non autoris¨¦ ¨¤ des syst¨¨mes s¨¦curis¨¦s en essayant tous les mots de passe possibles et en devinant le mot de passe correct. Le service Arctic Wolf MDR suit les tentatives et ¨¦checs de connexion et peut d¨¦tecter les attaques par force brute.
Hame?onnage par consentement
Dans cette variante d’attaques par hame?onnage, le pirate tente de tromper les utilisateurs pour qu’ils autorisent une application ou une int¨¦gration malveillante. Une fois l’application malveillante autoris¨¦e, elle peut ¨ºtre utilis¨¦e pour compromettre des comptes, exfiltrer des donn¨¦es ou exploiter d’autres vecteurs d’attaque.
Credential Stuffing
Les attaques par Credential Stuffing (bourrage d’identifiants) exploitent des combinaisons de nom d’utilisateur/mot de passe compromis provenant de bases de donn¨¦es. Les pirates essaient de se connecter ¨¤ un compte cible ¨¤ l’aide des mots de passe pr¨¦c¨¦demment obtenus.
Cross-Site Scripting
Le Cross-site scripting (XSS)? ou script intersites est une attaque qui injecte des scripts malveillants dans un site Web l¨¦gitime et de confiance. Les attaques?XSS exploitent les vuln¨¦rabilit¨¦s des applications Web. Le code malveillant s’ex¨¦cute lorsqu’un utilisateur final sans m¨¦fiance visite le site Web, puis acc¨¨de ¨¤ des donn¨¦es sensibles et des informations de session rassembl¨¦es par le navigateur. Les pirates utilisent ¨¦galement le XSS pour implanter des chevaux de Troie, des enregistreurs de frappe ou d’autres logiciels malveillants.
Violation de donn¨¦es
Une violation de donn¨¦es se rapporte ¨¤ tout ¨¦v¨¦nement o¨´ des utilisateurs non autoris¨¦s d¨¦robent des informations sensibles d’une soci¨¦t¨¦. Souvent, ces informations sont des donn¨¦es ¨¤ caract¨¨re personnel ou des informations financi¨¨res destin¨¦es ¨¤ la revente.
DDoS
Une attaque par d¨¦ni de service distribu¨¦ cherche ¨¤ faire ??planter?? un serveur Web ou un service en ligne en l’inondant de plus de trafic qu’il ne peut en traiter. L’attaque est ex¨¦cut¨¦e par ¨¦tapes?: installation d’un logiciel de prise de contr?le (C2) sur les p¨¦riph¨¦riques des victimes et la cr¨¦ation d’un r¨¦seau de machines zombies (botnets) programm¨¦s pour cibler le serveur ou le service en ligne.
DNS Hijacking
Le DNS hijacking, ¨¦galement appel¨¦ redirection DNS et empoisonnement du cache DNS redirige les requ¨ºtes vers un DNS (Domain Name System), g¨¦n¨¦ralement un site Web malveillant qui contient un logiciel malveillant ou des publicit¨¦s ou d’autres contenus ind¨¦sirables. Le DNS est l’¨¦quivalent d’une s¨¦rie de carnets d’adresses Internet et le DNS hijacking force principalement le navigateur ¨¤ acc¨¦der au mauvais emplacement.
Attaque par drive-by
Dans une attaque par drive-by, l’utilisateur n’a pas ¨¤ t¨¦l¨¦charger un logiciel malveillant, cliquer sur un lien malveillant ni effectuer une autre action. ? la place, le code malveillant est t¨¦l¨¦charg¨¦ automatiquement sur le p¨¦riph¨¦rique de l’utilisateur, g¨¦n¨¦ralement lorsque ce dernier visite un site Web compromis.
Exploit
Un?exploit?est une application ou un script malveillant qui tire parti d’une vuln¨¦rabilit¨¦ dans les points de terminaison et d’autres mat¨¦riels, r¨¦seaux ou applications. Les pirates utilisent g¨¦n¨¦ralement les exploits pour prendre le contr?le d’un syst¨¨me ou d’un p¨¦riph¨¦rique, pour d¨¦rober des donn¨¦es ou pour augmenter les privil¨¨ges d’acc¨¨s. Les exploits sont souvent utilis¨¦s comme composants d’une attaque multi-couches.
Attaque Golden Ticket
Une attaque Golden Ticket survient lorsqu’un pirate informatique a pris le contr?le d’un KDS (Domain¡¯s Key Distribution Service) qui est con?u pour accorder aux demandes des utilisateurs l’acc¨¨s ¨¤ des ressources r¨¦seau. Une fois le contr?le pris, le pirate est en mesure de g¨¦n¨¦rer des ??Golden Tickets?? non autoris¨¦s lui accordant l’acc¨¨s aux ressources du domaine.
Logiciel malveillant
Un malware est un logiciel malveillant qui se r¨¦pand par une pi¨¨ce jointe pr¨¦sente dans un e-mail ou un lien vers un site Web malveillant. Il infecte les points de terminaison lorsqu’un utilisateur ouvre la pi¨¨ce jointe ou clique sur le lien.
Ran?ongiciel
Un ran?ongiciel est un type de logiciel malveillant (malware) qui emp¨ºche l’utilisateur final d’acc¨¦der ¨¤ un syst¨¨me ou ¨¤ des donn¨¦es. La forme la plus courante est le crypto-ran?ongiciel qui rend les donn¨¦es ou les fichiers illisibles en les chiffrant et n¨¦cessite une cl¨¦ de d¨¦chiffrement pour restaurer l’acc¨¨s. Une autre forme, le ran?ongiciel Locker, verrouille l’acc¨¨s au lieu de chiffrer les fichiers. Les pirates demandent en g¨¦n¨¦ral un paiement, souvent sous forme de bitcoins, pour d¨¦chiffrer les fichiers ou restaurer l’acc¨¨s.
Attaque de la cha?ne d’approvisionnement
Une attaque de la cha?ne d’approvisionnement survient lorsqu’un acteur malveillant est capable d’attaquer une cible en compromettant une ressource tierce. Dans de nombreux cas, le fournisseur compromis n’est pas la cible finale mais il est utilis¨¦ comme m¨¦thode pour exploiter ou obtenir l’acc¨¨s ¨¤ la victime vis¨¦e. Dans certaines situations, une attaque de cha?ne d’approvisionnement peut impacter de nombreuses victimes suppl¨¦mentaires qui n’¨¦taient pas n¨¦cessairement la cible finale vis¨¦e.
Code encoquill¨¦
Un code encoquill¨¦ est une technique d’attaque dans laquelle un acteur malveillant est en mesure de charger une interface encoquill¨¦e malveillante orient¨¦e Web sur un serveur Internet pour y ex¨¦cuter les commandes souhait¨¦es. Un code encoquill¨¦ utilise souvent une vuln¨¦rabilit¨¦ au sein de la cible et permet ¨¤ l’acteur malveillant d’obtenir une interface de ligne de commande pour l’ex¨¦cution de la commande.
Que se passe-t-il pendant une attaque par ran?ongiciel??
Pendant une campagne de ran?ongiciel, les pirates utilisent souvent l’hame?onnage et l’ing¨¦nierie sociale pour que l’utilisateur d’un ordinateur clique sur une pi¨¨ce jointe ou un lien vers un site Web malveillant. Certains types d’, cependant, ne n¨¦cessitent aucune intervention de l’utilisateur car elles exploitent les vuln¨¦rabilit¨¦s du site Web ou de l’ordinateur pour d¨¦poser la charge malveillante. Une fois votre ordinateur infect¨¦, vous savez que vous ¨ºtes la victime car l’attaque d¨¦clenche une notification ¨¤ l’¨¦cran avec la demande de ran?on.
Hame?onnage/attaque par spear-phishing
L’hame?onnage est un e-mail malveillant qui trompe les utilisateurs pour qu’ils communiquent leurs identifiants. L’e-mail peut sembler l¨¦gitime, comme s’il provenait de votre banque, et vous demande de r¨¦initialiser votre mot de passe. Dans une attaque par spear-phishing, un e-mail personnalis¨¦ cible un cadre cl¨¦ ou un responsable. Arctic Wolf MDR peut d¨¦tecter et vous avertir de l’hame?onnage et du spear-phishing.
Mauvaises configurations de s¨¦curit¨¦
Les mauvaises configurations de s¨¦curit¨¦ r¨¦sultent de l’¨¦chec de la mise en ?uvre correcte des contr?les de s¨¦curit¨¦ sur des p¨¦riph¨¦riques, r¨¦seaux, applications cloud, pare-feu et autres syst¨¨mes, et elles peuvent aboutir ¨¤ des violations de donn¨¦es, des acc¨¨s non autoris¨¦s et d’autres incidents de s¨¦curit¨¦. Les mauvaises configurations s’appliquent ¨¤ tous les niveaux, depuis les identifiants administrateurs par d¨¦faut, des ports ouverts et des logiciels non corrig¨¦s jusqu’aux pages Web non utilis¨¦es et aux fichiers non prot¨¦g¨¦s.
Injection SQL
Une injection SQL est une technique qui ins¨¨re du code SQL (Structured Query Language) dans la base de donn¨¦es d’une application Web. Les applications Web utilisent le langage SQL pour communiquer avec leurs bases de donn¨¦es, et une injection SQL tire parti d’un utilisateur amen¨¦ ¨¤ entrer des informations, telles que des identifiants de connexion. Les pirates peuvent utiliser les injections SQL pour effectuer des actions telles que la r¨¦cup¨¦ration ou la manipulation des donn¨¦es de la base de donn¨¦es, l’usurpation de l’identit¨¦ de l’utilisateur et l’ex¨¦cution de commandes ¨¤ distance.
Virus/chevaux de Troie
Un cheval de Troie adopte un aspect l¨¦gitime mais il s’agit d’une application ou d’un code malveillant pouvant ¨ºtre utilis¨¦ pour une vari¨¦t¨¦ d’op¨¦rations n¨¦fastes, notamment pour d¨¦rober, supprimer ou modifier des donn¨¦es, et perturber des ordinateurs ou un r¨¦seau. Les chevaux de Troie se r¨¦partissent en diff¨¦rentes cat¨¦gories, telles que exploits, portes d¨¦rob¨¦es ou rootkits.
Quels sont certains des diff¨¦rents types de r¨¦glementations de conformit¨¦ de ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦??
CCPA
Le California Consumer Privacy Act s’applique ¨¤ toutes les entreprises vendant des produits et des services aux californiens, qu’elles soient physiquement implant¨¦es ou pr¨¦sentes dans l’?tat. Le CCPA permet aux consommateurs de demander des informations sur les donn¨¦es collect¨¦es par l’entreprise ¨¤ leur sujet ainsi que leurs finalit¨¦s. Les entreprises qui ne respectent pas certains seuils minimums sont exempt¨¦es.
CMMC
La Certification du mod¨¨le de maturit¨¦ de la ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦ (CMMC) est une norme unificatrice pour la ³¦²â²ú±ð°ù²õ¨¦³¦³Ü°ù¾±³Ù¨¦ au sein des sous-traitants du Minist¨¨re de la d¨¦fense. Elle fournit cinq?niveaux de s¨¦curit¨¦ et de certification. Respecter et obtenir le certificat pour le niveau CMMC correct est de plus en plus n¨¦cessaire pour r¨¦pondre aux appels d’offres sur les contrats du Minist¨¨re de la d¨¦fense et faire des affaires avec le Minist¨¨re.
DFARS
Le Defense Federal Acquisition Regulation Supplement (DFARS) ¨¤ la Federal Acquisition Regulation (FAR). Le DFARS est g¨¦r¨¦ par le Minist¨¨re de la d¨¦fense (DoD) et s’applique aux sous-traitants DoD qui traitent, stockent et transmettent des informations non confidentielles et non publiques.
4) Mesures d’intervention
Plus vous intervenez vite, meilleures sont vos chances de limiter l’??onde de choc??, c’est-¨¤-dire les dommages qu’une attaque peut infliger ¨¤ votre entreprise, et d’emp¨ºcher l’exfiltration de donn¨¦es. En plus des analystes pour surveiller les alertes, votre ¨¦quipe de s¨¦curit¨¦ a besoin d’acteurs pour prendre rapidement des d¨¦cisions afin de minimiser un incident. L’automatisation de certaines mesures d’intervention acc¨¦l¨¦rera ¨¦galement le cycle de r¨¦solution.
5) R¨¦cup¨¦ration
La restauration est la derni¨¨re ¨¦tape apr¨¨s un incident, et la pr¨¦paration ¨¤ la restauration ne se limite pas ¨¤ la sauvegarde des donn¨¦es. Apr¨¨s une attaque, vous devez restaurer rapidement les syst¨¨mes et op¨¦rations affect¨¦s et vous assurer que la menace est ¨¦radiqu¨¦e. Il est vivement recommand¨¦ d’inclure des processus et des proc¨¦dures de r¨¦cup¨¦ration des donn¨¦es dans votre plan de reprise apr¨¨s sinistre.
Autres ressources
- Rejoignez la conversation Arctic Wolf sur?,?,? et?
- Visitez?arcticwolf.com?pour en savoir plus sur nos?solutions de Security Operations
- Si vous ¨ºtes pr¨ºt ¨¤ vous lancer,?demandez une d¨¦monstration?ou?obtenez un devis?aujourd’hui
