Formation Surveillance, détection et réponse aux incidents de sécurité

Les rapports de tous les grands acteurs de la réponse à incident sont unanimes : les compromissions, qu'elles soient l'œuvre de simples malwares ou de groupes organisés, sont légion, avec bien souvent un délai effarant de plusieurs mois entre l'arrivée de l'acteur malveillant et sa détection par les défenseurs. Dans ce contexte, la question n'est plus de savoir si cela peut nous arriver, mais bien QUAND cela va arriver. L'enjeu n'est plus seulement de prévenir, mais d'aller traquer l'attaquant sur nos systèmes et réseaux afin de l'empêcher d'étendre son emprise et d'atteindre ses objectifs.

En mettant l'accent sur la compréhension des techniques d'attaque et la maitrise des outils de détection, cette formation Surveillance détection et réponse aux incidents de sécurité vous donnera les moyens de tirer le meilleur parti des mesures et équipements déjà en place pour répondre rapidement et efficacement aux incidents de sécurité.

Objectif opérationnel : 

Savoir répondre rapidement et efficacement aux incidents de sécurité.

Objectifs pédagogiques :

À l'issue de cette formation Surveillance détection et réponse aux incidents de sécurité vous aurez acquis les connaissances et les compétences nécessaires pour :

• Mettre en place une architecture de détection
• Appliquer la notion de « prévention détective »
• Limiter l'impact d'une compromission
• Prioriser les mesures de surveillance à implémenter
• Maîtriser le processus de réponse à incident

Public :

Ce cours détection et réponse aux incidents de sécurité s'adresse aux membres d'un SOC (Security Operating Center) ou d'un CSIRT (Computer Security Incident Response Team), aux administrateurs, aux analystes et aux responsables de sécurité.

Prérequis :

Pour participer à ce cours, vous devez avoir suivi la formation Fondamentaux et techniques de la SSI (Sécurité des Systèmes d'Information), réf.SFSI ou, à défaut, disposer de solides bases en sécurité des systèmes d'information.

État des lieux sur des problèmes de détection et les réponses dans le cadre de la sécurité Informatique

Pourquoi la détection :
- Défense en profondeur
- Tous compromis
Évolution de l'environnement
La « prévention détective »

Comprendre l'attaque

Objectifs de l'attaquant
Phases d'une attaque
Plusieurs champs de bataille :
- Réseau
- Applications
- Active Directory
- La dimension métier
Portrait d'une attaque réussie

Architecture de détection

La base : segmentation et moindre privilège
Les classiques :
- Parefeu
- IDS/ISP
- WAF
- SIEM
Les outsiders :
- « Self-defense » applicative
- Honey-*Valoriser les « endpoints » :
- Whitelisting
- Sysmon
- Protections mémoire
- Mesures complémentaires de Windows 10Focus : Journalisation
Les IOC :
- Yara
- MISP

Blue Team vs Attaquant

Gérer les priorités
Détection et kill chain :
- Persistance
- Post-exploitation
- Exploitation
- Reconnaissance
Focus : détecter et défendre dans le Cloud

Réponse à incident et Hunting

Le SOC
Outils de réponse :
- Linux
- Windows
- Kansa
Partons à la chasse :
- Principes de base
Attaquer pour mieux se défendre :
- Audit « Purple Team »
- Focus : Bloodhound
ISO 27035
Aspects juridiques