Introduction to the Threat Landscape 1.0 Lesson Scripts-VF
publicité
Machine Translated by Google Introduction à la menace Paysage Scripts de leçon 1.0 Machine Translated by Google Institut de formation Fortinet ­ Bibliothèque https://training.fortinet.com Documentation produit Fortinet https://docs.fortinet.com Base de connaissances Fortinet https://kb.fortinet.com Communauté d’utilisateurs Fortinet Fuse https://fusecommunity.fortinet.com/home Forums Fortinet https://forum.fortinet.com Assistance produit Fortinet https://support.fortinet.com Laboratoires FortiGuard https://www.fortiguard.com Informations sur le programme de formation Fortinet https://www.fortinet.com/nse­training Fortinet | Pearson VUE https://home.pearsonvue.com/fortinet Service d'assistance du Fortinet Training Institute (questions de formation, commentaires, réactions) https://helpdesk.training.fortinet.com/support/home 26/09/2023 Machine Translated by Google TABLE DES MATIÈRES Module d'introduction à la cybersécurité 4 Leçon d’introduction à la cybersécurité 4 Qu'est­ce que la leçon de cybersécurité 5 Leçon sur les principes de la sécurité de l'information 7 Module Paysage des menaces Leçon sur la présentation du paysage des menaces 9 9 Leçon sur les acteurs menaçants dix Leçon sur les menaces de cybersécurité 13 Leçon sur les renseignements sur les menaces 15 Leçon sur les cadres d'attaque 18 Module d'ingénierie sociale 20 Leçon de présentation de l’ingénierie sociale 20 Techniques d'ingénierie sociale, partie A, leçon 22 Leçon sur les techniques d'ingénierie sociale, partie B 25 Leçon sur les menaces internes 28 Leçon sur la fraude, les escroqueries et les campagnes d'influence 31 Module de logiciels malveillants 33 Leçon de présentation des logiciels malveillants 33 Leçon sur les types de logiciels malveillants 34 Leçon sur les vecteurs et méthodes d'attaque de logiciels malveillants 37 Machine Translated by Google Module d'introduction à la cybersécurité Leçon d’introduction à la cybersécurité Bienvenue dans le module Introduction à la cybersécurité . Cliquez sur Suivant pour commencer. La cybersécurité désigne l'ensemble des méthodes, technologies et processus collectifs qui protègent les systèmes informatiques, les réseaux et les informations qu'ils contiennent. Notez que la cybersécurité est bien plus que la technologie. Outre la technologie, ce sont également les actions et comportements corrects des personnes qui assurent la sécurité des systèmes informatiques. À la fin de ce module, vous serez doté de certaines des connaissances conceptuelles fondamentales de la sécurité informatique. Vous découvrirez les principes de sécurité de l’information qui orientent les professionnels de la sécurité informatique dans leurs activités quotidiennes. Et vous aurez un meilleur aperçu du processus d’identification des informations qui doivent être protégées et du degré de protection dont elles ont besoin. Vous découvrirez la première ligne de défense contre les cyberattaques. De plus, vous vous familiariserez avec certains des termes essentiels en matière de sécurité des informations. Ces sujets incluent certaines des connaissances essentielles que tous les professionnels de la cybersécurité sont censés connaître et sur lesquelles seront construites des informations technologiques plus spécifiques. Passez à la première leçon pour commencer. 4 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module d'introduction à la cybersécurité Qu'est­ce que la leçon de cybersécurité Qu'est­ce que la leçon de cybersécurité Bienvenue dans la leçon Qu'est­ce que la cybersécurité . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Décrire les termes cybersécurité, sécurité de l'information et sécurité des systèmes d'information. l Expliquer comment la sécurité informatique détermine quelles informations doivent être protégées. l Expliquer la première ligne de défense contre les cyberattaques. Qu’est­ce que la cybersécurité ? La cybersécurité est la pratique consistant à protéger les réseaux informatiques, les appareils et les informations contre les dommages, les pertes ou les accès non autorisés. Il est important de noter que la cybersécurité protège les informations numériques des cybermenaces. La protection des informations signifie la préservation de la confidentialité, de l'intégrité et de la disponibilité des informations dans le cyberespace. Les professionnels de la cybersécurité agissent pour protéger les serveurs, les points finaux, les bases de données et les réseaux en identifiant les failles de sécurité et les erreurs de configuration qui créent des vulnérabilités. La cybersécurité peut être divisée en cinq catégories : la sécurité des infrastructures critiques, la sécurité des applications, la sécurité des réseaux, la sécurité du cloud et la sécurité de l'Internet des objets (IoT). Notez que d’autres organisations peuvent catégoriser les types de cybersécurité différemment ou les étiqueter différemment. À ces cinq catégories s’ajoutent les personnes et les processus qui utilisent la technologie pour défendre les systèmes informatiques, les réseaux et les informations qu’ils contiennent. Ces différentes catégories reflètent à quel point les technologies informatiques ont transformé le monde. De la gestion en ligne des gazoducs ou des réseaux électriques aux applications qui vous permettent d'acheter et de vendre des biens en ligne, en passant par la collaboration avec des collègues de travail quelle que soit la géographie, la location de stockage de données dans le cloud, le suivi du toner et de la maintenance des imprimantes, toutes ces technologies ont transformé la façon dont les gens vivent et comment ils font des affaires. La transformation numérique a permis de réaliser d’énormes gains d’efficacité, d’étendre des commodités inouïes, d’offrir un accès omniprésent à l’information et d’augmenter de façon exponentielle la productivité, ce qui a accru la richesse et amélioré la qualité de vie. Par exemple, les personnes vivant dans des régions reculées du monde peuvent accéder à des experts médicaux grâce aux technologies informatiques. Les informations médicales personnelles peuvent être collectées localement et transférées à des experts médicaux pour faciliter le diagnostic et les remèdes. Sans la sécurisation des réseaux informatiques et des liens qui les relient, toutes ces avancées sont menacées. La sécurité de l'information, également connue sous le nom d'InfoSec, est la pratique de protection des informations. InfoSec comprend les outils et processus utilisés pour prévenir, détecter et remédier aux attaques et menaces contre les informations sensibles, à la fois numériques et physiques. InfoSec comprend également la documentation des processus, des menaces et des systèmes qui affectent la sécurité des informations. La nature des informations est inclusive et large. Cela comprend les informations stockées électroniquement sur un ordinateur, les informations déposées sur le bureau d'une personne ou stockées dans un classeur. Les informations susceptibles de nécessiter une protection peuvent également inclure tout, depuis les données critiques jusqu'aux politiques RH en passant par les contrats juridiques. La sécurité informatique examine toutes les informations au sein d'une organisation afin de catégoriser et de prioriser leur sensibilité. Certaines informations sont étiquetées comme non protégées, ce qui signifie qu'aucun contrôle n'est nécessaire, tandis que d'autres informations sont étiquetées comme protégées, ce qui signifie qu'un certain niveau de protection et de contrôle est requis. En fonction de la protection Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 5 Machine Translated by Google Qu'est­ce que la leçon de cybersécurité Module d'introduction à la cybersécurité En raison de la criticité des informations, elles peuvent être qualifiées de confidentielles, secrètes ou très secrètes. Chaque niveau de protection successif nécessite un contrôle et des garanties plus rigoureux. La sécurité des systèmes d'information fait partie de l'InfoSec. Elle est définie comme la protection des systèmes d'information contre les accès non autorisés, les modifications, les destructions ou le refus d'accès aux utilisateurs autorisés. Les systèmes d'information comprennent les appareils, les réseaux informatiques et les emplacements physiques qui stockent ou transmettent des informations sensibles. La forme des informations peut être numérique ou physique. Compte tenu de ce que vous savez maintenant sur les termes abordés dans cette leçon, vous pouvez conclure que la sécurité des systèmes d'information est un sous­ensemble d'InfoSec et que la cybersécurité est un sous­ensemble de la sécurité des systèmes d'information. Compte tenu de l’importance de protéger cette cyberinfrastructure, essentielle au maintien de la prospérité et de la qualité de vie d’une grande partie du monde, certaines précautions peuvent être prises. Cela commence par les gens et l’éducation. De nombreuses études ont identifié l’erreur humaine comme la principale cause de failles réseau et informatiques. Cette situation peut être résolue en éduquant les gens au travail et à la maison à réfléchir avant de cliquer et en les aidant à identifier les attaques de phishing et autres méthodes d'attaque courantes menées par des acteurs malveillants. Une autre première ligne de défense, tant au travail qu’à la maison, consiste à se préparer à une catastrophe et à planifier le rétablissement. Si vous effectuez régulièrement des sauvegardes de vos données et que celles­ci sont conservées en toute sécurité hors ligne, si vos données sont supprimées ou corrompues par un logiciel malveillant, ou cryptées par un ransomware, vous pouvez restaurer vos données avec le moins de perte et d'interruption de données. 6 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module d'introduction à la cybersécurité Leçon sur les principes de la sécurité de l'information Leçon sur les principes de la sécurité de l'information Bienvenue dans la leçon sur les principes de sécurité de l'information . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Énumérer les principes de sécurité de l’information. l Décrire les termes authentification, autorisation et comptabilité. Il existe une triade de principes qui constituent les objectifs de la sécurité de l'information. Ces principes sont la confidentialité, l'intégrité et la disponibilité qui forment les lettres CIA. Les informations privées doivent rester confidentielles. Vous devez savoir qui tente d'accéder aux informations et s'il est autorisé ou non à y accéder. Vous devez également avoir l’assurance que les informations sont authentiques, c’est­à­dire intègres. Les informations doivent être protégées contre toute modification non autorisée, et si elles sont modifiées, vous devez en être alerté. Enfin, les parties autorisées doivent avoir accès à l'information. Des technologies, des politiques et des processus doivent être en place pour garantir une disponibilité fiable. Ensemble, ces trois principes constituent la triade de la CIA. À l’inverse, Infosec s’efforce d’empêcher la divulgation et la modification des informations. En outre, il s'efforce de garantir que les parties autorisées ne se voient pas refuser l'information. Ces caractéristiques, connues sous le nom de triade DAD, sont à l’opposé de la triade CIA. La divulgation expose des données confidentielles à des parties non autorisées. L’altération des données, ou l’incapacité de tester leur altération, rend les données peu fiables. Le refus d’information empêche les agents légitimes et autorisés d’accéder aux données. Une solution de sécurité efficace, telle qu'un pare­feu réseau, aidera à neutraliser la triade DAD. Les trois termes de sécurité que vous devez connaître sont l'authentification, l'autorisation et la comptabilité (AAA). Ensemble, AAA constitue un cadre de sécurité qui contrôle les ressources, applique les politiques et audite l'utilisation. Le cadre de sécurité joue un rôle majeur dans la gestion du réseau et la cybersécurité en filtrant les utilisateurs et en suivant leurs activités lorsqu'ils sont connectés. L'authentification est le processus d'identification et de vérification d'une personne ou d'une chose. En tant qu'outil de gestion des identités et des accès (IAM), un serveur AAA compare les informations d'identification d'un utilisateur avec sa base de données d'informations d'identification stockées en vérifiant si le nom d'utilisateur, le mot de passe et les autres outils d'authentification correspondent à cet utilisateur spécifique. L'autorisation est le processus de contrôle de l'accès aux ressources. Lors de l'autorisation, un utilisateur peut se voir accorder des privilèges pour accéder à certaines zones d'un réseau ou d'un système. Les zones et les ensembles d'autorisations accordées à un utilisateur sont stockés dans une base de données avec l'identité de l'utilisateur. Les privilèges de l'utilisateur peuvent être modifiés par un administrateur. Enfin, la comptabilité dans les technologies de l’information consiste à tenir des registres et à tracer les activités des agents sur les appareils et réseaux informatiques. La comptabilité suit des informations telles que la durée de connexion d'un utilisateur, les données qu'il a envoyées ou reçues, son adresse de protocole Internet (IP), l'identifiant de ressource uniforme (URI) qu'il a utilisé et les différents services auxquels il a accédé. La comptabilité peut être utilisée pour analyser les tendances des utilisateurs, auditer l'activité des utilisateurs et fournir une facturation plus précise. Vous avez terminé la leçon. Tu es capable de: Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 7 Machine Translated by Google Leçon sur les principes de la sécurité de l'information Module d'introduction à la cybersécurité l Énumérer les principes de sécurité de l’information. l Décrire les termes authentification, autorisation et comptabilité. 8 Introduction aux scripts de cours sur le paysage des menaces 1.0 Fortinet Technologies Inc. Machine Translated by Google Module Paysage des menaces Leçon sur la présentation du paysage des menaces Bienvenue dans le module Paysage des menaces . Cliquez sur Suivant pour commencer. Qu’est­ce qu’un paysage de menaces ? Un paysage de menaces est un ensemble de menaces dans un contexte ou un domaine donné et comprend des informations sur les auteurs des menaces : les mauvais acteurs. Dans le contexte de la cybersécurité, le paysage des menaces comprend toutes les menaces connues et possibles contre les réseaux informatiques. L’introduction de nouvelles technologies et méthodes garantit un paysage dynamique où de nouvelles menaces en évolution apparaissent en permanence. Comprendre la nature des menaces qui pèsent sur votre réseau vous donne les connaissances nécessaires pour contrer et vaincre les attaques contre les systèmes informatiques. Les leçons de ce module Paysage des menaces fournissent une compréhension essentielle des principes fondamentaux suivants, nécessaires pour atteindre vos objectifs. Vous pourrez: Identifiez les différents types de mauvais acteurs et de pirates informatiques en fonction de leurs motivations et de leurs tactiques. Différents types de mauvais acteurs sont plus susceptibles d’attaquer certains secteurs verticaux ou types d’entreprises. Par exemple, les hôpitaux sont de grandes cibles pour les cybercriminels qui souhaitent obtenir une rançon pour obtenir des informations médicales précieuses afin de s’enrichir. Le ministère de la Défense d'un pays est plus susceptible d'être attaqué par d'autres acteurs menaçants de l'État­nation, qui sont plus intéressés à voler des secrets d'État qu'à soutirer de l'argent à leurs victimes. Par conséquent, en connaissant votre ennemi, vous êtes mieux équipé pour contrer ses attaques. Vous pourrez: Décrivez les vecteurs d'attaque, les menaces de cybersécurité et les catégories auxquelles appartiennent les cybermenaces. Comprendre la classification des menaces vous donne un aperçu de la manière dont les attaques peuvent être menées. Encore une fois, cela peut vous aider à identifier les faiblesses de votre environnement et à prendre des précautions pour réduire la surface d'attaque. Vous pourrez: Définir les renseignements sur les menaces et expliquer comment ils sont traités. Pour que les informations constituent du renseignement sur les menaces, elles doivent être pertinentes, exploitables et contextuelles. S’il ne s’agit pas de toutes ces choses, alors il ne s’agit pas de renseignements sur les menaces. Cependant, cela est également très situationnel, de sorte que ce qui constitue du renseignement pour une organisation peut ne pas l’être pour une autre. Vous pourrez: Décrivez différents cadres d'attaque, tels que Cyber Kill Chain et MITRE ATT&CK. Les cadres d'attaque vous donnent un aperçu de l'anatomie d'une cyberattaque. Comprendre l'enchaînement des actions lors d'une attaque vous permet d'anticiper les actions de votre ennemi et de les contrer. En outre, les frameworks tels que MITRE ATT&CK sont riches en informations et en renseignements sur les menaces dont vous avez besoin pour être un professionnel efficace de la sécurité informatique. Passez à la première leçon pour commencer. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 9 Machine Translated by Google Leçon sur les acteurs menaçants Module Paysage des menaces Leçon sur les acteurs menaçants Bienvenue dans la leçon sur les acteurs menaçants . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Décrire les différents types de mauvais acteurs et leurs motivations. l Décrire les différentes catégories de hackers. Qu'est­ce qu'un mauvais acteur ? Les mauvais acteurs, également appelés acteurs menaçants, sont des personnes qui tentent de voler, de saboter ou de vous empêcher d'utiliser des systèmes informatiques ou d'accéder à des informations que vous êtes autorisé à utiliser et qui sont stockées sur ou en transit entre des appareils informatiques. Leur comportement criminel peut avoir une multitude de motivations, et ces différentes motivations influencent non seulement leurs méthodes d'attaque, mais donnent également un aperçu de leur caractère et de leurs croyances. Les mauvais acteurs peuvent être regroupés en types en fonction de leur caractère, de leurs motivations et des méthodes d'attaque courantes qu'ils utilisent. Il est important de noter que les mauvais acteurs ne constituent PAS un groupe homogène. Bien qu'il existe différents types de mauvais acteurs qui ont des motivations différentes qui aident à expliquer leurs activités, vous ne devriez pas considérer un mauvais acteur comme un mystérieux personnage encapuchonné qui travaille dans un sous­sol sombre, dans un autre pays ou dans une autre ville. Un mauvais acteur peut être n’importe qui, situé n’importe où. Il peut s'agir de quelqu'un dans un café local qui installe un faux point d'accès Wi­Fi pour voler des données, d'un employé mécontent qui exploite son statut d'employé pour obtenir un accès plus approfondi aux données de l'entreprise, de quelqu'un dans un autre pays dont le travail à temps plein consiste à arnaquer les gens d'un centre d'appels, ou il peut s'agir d'un adolescent de votre quartier curieux de connaître les programmes disponibles gratuitement sur Internet qui rendent la distribution de logiciels malveillants et de ransomwares aussi simple que quelques clics de souris. Les types de mauvais acteurs sont les explorateurs, les hacktivistes, les cyberterroristes, les cybercriminels et les cyberguerriers. L’explorateur est peut­être le moins néfaste de tous les mauvais acteurs. La notoriété est le plus grand facteur de motivation au sein de ce groupe. L'explorateur est curieux des types de faiblesses qui existent sur les réseaux informatiques et s'efforce de les trouver et de les exploiter. Ils n’ont pas l’intention d’infliger de graves dommages, mais ils peuvent modifier une page d’un site Web pour embarrasser quelqu’un ou faire quelque chose pour faire connaître au monde entier leur intelligence. Une méthode utilisée par les explorateurs et autres types d’acteurs malveillants est appelée phishing. Essentiellement, ils incitent les gens à divulguer des informations personnelles. Un exemple de phishing est un e­mail envoyé par une source apparemment légitime à un large groupe de personnes. Les ingrédients d’une attaque de phishing réussie sont, premièrement, de gagner la confiance du destinataire ou au moins de paraître inoffensif, et deuxièmement, de créer une situation d’urgence pour forcer le destinataire à agir. Il existe des variantes du phishing qui peuvent également être déployées. Le spear phishing utilise également le courrier électronique, mais le courrier électronique est destiné à une personne ou à un groupe spécifique. L’explorateur peut également choisir de vous appeler ou de vous envoyer un SMS, mieux connu sous le nom de smishing et vishing. Même si le système n’utilise pas le courrier électronique, les mêmes ingrédients sont nécessaires au succès du projet. Le phishing et ses variantes ne sont toutefois pas réservés à l’explorateur, et d’autres types d’acteurs malveillants pourraient les utiliser à leurs propres fins. Cliquez sur les icônes et les boutons pour plus d'informations. Exemple de phishing : Un e­mail de phishing peut indiquer qu'une entreprise exige l'attention immédiate du destinataire et un lien vers le site de l'organisation est fourni pour sa commodité. Le lien, cependant, ne dirige pas leur navigateur vers le site légitime mais les amène plutôt vers un site frauduleux qui leur ressemble. Le site malveillant fournit la page de connexion et la victime saisit consciencieusement son nom d'utilisateur et son mot de passe. Lorsque la victime clique sur Soumettre, le site malveillant renvoie un message indiquant que son mot de passe était incorrect. Un lien est fourni vers la page de connexion légitime, la victime réessaye et cette fois se connecte avec succès. Parce que les gens tapent souvent leurs mots de passe rapidement et font parfois dix Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module Paysage des menaces Leçon sur les acteurs menaçants erreurs, la victime peut ne pas être alertée du fait que quelque chose de louche s'est produit. Mais entre­temps, l'acteur malveillant possède le nom d'utilisateur et le mot de passe de la victime et peut désormais se connecter sous son nom. Contrairement aux explorateurs intéressés, les hacktivistes croient fervents en une cause extérieure. Ils sont motivés par une idéologie ou animés par une force émotive. L’idéalisme des hacktivistes les pousse à agir collectivement pour faire cause commune contre un ennemi. Même si les hacktivistes peuvent mener collectivement une croisade contre une entreprise spécifique ou s’en prendre à des organisations politiques ou sociales qui, selon eux, ont fait quelque chose de mal, leur extrémisme exige l’anonymat et les groupes en ligne, par nature, sont fragmentés. Une stratégie courante des hacktivistes consiste à créer un botnet en secret. Pour créer un botnet, l'hacktiviste met en place un serveur de commande et de contrôle (C&C) accessible sur Internet. Il s’agit d’un point central de coordination pour tous les nœuds du botnet. Ensuite, ils créent des logiciels malveillants qui, une fois installés sur des ordinateurs sans méfiance, attendent patiemment les instructions du serveur C&C. Le serveur C&C demande à des milliers de nœuds de botnet d'envoyer des messages au serveur ciblé, qui est submergé de requêtes et cesse de répondre. C'est ce qu'on appelle une attaque par déni de service distribué (DDoS). Les hacktivistes ne disposent pas des ressources informatiques nécessaires pour mener une attaque DDoS réussie et doivent donc prendre le contrôle de milliers d'ordinateurs d'autres personnes. Le cyberterroriste a plus en commun avec l’hacktiviste qu’avec l’explorateur. Leur motivation est également idéologique, mais leur violence est plus largement dirigée contre une société. Alors que les hacktivistes se contentent de punir leurs ennemis, les cyberterroristes s’efforcent d’intimider et de déstabiliser une société en détruisant ou en perturbant les réseaux informatiques ou de communication. Ils aiment cibler les infrastructures en ligne, telles que les centrales nucléaires, les gazoducs et les réseaux électriques. Ce type d'infrastructure en ligne est appelé technologie opérationnelle. Comme les hacktivistes, et à moins qu’ils ne soient parrainés par un État­nation, ils n’ont pas les ressources nécessaires pour infliger des destructions catastrophiques et doivent mendier, emprunter et voler des technologies pour monter des attaques efficaces. Contrairement aux hacktivistes, les cyberterroristes opèrent davantage comme une armée virtuelle cohésive. Ils ont une structure et une direction. Ils peuvent déployer des tactiques telles que le DDoS pour attaquer des cibles, mais l’une de leurs méthodes préférées est le spear phishing. Une fois qu’ils ont identifié une personne disposant de privilèges réseau étendus, ils la ciblent avec une campagne d’ingénierie sociale soigneusement planifiée. La motivation d’un cybercriminel est plus égocentrique : il veut de l’argent purement et simplement. Ils atteignent cet objectif en combinant le phishing, le vol d'identités ou de cartes de crédit, qu'ils utilisent ou revendent sur le marché noir, ou encore les ransomwares. Un ransomware est un type de malware qui bloque l'accès aux informations ou aux systèmes informatiques jusqu'à ce qu'une rançon soit payée. Parfois, il peut y avoir plusieurs motivations pour un groupe, ou deux ou plusieurs types de mauvais acteurs. Par exemple, il ne serait pas inhabituel que des cybercriminels et des cyberterroristes ou des cyberguerriers collaborent à une attaque ou existent au sein du même groupe. Dans l’exemple de la cyberattaque de 2021 contre Colonial Pipeline, le pays hôte de l’organisation criminelle est soupçonné d’avoir encouragé ou approuvé l’attaque. Il s’agit d’un exemple de collusion entre cybercriminels et cyberguerriers. Cliquez sur l'icône et le bouton pour plus d'informations. Les cyberguerriers sont les moins intéressés, mais ils sont néanmoins les plus dangereux car ils disposent des ressources d’un État­nation. Les cyberguerriers sont motivés par les intérêts nationaux de leur pays d’origine. Que les cyberguerriers soient bons, mauvais ou neutres dépend de l’État­nation pour lequel ils se battent. Leurs méthodes sont vastes et parfois secrètes, et leurs missions vont de l’espionnage, de l’extorsion et de l’embarras d’une part à l’utilisation de cyberarmes ciblées pour perturber, endommager ou détruire des infrastructures critiques d’autre part. Ils aiment exploiter les vulnérabilités non corrigées des systèmes d’exploitation et des applications courants. C'est ce qu'on appelle des exploits Zero Day, probablement parce que lorsque l'exploit est lancé, le fournisseur ne dispose que de zéro jour pour résoudre le problème. Les cyberguerriers effectuent des recherches intensives sur ces systèmes d'exploitation et applications courants, trouvant des faiblesses, des bugs et d'autres comportements qu'ils peuvent utiliser pour attaquer les systèmes informatiques ennemis. Les faiblesses doivent rester secrètes jusqu'à ce qu'elles puissent être utilisées, car une fois connues, le fournisseur publiera immédiatement un correctif. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 11 Machine Translated by Google Leçon sur les acteurs menaçants Module Paysage des menaces Tout comme il existe différents types de mauvais acteurs, il existe différentes catégories de hackers, chacune identifiée par une couleur symbolique. Les principales catégories sont : le chapeau blanc, le chapeau noir, le chapeau gris et le chapeau bleu. Un chapeau blanc est un pirate informatique éthique qui, avec l’autorisation appropriée, sonde le réseau pour identifier les vulnérabilités. En revanche, un chapeau noir est un pirate informatique qui attaque un réseau dans un but lucratif ou pour causer du tort. Un gray hat est un hacker qui attaque un réseau, en contradiction avec un comportement légal et éthique, mais qui n'a pas la même intention malveillante qu'un black hat hacker. Cette catégorie correspond le plus au mauvais acteur explorateur. Un hacker au chapeau bleu est une variante du chapeau blanc. Cette catégorie de pirate informatique fait référence aux sociétés de conseil externes en sécurité informatique qui sont employées pour tester l'intrusion d'un système avant son lancement et dans le but de détecter et de corriger les vulnérabilités. Vous avez terminé la leçon. Tu es capable de: l Décrire les différents types de mauvais acteurs et leurs motivations. l Décrire les différentes catégories de hackers. 12 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module Paysage des menaces Leçon sur les menaces de cybersécurité Leçon sur les menaces de cybersécurité Bienvenue dans la leçon sur les menaces de cybersécurité . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Décrire les menaces de cybersécurité et citer des exemples. l Répertoriez les principales catégories de cybermenaces. l Décrire les vecteurs d'attaque profilés. Qu’est­ce qu’une menace pour la cybersécurité ? Une menace de cybersécurité est une action exploitant une vulnérabilité qui entraîne un dommage à un réseau ou à un système informatique. Les mauvais acteurs sont les instigateurs des menaces de cybersécurité. Ils exploitent différents vecteurs d’attaque pour atteindre leurs objectifs. D'une manière générale, un vecteur d'attaque est une méthode utilisée par un acteur malveillant pour accéder illégalement ou inhiber un réseau, un système ou une installation. Vous pouvez en déduire que les menaces de cybersécurité sont un sous­ensemble de vecteurs d’attaque. Qu’entend­on par méthode ? Plus précisément, la méthode indique comment une vulnérabilité est exploitée. Un vecteur d'attaque comprend trois composants : (1) la vulnérabilité, (2) le mécanisme ou l'objet qui exploite la vulnérabilité et (3) le chemin d'accès à la vulnérabilité. Voici quelques exemples. Diego reçoit un e­mail d'un collègue lui demandant de réviser un document joint. Il enregistre le document sur son disque dur et l'ouvre. À l'insu de Diego, l'expéditeur n'était pas vraiment son collègue et le document installait un malware sur son ordinateur. Dans cet exemple, la vulnérabilité est l'utilisateur, le mécanisme est le logiciel malveillant et le message d'ingénierie sociale qui l'ont convaincu de télécharger le document, et le chemin est l'e­mail. Dans un autre exemple, une personne autorisée entre dans une salle de serveurs, qui est une zone restreinte. Il remarque un technicien chargé de cartons et de matériel informatique qui rôde dehors. Elle explique qu'elle doit améliorer certains équipements mais qu'elle a oublié son laissez­passer. Bien que la personne autorisée ne la reconnaisse pas, elle semble convaincante et il veut l'aider, alors il ouvre la porte et elle passe. Dans la salle des serveurs, elle connecte discrètement un périphérique USB à l'un des serveurs qui installe des logiciels malveillants. Dans cet exemple, la vulnérabilité concernait la personne autorisée et un serveur non protégé. Le mécanisme était le logiciel malveillant et la situation utilisée pour convaincre l'homme de lui permettre d'accéder à la salle des serveurs. Le chemin était la porte d’accès à la salle des serveurs et au périphérique USB qui a diffusé le logiciel malveillant. Comme le montrent ces deux exemples, les vecteurs d’attaque peuvent être divisés en ingénierie sociale électronique, ingénierie sociale physique et technique, qui inclut des vulnérabilités telles qu’une mauvaise configuration informatique. Vous avez peut­être remarqué dans ce dernier scénario qu’il existait plusieurs vecteurs d’attaque. L'acteur malveillant devait d'abord accéder à l'installation avant d'accéder à la salle des serveurs, et l'infection du serveur n'était que la première étape d'une chaîne d'événements pouvant inclure la reconnaissance et l'exfiltration de données. La préparation d’une campagne d’attaque est parfois appelée « voie d’attaque ». Une voie d'attaque est la chaîne d'événements qui se produit lorsque des vecteurs d'attaque sont exploités. Les menaces de cybersécurité peuvent être divisées en quatre catégories : l'ingénierie sociale, les logiciels malveillants (appelés logiciels malveillants), l'accès non autorisé à des lieux physiques ou à des systèmes informatiques et l'échec de la conception du système. L’ingénierie sociale consiste à utiliser la manipulation psychologique pour inciter les gens à prendre des mesures contraires à leur intérêt supérieur, comme la divulgation d’informations confidentielles. Les ingrédients d’une attaque d’ingénierie sociale réussie consistent généralement à gagner la confiance de la victime, puis à la contraindre à agir. Un logiciel malveillant est un logiciel conçu pour perturber, endommager ou obtenir un accès non autorisé à un système informatique. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 13 Machine Translated by Google Module Paysage des menaces Leçon sur les menaces de cybersécurité Un accès physique non autorisé pourrait être un mauvais acteur qui suivrait une personne autorisée à travers une porte après avoir glissé son badge. C’est ce qu’on appelle le talonnage. Un accès numérique non autorisé pourrait être un mauvais acteur qui surveille par­dessus l'épaule de quelqu'un pendant qu'il saisit ses informations d'identification. L’échec de la conception du système est une faille de sécurité dans un système informatique ou une application que l’acteur malveillant exploite pour accéder à un système informatique. Il existe de nombreux exemples de cyberattaques qui entrent dans une ou plusieurs de ces catégories. Les vecteurs d'attaque peuvent être classés de plusieurs manières et sont souvent combinés avec d'autres vecteurs pour obtenir le résultat souhaité. Par exemple, une attaque par déni de service distribué (DDoS) implique un serveur de commande et de contrôle (C&C) signalant à des milliers d'ordinateurs infectés d'envoyer des requêtes à un serveur ciblé en même temps. Cependant, avant qu’une attaque DDoS puisse être invoquée, l’acteur malveillant doit d’abord infecter des milliers d’ordinateurs. Comment font­ils cela? Une méthode courante est le phishing. Le méchant peut envoyer un e­mail de phishing à des millions d’utilisateurs sans méfiance, et certains de ces utilisateurs cliqueront sur le lien fourni pour installer des logiciels malveillants sur leurs ordinateurs. D'autres formes de phishing, telles que le phishing par baleine ou le spearphishing, peuvent ne pas convenir à la création d'un botnet DDoS ou d'une ferme d'ordinateurs infectés, mais elles conviendraient à l'installation d'un cheval de Troie ou d'un ransomware sur l'ordinateur d'une personne spécifique. Le Whale Phishing est une attaque de phishing visant une cible de grande valeur, telle qu'un PDG ou un directeur financier d'une organisation. Ces individus sont des cibles car ils disposent de privilèges d’accès aux serveurs et aux bases de données auxquels l’acteur malveillant souhaite accéder. L'e­mail est soigneusement conçu pour être plausible et personnalisé afin de garantir que la cible ne soit pas alertée de l'arnaque. L'e­mail peut contenir un document joint ou un lien. Une fois ouvert, le document semble totalement inoffensif, mais en coulisse, un malware est installé sur l'ordinateur de la cible. C’est ce qu’on appelle une attaque de cheval de Troie. À partir de là, le logiciel malveillant peut exploiter les privilèges réseau de l'individu pour accéder à d'autres ordinateurs et les infecter. L'ordinateur initialement ciblé n'est que le point d'accès au réseau dans le cadre d'une attaque en plusieurs étapes. Cliquez sur les termes soulignés pour plus d'informations. Comme vous pouvez le constater, certains vecteurs d'attaque, tels que le phishing, sont utilisés pour exploiter une faiblesse afin de prendre pied dans un système informatique, tandis que d'autres vecteurs d'attaque, tels que les DDoS, les ransomwares et les chevaux de Troie, sont utilisés lors de la phase post­exploit. scène. La faiblesse exploitée peut être humaine, informatique ou une combinaison des deux. Dans le cas du phishing, la faiblesse vient de la nature humaine. C'est un trait par défaut de la nature humaine de faire confiance, surtout si une demande semble provenir d'une source officielle ou si vous connaissez la personne ou la chose qui fait la demande. Un exemple d’exploitation de la technologie informatique pendant la phase de pré­exploitation est l’attaque d’anniversaire. Cette attaque exploite une faiblesse de certains algorithmes de hachage, souvent utilisés pour protéger les mots de passe. Enfin, une attaque par force brute est généralement une méthode permettant de voler les informations d'identification d'une personne. Il s’agit simplement d’essayer toutes les combinaisons possibles jusqu’à ce que le mauvais acteur devine correctement, mais le succès dépend de l’individu ciblé qui utilise un mot de passe faible. Ce type d’attaque est un pré­exploit et repose sur la faillibilité humaine. Si vous étiez administrateur réseau, vous pourriez neutraliser cette attaque en mettant en œuvre une politique de mot de passe forte. Comme cela le suggère, il existe de nombreuses mesures de neutralisation que vous pouvez prendre contre les vecteurs d’attaque répertoriés. Tout au long de ce cours, vous découvrirez davantage de vecteurs d'attaque déployés par de mauvais acteurs et les mesures utilisées pour les contrer. Cliquez sur le terme souligné pour plus d'informations. Vous avez terminé la leçon. Tu es capable de: l Décrire les menaces de cybersécurité et citer des exemples. l Répertoriez les principales catégories de cybermenaces. l Décrire les vecteurs d'attaque profilés. 14 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module Paysage des menaces Leçon sur les renseignements sur les menaces Leçon sur les renseignements sur les menaces Bienvenue dans la leçon sur les renseignements sur les menaces . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Définir les renseignements sur les menaces. l Décrire les normes de formatage pour les renseignements sur les menaces. l Décrire les étapes de traitement des renseignements sur les menaces. Qu’est­ce que le renseignement sur les menaces ? Selon Gartner, les renseignements sur les menaces sont des connaissances fondées sur des preuves, comprenant le contexte, les mécanismes, les indicateurs, les implications et les conseils pratiques, sur une menace ou un danger existant ou émergent pour les actifs, qui peuvent être utilisées pour éclairer les décisions concernant la réponse du sujet à cette menace ou à ce danger. . Cette définition vous indique que le renseignement sur les menaces possède trois caractéristiques requises. Les renseignements sur les menaces sont des informations pertinentes, exploitables et contextuelles. Les renseignements sur les menaces doivent être pertinents pour votre organisation. Par exemple, si vous recevez des informations indiquant l'existence d'un nouveau virus informatique exploitant une vulnérabilité de macOS, mais que votre organisation n'utilise pas de produits Apple, ces informations ne concernent pas votre organisation. Bien que ces informations soient pertinentes pour une organisation qui utilise des produits Apple, elles ne constituent pas des renseignements sur les menaces pour votre organisation. Les renseignements sur les menaces doivent être exploitables, ce qui signifie qu'ils fournissent suffisamment d'informations pour que vous puissiez prendre des mesures pour protéger votre organisation. Par exemple, si vous apprenez que le groupe de mauvais acteurs Dynamite Panda vient de lancer une nouvelle campagne d'attaques contre des établissements médicaux, cela ne vous fournit pas à lui seul suffisamment d'informations pour agir. Les renseignements sur les menaces doivent être contextuels, ce qui signifie qu’il existe suffisamment d’informations pour permettre à un analyste du renseignement d’évaluer la menace. La vulnérabilité macOS mentionnée précédemment en est un bon exemple. Bien qu'une vulnérabilité dans macOS puisse être préoccupante, si votre organisation gère et analyse correctement ses actifs réseau, l'équipe de sécurité devrait être en mesure de déterminer rapidement s'il existe des appareils macOS n'importe où sur le réseau. S’il n’en existe aucune, cette vulnérabilité ne représente probablement aucune menace pour l’organisation. C’est ce contexte supplémentaire (les actifs du réseau de connaissances) qui peut transformer les informations en renseignements sur les menaces. L’exemple de l’histoire de Dynamite Panda peut également étayer ce point. Les informations selon lesquelles ce groupe de mauvais acteurs cible exclusivement des secteurs verticaux américains spécifiques deviennent des renseignements sur les menaces, car ils vous aident à évaluer la menace qui pèse sur votre propre organisation. Considérés isolément, de nombreux éléments d’information ne constituent pas du renseignement sur les menaces. Cependant, lorsqu’on les considère avec d’autres informations supplémentaires, ces informations initiales peuvent devenir des renseignements sur les menaces. Où trouvez­vous des renseignements sur les menaces ? Il existe une multitude de sources, tant externes qu'internes. Les informations recueillies par la propre équipe de sécurité informatique de votre organisation constituent une source interne de renseignements sur les menaces. Plus précisément, les sources internes se présentent sous la forme de journaux de serveur, de journaux de périphériques réseau, de rapports d'incidents passés, de trafic réseau capturé, de résultats de tests d'intrusion, etc. Ces données brutes sont organisées et contextualisées en informations, et certaines de ces informations sont pertinentes, exploitables et contextuelles, ce qui en fait des renseignements sur les menaces. En externe, les renseignements sur les menaces peuvent provenir de diverses sources et les informations sont souvent gratuites. Certaines sources externes de renseignements sur les menaces sont les sites gouvernementaux, tels que le Département de la sécurité intérieure, le FBI et le National Institute of Standards and Technology (NIST) aux États­Unis. Ces sites ne fournissent généralement pas d'informations spécifiques sur les logiciels malveillants individuels, mais ils offrent des conseils utiles sur la façon de vous protéger contre les attaques, telles que les ransomwares, ainsi que des informations opportunes sur les tendances en matière d'escroqueries et de méthodes d'attaque. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 15 Machine Translated by Google Leçon sur les renseignements sur les menaces Module Paysage des menaces Les renseignements peuvent provenir de sources privées, telles que le SANS Institute et FortiGuard, le service de recherche et de renseignement sur les menaces de Fortinet. Certains services FortiGuard sont proposés par abonnement, mais la plupart des informations sur les menaces trouvées sur le site Web FortiGuard sont disponibles gratuitement. Il décrit le fonctionnement de chaque variante de malware et utilise un système d’évaluation de la gravité pour classer le danger que représentent ces variantes. Les organisations peuvent utiliser ces informations pour hiérarchiser les ressources afin de contrer les menaces les plus dangereuses. Il existe également le Common Vulnerability Scoring System (CVSS). CVSS est une norme industrielle gratuite et ouverte utilisée pour évaluer les vulnérabilités des systèmes informatiques. Une évaluation CVSS produit un score numérique pour évaluer la gravité. Le score, qui évalue la vulnérabilité de zéro à dix (dix étant la plus grave), est calculé à l'aide de différents ensembles de mesures. Les mesures incluent des facteurs tels que le degré d'exploitabilité de la vulnérabilité, l'impact de la vulnérabilité sur les systèmes et l'efficacité des efforts d'atténuation contre les nouveaux exploits à mesure que la campagne progresse. Pour une description plus détaillée de ces métriques, recherchez le système commun de notation des vulnérabilités sur nvd.nist.gov/vuln­metrics/cvss. CVSS est un exemple de renseignement open source (OSINT). Si vous recherchez OSINT sur Internet, vous découvrirez de nombreuses autres sources de renseignements gratuits sur les menaces. MITRE ATT&CK est une autre source publique inestimable de renseignements sur les cybermenaces. MITRE ATT&CK partage librement une base de connaissances sur les tactiques et techniques de l'adversaire. Enfin, certains secteurs verticaux partagent des renseignements sur les menaces. Par exemple, les banques brésiliennes partagent entre elles leurs renseignements sur les menaces. Il existe également d’autres services et outils de renseignement sur les menaces, notamment des renseignements open source, comme Maltego et le projet MISP. Il existe également des normes reconnues qui permettent de partager et de décrire les cybermenaces dans un langage compris par la communauté du cyber­renseignement. Une norme est appelée expression structurée des informations sur les menaces (STIX). Un autre est appelé échange automatisé de confiance d’informations sur les indicateurs (TAXII). STIX est défini comme un effort collaboratif mené par la communauté pour définir et développer un langage structuré pour représenter les informations sur les cybermenaces. Il fournit des informations sur les acteurs malveillants, les incidents survenus, les indicateurs de compromission (IoC) ainsi que les tactiques et exploits utilisés pour mener des attaques. STIX recommande également des actions pour atténuer les incidents qu'il signale. TAXII est un protocole d'application permettant d'échanger des renseignements sur les cybermenaces (CTI) via HTTPS. Il définit une API RESTful et un ensemble d'exigences pour les clients et serveurs TAXII. En utilisant des services, des messages et des échanges de messages standardisés, TAXII élimine le besoin de mises en œuvre d'échanges point à point personnalisées et facilite le partage de CTI vitaux. Comme le montre le diagramme, une organisation cliente de TAXII peut demander des informations et publier de nouvelles informations sur les menaces sur un serveur TAXII, qui peuvent ensuite être partagées avec d'autres abonnés. Cliquez sur le terme souligné pour plus d'informations. Même si savoir où collecter des renseignements sur les menaces est une bonne première étape, il est sans doute plus important de savoir comment les utiliser, car les informations inertes ne valent rien. Il existe un processus que vous pouvez suivre pour convertir des données de masse en informations ciblées sur les menaces sur lesquelles vous pouvez agir. Tout d’abord, identifiez les principales menaces qui pèsent sur votre réseau ; c’est­à­dire les menaces qu’il est le plus vital d’arrêter. Parce qu’il existe un volume inépuisable de cybermenaces, il est impossible de toutes les arrêter, et tenter de le faire disperserait et diminuerait dangereusement les cyberdéfenses. Des sites Web tels que CVSS et FortiGuard vous aideront à répondre à cette question, car ils fournissent des informations sur les menaces les plus actuelles avec leurs niveaux de gravité. Mais les menaces pertinentes peuvent également être déterminées par le secteur vertical ou l'activité de votre organisation. Par exemple, si vous protégez un hôpital contre les cyberattaques, les ransomwares figurent probablement en bonne place sur la liste des méthodes d’attaque employées par les acteurs malveillants. En revanche, si vous défendez le ministère de la Défense, les attaques impliquant une exfiltration sont plus probables. 16 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module Paysage des menaces Leçon sur les renseignements sur les menaces Deuxièmement, rassemblez des informations sur les menaces provenant de vos sources internes et externes. Troisièmement, traitez ces informations. Cela peut impliquer de se concentrer sur les informations les plus pertinentes par rapport aux principales menaces que vous avez identifiées lors de la première étape. Le traitement impliquera probablement également de définir des lignes de base de normalité dans les activités du réseau. Le but est de vous aider à reconnaître les activités réseau anormales. En séparant le bruit du signal, en éliminant les données sans conséquence, vous êtes mieux en mesure de vous concentrer et de traiter les informations pertinentes. Quatrièmement, analysez les informations et recherchez des indicateurs de compromission (IoC). Cinquièmement, diffusez votre analyse, ainsi que toute nouvelle information, à vos amis et partenaires. Cet effort est facilité par STIX et TAXII. Et sixièmement, mettre en œuvre les leçons apprises au cours du processus. Les informations modifient­elles les menaces que vous considérez comme les plus dangereuses pour votre organisation ? Cela affecte­t­il les informations que vous collectez ou la manière dont vous traitez et analysez les informations ? Comme vous pouvez le constater, le processus fonctionne comme une boucle continue. Vous avez terminé cette leçon. Vous êtes désormais capable de : l Définir les renseignements sur les menaces. l Décrire les normes de formatage pour les renseignements sur les menaces. l Décrire les étapes de traitement des renseignements sur les menaces. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 17 Machine Translated by Google Leçon sur les cadres d'attaque Module Paysage des menaces Leçon sur les cadres d'attaque Bienvenue dans la leçon sur les frameworks d'attaque . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Décrire la chaîne de cyber­kill. l Répertoriez et expliquez les étapes de la Cyber Kill Chain. l Expliquer les avantages de la matrice MITRE ATT&CK. Pour mieux comprendre et se défendre contre les cyberattaques, il est utile d'examiner les différents cadres qui ont été développés pour les classer et les analyser. Ces cadres fournissent une structure permettant d'identifier les différentes étapes d'une attaque, de discerner les différentes tactiques utilisées au cours de ces étapes, d'analyser leur impact et d'élaborer des stratégies de prévention et de réponse. Des cadres d’attaque ont été développés en réponse à des cyberattaques plus sophistiquées et plus longues que par le passé. Ces types d'attaques, qui peuvent impliquer de longues périodes de surveillance et de planification avant d'attaquer méthodiquement un réseau informatique ciblé, sont souvent appelés menaces persistantes avancées (APT). Même si les cadres d’attaque intègrent des connaissances approfondies sur les tactiques et techniques des attaquants, ils constituent bien plus qu’une base de connaissances. Vous devez plutôt considérer les cadres d’attaque comme une boîte à outils permettant aux professionnels de la cybersécurité d’améliorer la posture de sécurité d’une organisation. Cyber Kill Chain et MITRE ATT&CK de Lockheed Martin ne sont que deux des nombreux cadres de cyberattaque du secteur. Vous utiliserez probablement au moins un de ces frameworks au cours d’une carrière en cybersécurité. L'un des cadres les plus largement utilisés pour analyser les cyberattaques est la Cyber Kill Chain, développée par Lockheed Martin en 2011. La Cyber Kill Chain est un modèle en sept étapes qui décrit les étapes d'une cyberattaque, depuis la reconnaissance initiale et la militarisation de l'attaque. jusqu’à l’exploitation finale et l’exfiltration des données. La première étape de la Cyber Kill Chain est la reconnaissance, au cours de laquelle l'attaquant collecte des informations sur la cible et ses vulnérabilités. Cela peut impliquer l'utilisation d'outils tels que les moteurs de recherche, les médias sociaux et d'autres sources ouvertes pour recueillir des renseignements sur l'organisation cible et ses systèmes. La deuxième étape est la militarisation, dans laquelle l'attaquant crée une charge utile ou un exploit qui peut être transmis à la cible. Cela peut impliquer la création de logiciels malveillants ou d'autres codes malveillants, tels qu'un virus ou un cheval de Troie, et leur conditionnement d'une manière difficile à détecter. Par exemple, il peut s'agir d'un document Microsoft Word d'apparence inoffensive mais infecté, destiné à être envoyé via un e­mail de phishing. La troisième étape est la livraison, au cours de laquelle l'attaquant livre la charge utile à la cible. Cela peut impliquer l'envoi d'un e­mail avec une pièce jointe malveillante ou l'exploitation d'une vulnérabilité d'un site Web pour injecter la charge utile dans le système de la cible. La quatrième étape est l'exploitation, dans laquelle l'attaquant utilise la charge utile pour accéder aux systèmes ou aux données de la cible. Cela peut impliquer l'exécution de la charge utile pour exploiter une vulnérabilité du logiciel ou du système d'exploitation de la cible, ou l'utilisation de la charge utile pour accéder au réseau de la cible. La cinquième étape est l'installation, au cours de laquelle l'attaquant prend pied dans les systèmes de la cible. Cela peut impliquer l'installation d'un rootkit ou d'un autre logiciel malveillant permettant à l'attaquant de conserver l'accès aux systèmes de la cible même si la charge utile initiale est détectée et supprimée. Cliquez sur les mots soulignés pour plus d'informations. 18 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module Paysage des menaces Leçon sur les cadres d'attaque La sixième étape est le commandement et le contrôle, au cours duquel l'attaquant établit un moyen de communication avec les systèmes compromis. Cela peut impliquer la configuration d’un serveur de commande et de contrôle ou l’utilisation d’autres méthodes pour communiquer à distance avec les systèmes compromis. La dernière étape de la Cyber Kill Chain est l’exfiltration, dans laquelle l’attaquant extrait les données ou autres actifs qui étaient l’objectif de l’attaque. Cela peut impliquer la copie de données sensibles vers un emplacement distant ou l'utilisation de systèmes compromis pour lancer d'autres attaques sur d'autres cibles. Kill Chain de Lockheed Martin a beaucoup contribué à faire progresser la compréhension des étapes progressives d'une cyberattaque. Cependant, il émet certaines hypothèses qui réduisent son efficacité. Un inconvénient majeur de la Cyber Kill Chain est qu’elle suppose que l’origine d’une attaque est externe au réseau. En outre, la méthodologie de la kill chain vise à renforcer les méthodes de défense traditionnelles. D’autres cadres de cyberattaques sont apparus, en partie, à cause des limitations de la Cyber Kill Chain. En 2013, la MITRE Corporation a publié les tactiques, techniques et connaissances communes ou lignes directrices MITRE ATT&CK. La ligne directrice classifie et décrit les cyberattaques et les intrusions. Ainsi, comme la Cyber Kill Chain, elle vous aidera à comprendre la méthodologie de l’attaquant, mais MITRE est bien plus que cela. Il s’agit d’une ressource en constante évolution qui fournit un langage et une approche communs pour comprendre et atténuer les cyberattaques. La matrice est organisée en une série de « techniques » qui décrivent les tactiques et méthodes spécifiques utilisées par les attaquants pour compromettre les systèmes et voler ou manipuler des informations. Ces techniques sont regroupées en catégories en fonction du type d'attaque ou d'activité effectuée, telles que « Accès initial », « Exécution » et « Évasion de défense ». L’un des principaux avantages de la matrice MITRE ATT&CK est qu’elle fournit un langage et un cadre communs pour discuter et analyser les cybermenaces. Cela permet aux organisations de communiquer et de coordonner leurs efforts pour prévenir et répondre plus efficacement aux attaques. La matrice aide également les organisations à identifier et à hiérarchiser les menaces et vulnérabilités les plus critiques en les mappant aux techniques et catégories appropriées. La matrice constitue également une ressource précieuse pour les professionnels de la sécurité, car elle fournit un aperçu complet des tactiques, techniques et procédures (TTP) utilisées par les attaquants. Cela permet aux équipes de sécurité de mieux comprendre les méthodes et les motivations des attaquants, et de concevoir et mettre en œuvre des contre­mesures pour prévenir ou atténuer les attaques plus efficacement. Vous avez terminé la leçon. Tu es capable de: l Décrire la Cyber Kill Chain. l Répertoriez et expliquez les étapes de la Cyber Kill Chain. l Expliquer les avantages de la matrice MITRE ATT&CK. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 19 Machine Translated by Google Module d'ingénierie sociale Leçon de présentation de l’ingénierie sociale Bienvenue dans l'introduction du module d'ingénierie sociale . Cliquez sur Suivant pour commencer. Qu’est­ce que l’ingénierie sociale ? Entendu dans le contexte de la sécurité de l’information, il s’agit de l’acte de manipuler les gens pour obtenir un avantage, souvent aux dépens des personnes ciblées. Toutes les attaques d’ingénierie sociale sont conçues pour profiter à l’attaquant. La plupart des attaques d’ingénierie sociale réussies sont préjudiciables à leurs victimes. Les attaques d'ingénierie sociale peuvent entraîner une perte de données confidentielles, un chantage ou un détournement de fonds, une perturbation ou des dommages à un réseau, le déni de services réseau, l'alignement de l'opinion de la cible sur celle de l'attaquant suite à une manipulation, ou une combinaison de tous ces éléments. ces résultats. Il existe de nombreuses méthodes différentes (physiques et numériques) d’attaque d’ingénierie sociale. Quelques exemples de ces méthodes incluent un acteur malveillant convainquant une cible de lui permettre d'accéder à une zone restreinte, ou un e­mail envoyé à une cible la convainquant de cliquer sur un lien fourni. Dans les deux exemples, la manipulation est le moyen utilisé pour obtenir l’action souhaitée de la part de l’individu ciblé. L’ingénierie sociale fonctionne parce que les gens sont vulnérables à la manipulation. Comment se protéger de telles attaques ? En étant informé et plus attentif aux techniques d’ingénierie sociale, vous serez moins susceptible d’être victime de ce type d’attaque. Les leçons du module Ingénierie Sociale fournissent une compréhension essentielle des fondamentaux nécessaires pour atteindre vos objectifs. Vous pourrez: Décrire les différentes méthodes d'ingénierie sociale. Vous avez déjà vu deux exemples, mais il existe bien d’autres méthodes et techniques utilisées par les mauvais acteurs pour atteindre leurs objectifs. Vous pourrez: Décrire les vecteurs d'attaque, les méthodes et les indicateurs de menace associés aux menaces internes. Les mauvais acteurs comptent sur votre complaisance pour mettre en œuvre leurs plans, et plus vous vous sentez en sécurité, plus les mauvais acteurs sont heureux. Mais le sentiment de sécurité est trompeur. Vous vous sentirez peut­être le plus en sécurité avec ceux avec qui vous travaillez, ce qui peut vous amener à baisser votre garde. Néanmoins, vous pouvez être certain que les mauvais acteurs en profiteront. Et vous pourrez : Décrivez la fraude, les escroqueries et les campagnes d'influence. La fraude et les escroqueries sont généralement des transactions à court terme destinées à escroquer les gens. En revanche, les campagnes d'influence peuvent être des opérations longues et sophistiquées qui affectent les opinions des gens, voire leur moral. Bien que les objectifs des fraudes, des escroqueries et des campagnes d'influence puissent être différents de ceux du phishing, du baiting ou des attaques de points d'eau, ils reposent tous sur la manipulation psychologique pour faire profiter l'instigateur, et souvent au détriment des cibles humaines, ce qui est souvent le cas. ingénierie sociale. 20 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module d'ingénierie sociale Leçon de présentation de l’ingénierie sociale Passez à la première leçon pour commencer. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 21 Machine Translated by Google Techniques d'ingénierie sociale, partie A, leçon Module d'ingénierie sociale Techniques d'ingénierie sociale, partie A, leçon Bienvenue dans la leçon Techniques d’ingénierie sociale, partie A. Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Expliquer l’ingénierie sociale. l Décrire les différentes méthodes d'ingénierie sociale. Qu’est­ce que l’ingénierie sociale ? L’ingénierie sociale est un terme qui vous a déjà été présenté mais, compte tenu de son importance, il mérite d’être revisité. Selon une source, l’ingénierie sociale reste l’une des principales causes de violations des réseaux. L’ingénierie sociale fait référence à un large éventail d’attaques qui exploitent les émotions humaines pour manipuler une cible. L'attaque peut inciter la cible à l'action ou à l'inaction. En fin de compte, l’ingénierie sociale vise à orienter la cible dans une direction prescrite par l’orchestrateur et souvent au détriment de la cible. Des exemples d'objectifs d'ingénierie sociale incluent la divulgation d'informations confidentielles, le transfert d'argent et l'influence d'une ou plusieurs personnes à penser d'une certaine manière. Deux caractéristiques importantes de l’ingénierie sociale sont : l Premièrement, l’objectif est d’obtenir un résultat souhaitable pour l’orchestrateur, et l Deuxièmement, la méthode est la manipulation émotionnelle. Pour repérer une attaque d’ingénierie sociale, recherchez les signes suivants : l Un plaidoyer émotionnel qui exploite la peur, la curiosité, l'excitation, la colère, la tristesse ou la culpabilité. l Un sentiment d’urgence autour de la demande, et l Une tentative d’établir la confiance avec le destinataire Soyez prudent lorsque vous recevez un message comportant l'un de ces attributs. Ne laissez pas un mauvais acteur tirer vos ficelles. Le mauvais acteur a imaginé une pièce et il veut que vous jouiez le rôle tragique. Ne le fais pas ! Cliquez sur l'icône pour plus d'informations. Le mauvais acteur d’ingénierie sociale le plus célèbre est peut­être Frank Abagnale. Sa vie criminelle a été décrite dans le film Arrête­moi si tu peux et dans une autobiographie du même nom. Le livre et le film révèlent comment Abagnale a réussi à se faire passer pour un médecin, un avocat et un pilote d'avion pour gagner la confiance des gens et en profiter. En 2011, un attaquant a compromis le réseau d'une entreprise de sécurité réputée en envoyant des e­mails de phishing à des groupes d'employés, en utilisant une méthode connue sous le nom de spear phishing. Les e­mails étaient accompagnés d'une feuille de calcul Excel. La feuille de calcul contenait un code malveillant intégré, qui exploitait une vulnérabilité d'Adobe Flash pour installer une porte dérobée dans l'ordinateur hôte. Malheureusement, au moins un employé a ouvert la pièce jointe. Il n’en faut qu’un. Comme vous pouvez le constater à partir de ces deux exemples, il existe de nombreuses méthodes ou vecteurs d’attaque qu’un acteur malveillant peut utiliser pour exécuter une attaque d’ingénierie sociale. Un mauvais acteur de l’ingénierie sociale peut parler directement à la cible humaine, comme Frank Abagnale, ou communiquer par courrier électronique ou par une autre méthode. Dans cette leçon, vous apprendrez les différentes méthodes d’attaque d’ingénierie sociale. Vous connaissez déjà le terme phishing et vous avez probablement de l'expérience avec les e­mails de phishing. J'espère que vous n'en avez pas été victime. Les deux caractéristiques importantes du phishing sont qu’il exploite le courrier électronique comme vecteur d’attaque et qu’il cible toute personne possédant une adresse électronique. L'attaque est aveugle, dans la mesure où celui qui reçoit le 22 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module d'ingénierie sociale Techniques d'ingénierie sociale, partie A, leçon e­mail. Le phishing est simplement du spam malveillant envoyé au plus grand nombre de personnes possible dans l'espoir qu'au moins une d'entre elles soit interceptée. Cependant, le phishing peut également avoir une signification catégorielle : il peut être utilisé pour désigner toutes les attaques électroniques d'ingénierie sociale, telles que comme le spear phishing, le whaling, le smishing et le vishing. Il existe de nombreuses variantes du phishing, dont certaines pourraient faire partie d’une campagne sophistiquée et nécessiter des recherches et une reconnaissance de la part de l’attaquant. Le spear phishing et le whaling entrent dans cette catégorie. Le spear phishing et le whaling peuvent être décrits comme une attaque d’ingénierie sociale qui utilise le courrier électronique pour cibler un individu ou un groupe spécifique dans le but de voler des informations confidentielles ou d’en tirer profit d’une manière ou d’une autre. Tout comme le phishing, le spear phishing et le whaling utilisent le courrier électronique comme vecteur d'attaque, mais en gardant à l'esprit des cibles spécifiques. Cliquez sur les icônes pour consulter les différentes descriptions des types de phishing. Quelle est alors la différence entre le spear phishing et le whaling ? Dans une attaque de spear phishing, l’acteur malveillant cible un individu ou une catégorie d’individus ayant un profil inférieur, comme les employés de cette entreprise de sécurité. Lors d’une attaque à la baleine, le mauvais acteur cible des individus de haut rang au sein d’une organisation. Lors de la création d'un e­mail baleinier, l'attaquant effectue souvent des recherches sur sa cible afin de pouvoir personnaliser l'e­mail afin de gagner la confiance de sa cible. Le travail supplémentaire est très souvent payant, car les dirigeants et les membres du conseil d'administration peuvent être tout aussi vulnérables aux attaques par courrier électronique que ceux qui travaillent pour eux. L’une des attaques baleinières les plus réussies, et même l’une des attaques d’ingénierie sociale les plus réussies de tous les temps, a été menée contre une banque belge. Le PDG de la banque ne savait même pas qu'il avait été compromis jusqu'à ce qu'un audit interne de routine révèle que les attaquants s'étaient enfuis avec plus de 70 millions d'euros. Les agresseurs n'ont jamais été arrêtés ni traduits en justice. Depuis l'introduction du courrier électronique comme moyen de communication omniprésent, d'autres méthodes sont devenues populaires, telles que la messagerie instantanée, le chat en direct et les SMS ou messagerie texte. Ces méthodes peuvent également agir comme vecteurs de menace pour une attaque d’ingénierie sociale, de la même manière que le courrier électronique est utilisé. Une attaque de type phishing qui utilise ces médias est connue sous le nom de smishing. Son nom vient de la combinaison des SMS et du phishing. D’autres attaques d’ingénierie sociale peuvent avoir lieu via un téléphone ou un appareil mobile. Ces types d'attaques sont appelés vishing. Son nom est dérivé de la combinaison de la voix et du phishing. En mars 2019, le PDG d’un fournisseur d’énergie britannique a reçu un appel téléphonique d’une personne qui ressemblait exactement à son patron. Il est connu que les fraudeurs utilisent la technologie vocale de l’IA pour usurper l’identité d’autres personnes. L’appel a été si convaincant que le PDG a fini par transférer 243 000 $ à un « fournisseur hongrois », qui était un compte bancaire appartenant au mauvais acteur. Ces types d’attaques sont identiques au phishing, au spear phishing ou au whaling, sauf que les vecteurs d’attaque sont différents. Ils peuvent également être tout aussi rentables. En 2020, un groupe de hackers a pris le contrôle de 130 comptes sur une plateforme de réseau social bien connue, dont ceux appartenant à plusieurs célébrités. Ils ont téléchargé les données des utilisateurs, accédé à la messagerie directe et publié des tweets demandant des dons à un portefeuille Bitcoin. En quelques minutes, les mauvais acteurs avaient gagné 110 000 $ grâce à 320 transactions. Bien que la méthode utilisée pour prendre le contrôle de ces comptes reste inconnue, il est supposé que les employés de la plateforme médiatique ont été trompés en révélant les informations d'identification de leur compte, ce qui permettait d'accéder à ces comptes. Les acteurs malveillants de l’ingénierie sociale utilisent d’autres tactiques qui ne se limitent pas à un seul vecteur d’attaque. Ils peuvent utiliser le courrier électronique, la messagerie, la voix ou même parler face à face à la cible. Une tactique est appelée quid pro quo, une expression latine qui signifie « une chose pour une autre ». Dans le contexte de l’ingénierie sociale, une attaque de contrepartie se produit lorsqu’un acteur malveillant propose un service, généralement un support technique, en échange d’un accès à des informations, telles que les identifiants des utilisateurs. Le faux­semblant est une autre tactique d’attaque. Il s'agit d'une situation, ou d'un prétexte, conçu pour provoquer une réponse émotionnelle de la part de la cible. Voici un exemple concret. La cible, un grand­père, reçoit un appel téléphonique de quelqu'un qui prétend être un policier, le mauvais acteur. Le policier annonce au grand­père que son petit­fils a été arrêté pour possession de stupéfiants. Le policier raconte également au grand­ père que son petit­fils a résisté à son arrestation et que, lors de la bagarre qui a suivi, le nez de son petit­fils s'est cassé. Le policier met alors le petit­ fils... Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 23 Machine Translated by Google Techniques d'ingénierie sociale, partie A, leçon Module d'ingénierie sociale un autre mauvais acteur – au téléphone, qui sanglote et supplie le grand­père de verser une caution. La voix du petit­fils ne semble pas tout à fait juste au grand­père, mais il pense que son petit­fils sanglote et qu'il a le nez cassé, après tout. Heureusement, le grand­père décide de raccrocher et de téléphoner aux parents du petit­fils pour vérifier si l'histoire est vraie. Une autre tactique utilisée par les mauvais acteurs est l’appâtage. L’appâtage peut prendre plusieurs formes et s’apparente au phishing. L'appâtage peut prendre la forme d'un e­mail, d'un SMS ou d'un appel téléphonique affirmant que vous avez gagné un prix ou que vous avez droit à une remise. L'appâtage repose sur des émotions positives, comme une récompense, pour vous inciter à agir. Une attaque d’appâtage peut également être subtile. Par exemple, un mauvais acteur laisse une clé USB dans un lieu public, comme le parking, le hall ou les toilettes de l’organisation ciblée. Une étiquette intrigante, telle que « salaires et rémunérations des managers », serait apposée sur la campagne. Le méchant compte sur vous pour être submergé de curiosité et connecter la clé USB à votre ordinateur. Lorsque vous le faites, le logiciel malveillant présent sur la clé USB installe une porte dérobée sur votre ordinateur et l'acteur malveillant dispose désormais d'une passerelle vers le réseau. Cliquez sur les icônes pour passer en revue les attaques d'ingénierie sociale. Vous avez terminé la leçon. Vous êtes désormais capable de : l Expliquer l’ingénierie sociale. l Décrire les différentes méthodes d'ingénierie sociale. 24 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module d'ingénierie sociale Leçon sur les techniques d'ingénierie sociale, partie B Leçon sur les techniques d'ingénierie sociale, partie B Bienvenue dans la leçon Techniques d'ingénierie sociale, partie B. Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Expliquer l’ingénierie sociale. l Décrire les différentes méthodes d'ingénierie sociale. Dans la leçon Techniques d’ingénierie sociale, partie A, les mauvais acteurs ont lancé des actions contre des cibles. Dans cette leçon, les attaques d’ingénierie sociale sont moins intrusives, et certaines d’entre elles pourraient même être qualifiées de clandestines. Les méthodes d’ingénierie sociale décrites ici dépendent toutes du fait que vous vous adressez au mauvais acteur, ou du moins c’est ainsi que cela apparaît. Vous surfez sur Internet lorsqu'un avertissement apparaît. L'avertissement indique que votre ordinateur est infecté par un logiciel malveillant et que pour nettoyer votre ordinateur, vous devez télécharger le logiciel antivirus en utilisant le lien fourni. Si cela vous est déjà arrivé, c'est que vous avez subi une attaque de scareware. Le logiciel antivirus proposé, gratuitement ou moyennant paiement, est très probablement un faux ou un logiciel malveillant. Une attaque par scareware est également appelée attaque malveillante. Lors d’une attaque de point d’eau, l’attaquant peut compromettre un site susceptible d’être visité par un groupe cible particulier. Il est connu que les mauvais acteurs exploitent les sites de médias sociaux, tels que Facebook et LinkedIn, pour nouer et entretenir des relations avec leurs cibles. Cela s’applique également au monde physique, où un mauvais acteur ou agent orchestrerait une rencontre fortuite dans un endroit que la cible est connue pour fréquenter. Si l’agent est talentueux, il peut transformer ce premier contact en une relation qu’il pourra exploiter. En cinématographie, un bon exemple de rencontre orchestrée peut être vu dans le film Red Sparrow où l'agent féminine, interprétée par Jennifer Lawrence, va nager dans une piscine publique où elle sait qu'elle pourrait atteindre sa cible. Son attrait garantit qu'il l'approchera, au lieu qu'elle l'engage, ce qui pourrait susciter des soupçons. Cliquez sur les icônes pour plus d'informations. Cela conduit à un autre type d’attaque qui trouve ses origines – du moins en termes de culture populaire – dans le monde de l’espionnage. Ce type d’attaque est connu sous le nom de piège en pot de miel. Les services secrets de certains pays recrutent de belles femmes instruites et les préparent à devenir des tentatrices professionnelles. Comme dans l’exemple précédent, l’agent est le pot de miel et la piscine publique est le point d’eau. En cybersécurité, les analystes White Hat peuvent appliquer le même concept pour renforcer les défenses des réseaux. Un pot de miel est un mécanisme de sécurité qui crée un piège virtuel pour attirer les attaquants. Un système informatique intentionnellement compromis permet aux attaquants d’exploiter les vulnérabilités. Les analystes peuvent ensuite étudier les tactiques de l'attaquant et utiliser ce qu'ils ont appris pour améliorer la sécurité du réseau. De nombreuses sociétés de sécurité réseau vendent des systèmes de pots de miel. Le nom du produit Honeypot Fortinet est FortiDeceptor. La dernière méthode d’attaque d’ingénierie sociale abordée dans cette leçon est appelée talonnage. Le talonnage implique un mauvais acteur qui suit une personne disposant d'une autorisation de sécurité dans un bâtiment sécurisé ou une pièce à accès contrôlé. Le mauvais acteur, ou talonneur, compte sur la courtoisie ou la sympathie de la cible pour accéder. Par exemple, la cible peut tenir une porte ouverte à quelqu’un qui la suit, sans savoir que cette personne a des intentions malveillantes. Ou peut­être que le mauvais acteur s'approche de sa cible en faisant semblant d'être chargé de colis et d'avoir besoin d'aide pour ouvrir la porte. Ou peut­être que l’attaquant prétend avoir oublié son laissez­passer de sécurité. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 25 Machine Translated by Google Leçon sur les techniques d'ingénierie sociale, partie B Module d'ingénierie sociale Bien qu'il soit professionnel et correct d'être courtois, si vous ne reconnaissez pas la personne ou ne connaissez pas son statut de sécurité, assurez­ vous de faire appel à la réception ou à la sécurité pour l'aider. Pour être clair, si un tailgater se glisse par la porte sans que vous le remarquiez, cela ne constitue pas une ingénierie sociale. Il doit y avoir une manipulation psychologique entre l’attaquant et la cible pour qu’une attaque soit considérée comme une ingénierie sociale. Une attaque peut être physique, comme un talonnage ; actif, comme la chasse à la baleine et le faux­ semblant; ou subtil, comme l'appâtage. Cliquez sur les icônes pour plus d'informations. Dans la vraie vie, les mauvais acteurs s’appuient souvent sur plusieurs méthodes et vecteurs d’attaque pour arriver à leurs fins. À mesure que la campagne d’attaque progresse et que de nouvelles cibles d’opportunité apparaissent, les tactiques et méthodes utilisées par les mauvais acteurs peuvent évoluer et changer. Considérez les techniques d'ingénierie sociale et divers types de logiciels malveillants, tels que les ransomwares, les chevaux de Troie, les portes dérobées, les vers, les robots et les attaques zero­day, comme des outils dans une boîte à outils qu'un attaquant peut utiliser selon les besoins de la situation. Tout comme un menuisier a besoin de plus qu’un marteau pour faire son travail, un cyberattaquant a besoin de différents outils et techniques pour faire le sien. L’histoire suivante est un exemple concret d’attaque d’ingénierie sociale réussie menée par une équipe de tests d’intrusion Blue Hat. L'analyste de l'équipe d'intrusion, qui a rendu compte des résultats lors de la conférence sur la sécurité de RSA Europe en 2012, n'a pas divulgué le nom de l'organisation, mais a révélé que l'organisation était spécialisée dans la cybersécurité. L'équipe a commencé à se préparer à l'attaque en créant une identité en ligne crédible sur LinkedIn pour une jolie femme fictive nommée Emily Williams. L'équipe a également mis en place des informations la concernant sur d'autres sites Web afin que les gens puissent faire correspondre les informations figurant sur ses profils de réseaux sociaux avec les informations obtenues via les recherches Google. Cela signifiait que de faux profils créés sur Facebook et d’autres sites de médias sociaux étaient utilisés pour corroborer les informations trouvées sur LinkedIn. Ils ont même posté sur certains forums universitaires en utilisant son nom. Selon ses faux profils sur les réseaux sociaux, il s'agissait d'une diplômée du MIT de 28 ans avec dix ans d'expérience qui prétendait avoir été embauchée par l'organisation ciblée. Au cours des 15 premières heures, Emily Williams avait 60 amis sur Facebook et 55 connexions LinkedIn avec des employés de l'organisation ciblée et ses sous­traitants. Après 24 heures, elle a reçu trois offres d'emploi d'autres entreprises. Bientôt, elle a reçu des approbations LinkedIn pour ses compétences, et des hommes travaillant pour l'organisation ciblée lui ont proposé de l'aider à démarrer plus rapidement dans son prétendu nouvel emploi. L'équipe, agissant sous le nom d'Emily, a réussi à manipuler les hommes pour qu'ils lui fournissent un ordinateur portable de travail et un accès au réseau tout en contournant les canaux appropriés et les procédures normales. En fait, elle a bénéficié de plus de privilèges de réseau que ce qu’elle aurait normalement reçu en tant que nouvelle recrue. L’équipe d’intrusion a décidé de ne pas utiliser l’ordinateur portable et l’accès au réseau, mais plutôt de poursuivre son attaque d’ingénierie sociale contre l’organisation. Pendant les vacances de Noël, l'équipe a créé un site avec une carte de Noël et a publié un lien vers celle­ci sur les profils de réseaux sociaux d'Emily. Les personnes qui visitaient le site étaient invitées à exécuter une applet Java signée qui ouvrait un shell inversé à l'équipe d'attaque, via une connexion SSL. Une fois en possession d'un shell, l'équipe a utilisé des exploits d'élévation de privilèges pour obtenir des droits d'administrateur et a pu détecter des mots de passe, installer d'autres applications et voler des documents contenant des informations sensibles. Même si cela ne faisait pas partie du plan, les sous­traitants de l'organisation ciblée ont également été trompés par l'attaque des cartes de Noël, notamment des employés de sociétés antivirus. Au moins une des victimes était un développeur ayant accès au code source. Il aurait pu être possible de compromettre le code source écrit pour l'organisation ciblée, ce qui aurait rendu encore plus difficile la détection d'une attaque contre l'organisation. Cliquez sur les icônes identifiées pour plus d'informations. Grâce à Facebook, l'équipe d'intrusion a appris de deux employés que le responsable de la sécurité des informations de leur organisation était sur le point de fêter son anniversaire. Bien que cet individu n'ait pas été exposé sur les réseaux sociaux, l'équipe d'intrusion lui a envoyé un e­mail contenant une carte d'anniversaire qui semblait provenir de l'un des deux employés qui avaient parlé de l'événement sur Facebook. Après avoir cliqué sur le lien figurant sur la carte d'anniversaire malveillante, son 26 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module d'ingénierie sociale Leçon sur les techniques d'ingénierie sociale, partie B L'ordinateur a été infecté par un logiciel malveillant et, en raison de ses privilèges élevés au sein de l'organisation, une grande partie du réseau et des informations sensibles ont également été compromises. Cependant, l’équipe ne s’est pas concentrée uniquement sur des personnalités de haut niveau. L'attaque d'Emily Williams a commencé par cibler les employés de bas niveau, comme le personnel commercial et comptable. En se connectant ou en se liant d'abord d'amitié avec ces employés, l'équipe a gagné en crédibilité et en confiance, facilitant ainsi les percées auprès des personnes de rang supérieur. À mesure que le réseau social autour d’Emily Williams s’est développé, l’équipe d’attaque a pu cibler davantage de techniciens, de responsables de la sécurité et même de cadres. En bref, le succès de l'équipe de tests d'intrusion a confirmé que même les organisations techniquement sophistiquées peuvent être victimes d'attaques d'ingénierie sociale. Vous avez terminé cette leçon. Vous êtes désormais capable de : l Expliquer l’ingénierie sociale. l Décrire les différentes méthodes d'ingénierie sociale. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 27 Machine Translated by Google Leçon sur les menaces internes Module d'ingénierie sociale Leçon sur les menaces internes Bienvenue dans la leçon sur les menaces internes . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Définir la menace interne. l Expliquer les différents types d’initiés. l Décrire les différents vecteurs et méthodes de menace utilisés par ou contre les initiés. l Décrire les indicateurs de menace des menaces internes et les méthodes d'atténuation. Lorsqu’elles abordent la cybersécurité, les organisations ont tendance à se concentrer sur les menaces externes. Toutefois, étant donné qu’un nombre important de failles de sécurité sont dues à des personnes internes, les équipes de cybersécurité devraient répondre aux menaces internes par le biais d’initiatives telles que la sensibilisation des employés. Mais qu’est­ce qu’une menace interne ? Une menace interne est un ou plusieurs individus qui travaillent pour une organisation ou ont un accès autorisé à ses réseaux ou systèmes et qui constituent une menace physique ou une cybermenace pour l'organisation. L'initié est généralement un employé actuel, mais il peut également s'agir d'un ancien employé, d'un entrepreneur, d'un partenaire commercial, d'un membre du conseil d'administration ou même d'un imposteur qui a accès à des informations sensibles ou à des privilèges réseau. Cliquez sur l'icône pour plus d'informations. Il existe différentes manières de catégoriser les menaces internes et de leur attribuer des noms, mais il existe essentiellement deux groupes principaux : ceux qui aident involontairement de mauvais acteurs en raison d'une erreur humaine, d'un mauvais jugement ou d'une imprudence et ceux de l'intérieur qui agissent de manière malveillante. Le premier groupe pourrait être qualifié de négligent et le deuxième de malveillant. Ces deux catégories peuvent être encore subdivisées. Les principaux objectifs des menaces internes malveillantes, parfois appelées turncloaks, comprennent l'espionnage, la fraude, le vol de propriété intellectuelle et le sabotage. Voici un exemple : en 2020, un ancien dirigeant de l’entreprise A a volé des secrets commerciaux de sa division de voitures autonomes et les a remis à son nouvel employeur. Il a été condamné à 18 mois de prison. Les menaces internes malveillantes peuvent être divisées en trois types : les taupes, les collaborateurs et les loups solitaires. Les loups solitaires peuvent sembler aussi inoffensifs que les moutons, mais ils nourrissent des intentions malveillantes. Et comme leur nom l’indique, les loups solitaires travaillent de manière indépendante et sans influence extérieure. Les collaborateurs sont des utilisateurs autorisés qui travaillent avec un tiers. Le tiers peut être un concurrent, un État­ nation, un réseau criminel organisé ou un individu. Un troisième type d'initié malveillant est un étranger qui a accédé au réseau de l'organisation. Ils peuvent accéder à l’organisation en se faisant passer pour un fournisseur, un partenaire, un entrepreneur ou un employé. Ce type d’initié malveillant est connu sous le nom de taupe. L'attaque d'Emily Williams, abordée dans la leçon Techniques d'ingénierie sociale, partie B, est un exemple d'utilisation d'une taupe. Lors de l'attaque, Emily Williams a accédé au réseau de l'organisation ciblée en se faisant passer pour une employée. Cliquez sur l'icône pour plus d'informations. La catégorie la plus bénigne, mais tout aussi dangereuse, est celle des initiés imprudents qui aident par inadvertance un mauvais acteur. Ils sont victimes de phishing et d’autres attaques d’ingénierie sociale. La catégorie des initiés imprudents peut être subdivisée en deux groupes : les pions et les gaffeurs. Un pion est un utilisateur autorisé qui a été manipulé pour aider involontairement le mauvais acteur, souvent par le biais de techniques d'ingénierie sociale, comme le talonnage ou le spear phishing. Un exemple de pion est le responsable de la sécurité de l’information qui a été trompé par une carte d’anniversaire numérique lors de l’attaque d’Emily Williams. Une gaffe est un initié qui prend délibérément des mesures potentiellement nuisibles mais qui ne nourrit aucune intention malveillante. Ce type de 28 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module d'ingénierie sociale Leçon sur les menaces internes Un initié peut être décrit comme arrogant, ignorant ou incompétent, et comme quelqu'un qui refuse de reconnaître la nécessité de suivre les politiques et procédures de sécurité. Les agents malveillants utilisent de nombreuses méthodes et vecteurs d’attaque contre les initiés imprudents. Le vecteur d'attaque peut être physique. Les méthodes utilisées contre un vecteur d’attaque physique comprennent le talonnage ou le ferroutage, le surf sur l’épaule, la plongée dans les bennes à ordures et l’écoute clandestine. Le talonnage, ou ferroutage, est un type d'attaque technique dans lequel une personne non autorisée obtient un accès physique à une zone restreinte en suivant une personne autorisée. Le surf sur l'épaule utilise des techniques d'observation directe, comme regarder par­dessus l'épaule de quelqu'un, pour obtenir des informations. La plongée dans les bennes à ordures recherche des informations dans les ordures ou la corbeille de quelqu'un d'autre. La plongée dans les poubelles peut également avoir lieu dans une zone d'accès général, telle qu'une salle d'impression où des informations confidentielles sont imprimées et ne sont pas immédiatement récupérées. L'écoute clandestine dans un environnement physique peut consister à écouter une conversation au cours de laquelle des informations confidentielles sont discutées. D'un point de vue numérique, l'écoute clandestine fait référence à la surveillance ou au reniflage du réseau, qui se produit lorsqu'un acteur malveillant exploite un réseau non sécurisé ou vulnérable pour lire ou voler des informations lorsqu'elles transitent entre deux appareils. Les écoutes clandestines se produisent plus fréquemment dans les communications sans fil que sur les réseaux Ethernet, car les réseaux sans fil sont plus accessibles. Au sein des vecteurs d’attaque numérique, une pléthore de méthodes, notamment des attaques de spear phishing et des attaques à la baleine, sont utilisées pour tromper les initiés imprudents. Dans d’autres vecteurs d’attaque, comme la messagerie ou le téléphone, les initiés peuvent être victimes de smishing, de vishing ou de prétextes. Dans le vecteur d’attaque des médias sociaux, des attaques de points d’eau peuvent être utilisées. Ce sont des termes que vous devriez déjà connaître dans les leçons précédentes. Cliquez sur les icônes pour revoir leurs définitions. Une attaque interne peut être plus difficile à détecter qu’une attaque externe. Cela s’explique en partie par le fait qu’un interne a accès au réseau et en a des connaissances, ce qu’un attaquant externe n’a probablement pas. Il existe néanmoins des indicateurs comportementaux et numériques qui peuvent vous aider à détecter une éventuelle menace interne. Si un interne semble insatisfait de l’organisation, semble en vouloir à l’organisation ou commence à assumer davantage de tâches avec un enthousiasme excessif, cela pourrait être le signe d’une menace interne potentielle. Le contexte est tout. Il existe des personnalités fonceuses ou de type A qui relèvent de manière agressive de nouveaux défis. Cependant, si le comportement d'un employé change sensiblement sans explication logique, cela peut alors être un indicateur de menace. Les violations courantes, le mépris ouvert des politiques de l'organisation ou les tentatives de contournement de la sécurité sont également des indicateurs comportementaux possibles d'une menace interne. Une activité anormale au niveau du réseau est un indicateur numérique. Plusieurs activités sont traçables, telles que : l Activité à des moments inhabituels, comme se connecter au réseau à 4 heures du matin ou travailler toujours tard. l Volume de trafic, tel que le transfert de quantités inhabituelles de données au sein du réseau. l Type d'activité, comme l'accès à des ressources atypiques ou non nécessaires au travail de l'initié. Vous devez également être alerté des activités numériques, telles que : l Demandes répétées d'accès à des systèmes non pertinents pour leur fonction. l Utiliser des appareils non autorisés, tels que des clés USB. l Exploration du réseau et recherches délibérées d’informations sensibles. l Envoi par courrier électronique d'informations sensibles en dehors de l'organisation. Votre comportement en tant que personne travaillant pour une organisation peut compromettre ou améliorer la sécurité. Pour contribuer à rendre votre organisation plus sécurisée, suivez cette liste de recommandations : l Apprenez les politiques de sécurité de votre organisation. l Ne prenez pas de raccourcis autour des protocoles de sécurité. l Ne laissez pas les informations de connexion exposées. l Ne permettez pas le talonnage. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 29 Machine Translated by Google Leçon sur les menaces internes Module d'ingénierie sociale l Ne stockez pas de documents numériques confidentiels non cryptés et ne laissez pas de documents physiques non sécurisés. l Ne désactivez pas la sécurité et les contrôles des points finaux. Ne partagez pas d'informations exclusives ou confidentielles avec des personnes non autorisées. personnes. l Corrigez vos appareils dès que les mises à jour du système d'exploitation et des logiciels sont disponibles. Il existe des mesures que vous pouvez prendre pour protéger les actifs de votre organisation contre les menaces internes. Tout d’abord, identifiez les actifs critiques de votre organisation, à la fois logiques et physiques. Ceux­ci incluent les réseaux, les systèmes, les données confidentielles, les installations et les personnes. Classez et hiérarchisez chaque actif et identifiez l’état actuel de la protection de chaque actif. En priorisant les actifs, vous pouvez vous concentrer d’abord sur la sécurisation des actifs les plus importants. Des outils tels que les applications d'apprentissage automatique (ML) peuvent aider à analyser le flux de données et à hiérarchiser les alertes les plus pertinentes. Vous pouvez utiliser des outils d'investigation et d'analyse numériques, tels que l'analyse du comportement des utilisateurs et des événements (UEBA) pour vous aider à détecter, analyser et alerter l'équipe de sécurité de toute menace interne potentielle. L'analyse du comportement des utilisateurs et des appareils peut établir une base de référence pour l'activité normale d'accès aux données, tandis que la surveillance de l'activité des bases de données peut aider à identifier les violations des politiques. Déployez des outils qui surveillent l'activité des utilisateurs, ainsi que pour regrouper et corréler les informations d'activité provenant de plusieurs sources. Les logiciels de tromperie, tels que FortiDeceptor de Fortinet, établissent des pièges pour attirer les initiés malveillants et suivent leurs actions pour mieux comprendre leurs intentions. Les informations recueillies par une solution honeypot peuvent être partagées avec d’autres services de renseignement pour améliorer la détection et atténuer les attaques et les violations. Définir, documenter et diffuser les politiques de sécurité de l'organisation. Ensuite, offrez une formation à ceux qui travaillent pour votre organisation et effectuez un suivi avec des tests pour garantir la compréhension. Cela évite toute ambiguïté et établit une base pour l’application. Ils doivent reconnaître leur responsabilité de se conformer et de respecter les politiques de sécurité de l'organisation. C’est une bonne transition vers la recommandation finale : promouvoir une culture de sensibilisation à la sécurité. La promotion d’une culture soucieuse de la sécurité est essentielle pour atténuer les menaces internes. Inculquer les bonnes croyances et attitudes combat la négligence et réduit les risques de comportement malveillant. Vous avez terminé la leçon. Vous êtes désormais capable de : l Définir la menace interne. l Expliquer les différents types d’initiés. l Décrire les différents vecteurs et méthodes de menace utilisés par ou contre les initiés. l Décrire les indicateurs de menace des menaces internes et les méthodes d'atténuation. 30 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module d'ingénierie sociale Leçon sur la fraude, les escroqueries et les campagnes d'influence Leçon sur la fraude, les escroqueries et les campagnes d'influence Bienvenue dans la leçon sur la fraude, les escroqueries et les campagnes d'influence . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Décrire la fraude, les escroqueries et les campagnes d'influence. l Énumérez des exemples de cyberfraude et de cyberescroquerie. l Décrire comment se déroule une campagne d'influence en ligne typique. De plus en plus, Internet est devenu une plate­forme permettant à de mauvais acteurs de mettre en scène des fraudes, des escroqueries ou des influences malveillantes à grande échelle pour influencer les gens vers un point de vue particulier. Les méthodes utilisées pour atteindre les objectifs sordides de la fraude et des escroqueries font souvent appel à des techniques d’ingénierie sociale, telles que le phishing, associées à des logiciels malveillants. Dans cette leçon, vous découvrirez également les campagnes d'influence, qui sont une technique des médias sociaux pour diffuser des idées et manipuler les autres. Qu’est­ce que la cyberfraude ? La cyberfraude est une technique d'ingénierie sociale, un logiciel malveillant ou tout autre type de tromperie utilisée pour frauder ou profiter d'une personne ou d'une organisation à des fins financières ou personnelles. Que sont les cyberarnaques ? Les cyberescroqueries sont un type de fraude, mais elles sont généralement classées comme insignifiantes ou moins graves que la cyberfraude. Cela ne veut toutefois pas dire que les cyberarnaques sont anodines. Selon le FBI, les Américains âgés perdent plus de trois milliards de dollars chaque année à cause de divers types d’escroqueries. Les personnes âgées sont souvent ciblées parce qu’elles sont plus confiantes que les jeunes adultes et qu’elles disposent d’épargnes à vie. La fraude et les escroqueries sont des activités criminelles qui utilisent les mêmes vecteurs de menace et méthodes que vous avez vus dans les leçons précédentes. Voici des exemples de cyberfraude et de cyberescroqueries : l Copier des sites Web gouvernementaux : les acteurs malveillants utilisent le phishing, le spear phishing ou toute autre variante pour fournir un lien vers un faux site gouvernemental, généralement dans l'intention de voler les informations d'identification ou de carte de crédit de l'utilisateur. l Escroqueries liées aux rencontres et aux relations amoureuses : les acteurs malveillants exploitent les sites de rencontres légitimes, les réseaux sociaux et les salons de discussion pour obtenir des informations personnelles ou de l’argent auprès de personnes. l Fraude aux vacances : des acteurs malveillants proposent à leurs clients des vacances et des hébergements en ligne qui ne sont pas disponibles ou ne le sont pas. exister. l Fraude par mandat : ce type de fraude se produit lorsqu'un acteur malveillant pirate une transaction par courrier électronique, par exemple entre un client et un fournisseur. Le mauvais acteur envoie alors une facture en double avec les informations de compte bancaire du mauvais acteur et demande le paiement. l Pharming : les acteurs malveillants redirigent le trafic d'un site Web légitime vers un faux, tel qu'un site de commerce électronique ou bancaire. site. l Escroqueries aux cartes de vœux : ce type de fraude consiste à envoyer une carte de vœux malveillante à une personne le jour de son anniversaire ou lors d'une fête importante, comme Noël ou Pâques. Que sont les campagnes d'influence en ligne ? Les campagnes d’influence sont des efforts à grande échelle visant à modifier l’opinion publique. De telles campagnes sont généralement menées de mauvaise foi et cherchent à promouvoir un faux discours. Ces campagnes sont souvent menées par des groupes dotés de capacités élevées, pouvant aller jusqu'aux acteurs des États­nations. Voici comment une campagne d’influence pourrait se dérouler : (1) Le mauvais acteur crée de faux comptes d’utilisateurs sur les plateformes de médias sociaux. (2) Le mauvais acteur crée du contenu pour promouvoir un récit donné. (3) Ils publient ce contenu en tant que faux utilisateurs Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 31 Machine Translated by Google Leçon sur la fraude, les escroqueries et les campagnes d'influence Module d'ingénierie sociale sur de nombreux sites de médias sociaux. (4) De vraies personnes voient le contenu et commencent à le partager. (5) Après avoir atteint un certain seuil, les médias de masse reprennent l’histoire, amplifiant encore le récit. C’est la force des campagnes d’influence. Avec peu de frais et d’efforts, le mauvais acteur peut manipuler les opinions de centaines de milliers de personnes. La nature des médias sociaux permet aux acteurs malveillants d’opérer secrètement et sans crainte d’être identifiés comme la source de l’attaque. Attaquer publiquement un adversaire est susceptible d’entraîner des conséquences indésirables, mais retourner secrètement l’opinion publique contre lui est plus difficile à prouver et plus difficile à contrer. Considérez ce scénario. Deux restaurateurs sont des rivaux acharnés. Le propriétaire du restaurant A utilise des comptes de réseaux sociaux anonymes pour diffuser de la désinformation sur le propriétaire du restaurant B. Le propriétaire du restaurant A affirme que le propriétaire du restaurant B a refusé d'embaucher une personne sur cette base. la race de l'individu. D’autres se lancent sur les réseaux sociaux, exigent des représailles et boycottent le restaurant. Si le propriétaire du restaurant B accuse son rival de faire circuler des mensonges, cela pourrait facilement se retourner contre lui et provoquer davantage la foule qui signale la vertu. Peu importe ce que fait le propriétaire du restaurant B – garder le silence, nier l’accusation ou accuser son rival de jeu déloyal – c’est une proposition perdante. D’un autre côté, si quelqu’un fait ouvertement une fausse déclaration ou une fausse accusation, la victime peut alors engager un recours juridique, mettant ainsi en jeu la réputation de l’accusateur. Les campagnes d’influence peuvent également faire partie de la guerre hybride, menée par les « psyops », une division de l’armée. Dans ce scénario, les tactiques de guerre traditionnelles sont combinées à la stratégie politique et à la cyberguerre, qui peuvent inclure le piratage informatique, l’ingénierie sociale, les campagnes d’influence et la promotion de fausses nouvelles. Dans la guerre hybride, l’objectif des campagnes d’influence est d’affaiblir la détermination de l’ennemi en semant la confusion et la division. Vous avez terminé la leçon. Vous êtes désormais capable de : l Décrire la fraude, les escroqueries et les campagnes d'influence. l Énumérez des exemples de cyberfraude et de cyberescroquerie. l Décrire comment se déroule une campagne d'influence en ligne typique. 32 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module de logiciels malveillants Leçon de présentation des logiciels malveillants Bienvenue dans le module Malwares . Cliquez sur Suivant pour commencer. Qu’est­ce qu’un malware ? Le terme malware est l'abréviation d'un logiciel malveillant qui perturbe, endommage ou obtient un accès non autorisé à un ordinateur. Les acteurs malveillants conçoivent des logiciels malveillants pour effectuer diverses tâches, telles que modifier le comportement d'un programme, espionner les personnes utilisant l'ordinateur infecté, exfiltrer des données, chiffrer des informations importantes puis exiger une rançon ou refuser aux utilisateurs l'accès à un système. Le but de chaque type de malware dépend des objectifs des mauvais acteurs. De plus, une campagne d'attaque peut utiliser plusieurs types de logiciels malveillants conçus pour accomplir des tâches spécifiques à chaque étape de l'attaque. Comprendre les différents types de logiciels malveillants, leurs caractéristiques et leurs utilisations vous aidera à vous préparer aux cyberattaques contre votre ordinateur et votre réseau. Les leçons de ce module fournissent une compréhension essentielle des principes fondamentaux suivants, nécessaires pour atteindre vos objectifs. Catégoriser et décrire les différents types de logiciels malveillants présents dans le paysage des menaces, tels que les virus, les vers et rançongiciel. Une caractéristique importante d’un virus est qu’il ne s’auto­active pas ; en d’autres termes, il faut qu’un utilisateur l’invoque. En revanche, un ver s’auto­active et n’a pas besoin qu’un utilisateur l’invoque sur l’ordinateur ciblé. Les ransomwares refusent aux utilisateurs l’accès aux informations, généralement en les chiffrant. En revanche, les logiciels espions signalent le comportement des utilisateurs à une partie externe. Chaque type de malware présente des caractéristiques et des objectifs différents. Vous pourrez également : Décrivez ce qu'est un vecteur d'attaque et comment il est composé de trois parties essentielles : un mécanisme, une voie et une vulnérabilité. Vous pourrez également : Expliquez comment différents types de logiciels malveillants et de mécanismes exploitent les ordinateurs. Partout où il existe une voie menant à une vulnérabilité, vous pouvez être certain qu’un mauvais acteur développera un mécanisme pour l’exploiter. Les acteurs malveillants tentent de manipuler les utilisateurs en utilisant diverses méthodes d'ingénierie sociale, ou d'exploiter les faiblesses ou les mauvaises configurations des appareils. Connaître la manière dont les attaques sont organisées et le fonctionnement des logiciels malveillants vous aidera à vous défendre contre une cyberattaque. Passez à la première leçon pour commencer. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 33 Machine Translated by Google Module de logiciels malveillants Leçon sur les types de logiciels malveillants Leçon sur les types de logiciels malveillants Bienvenue dans la leçon sur les types de logiciels malveillants . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Définir les logiciels malveillants. l Décrire les caractéristiques d'un virus informatique. l Décrire les différents types de virus informatiques et de logiciels malveillants. Votre ordinateur s'est­il déjà comporté bizarrement ? Peut­être que ses performances ont soudainement et inexplicablement ralenti, ou que des fenêtres contextuelles indésirables apparaissent, ou que des applications se bloquent ou démarrent d'elles­mêmes. Vous pensez peut­être qu'il y a un fantôme dans la machine, mais il est plus probable qu'un logiciel malveillant ait infecté votre ordinateur. Si un malware infecte votre ordinateur, son comportement peut changer brusquement et sans raison évidente. Certains symptômes courants d’une infection informatique sont : l Les appareils informatiques deviennent soudainement lents ou ne répondent plus. l Des fenêtres contextuelles indésirables apparaissent dans une application ou un navigateur Web. Ce sont des signes révélateurs qu'un logiciel malveillant, un virus ou les logiciels espions affectent votre appareil. l Les applications se ferment d'elles­mêmes de manière inattendue. Cela signifie probablement que le logiciel a été infecté par certains forme de virus ou de malware. l Les applications ne se chargent pas lorsqu'elles sont sélectionnées dans le menu Démarrer ou sur l'icône du bureau. Les logiciels malveillants informatiques amènent les ordinateurs à agir de diverses manières étranges, qui peuvent inclure l'ouverture de fichiers par eux­mêmes, l'affichage de messages d'erreur inhabituels ou la saisie de caractères de manière aléatoire. l Les applications plantent ou déconnectent l'utilisateur. l Le système tombe en panne et l'ordinateur lui­même s'arrête inexplicablement. l Les e­mails dans vos Outlook que vous n'avez pas envoyés. Les pirates utilisent les comptes de messagerie d'autres personnes pour diffuser des logiciels malveillants et transporter des cyberattaques plus larges. Les e­mails dans votre boîte d'envoi que vous n'avez pas envoyés peuvent être le signe d'une infection. l Des modifications inexpliquées sur un ordinateur, telles que la modification de la page d'accueil de votre système ou la mise à jour des paramètres de votre navigateur, sont des signes de la présence de logiciels malveillants. Maintenant que vous connaissez les symptômes d’une infection informatique, l’étape suivante consiste à apprendre à décrire et à catégoriser les différents types de logiciels malveillants. Alors que les logiciels malveillants sont des logiciels malveillants qui perturbent, endommagent ou obtiennent un accès non autorisé à un système informatique, un virus informatique est un logiciel malveillant doté de caractéristiques supplémentaires. Norton.com définit un virus informatique comme « … un type de code ou de programme malveillant écrit pour modifier le fonctionnement d'un ordinateur et conçu pour se propager d'un ordinateur à un autre. Un virus fonctionne en s'insérant ou en s'attachant à un programme ou à un document légitime prenant en charge les macros pour exécuter son code. Ce faisant, un virus peut potentiellement provoquer des effets inattendus ou dommageables, comme endommager le logiciel système en corrompant ou en détruisant des données. Les virus informatiques présentent plusieurs caractéristiques que vous devez connaître. Premièrement, les virus informatiques doivent être invoqués par un utilisateur, deuxièmement, ils s'insèrent ou s'attachent à des applications légitimes, et troisièmement, ils sont conçus pour propager l'infection à d'autres applications et ordinateurs du réseau. Les connaître vous aidera à faire la distinction entre les logiciels malveillants qui sont des virus et les logiciels malveillants qui ne le sont pas. 34 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module de logiciels malveillants Leçon sur les types de logiciels malveillants De nombreux types de virus possèdent ces caractéristiques mais font des choses très différentes. Voici une liste de quelques types de virus courants : Un virus résident se propage en infectant les applications dès leur ouverture par un utilisateur. Un virus non résident infecte les fichiers exécutables lorsque les applications ne sont pas en cours d'exécution. Un virus multipartite utilise plusieurs méthodes pour infecter et se propager sur les ordinateurs. Il reste généralement dans la mémoire de l'ordinateur pour infecter le disque dur, puis se propage et infecte davantage de lecteurs en modifiant le contenu des applications. Un virus à action directe accède à la mémoire principale d'un ordinateur et infecte toutes les applications, fichiers et dossiers situés dans le chemin autoexec.bat ou dans le chemin du registre de démarrage automatique, avant de se supprimer. Ce virus altère généralement les performances d'un système et peut détruire toutes les données du disque dur de l'ordinateur et de tout périphérique USB qui y est connecté. Un pirate de navigateur modifie manuellement les paramètres des navigateurs Web, tels que le remplacement de la page d'accueil, la modification de la nouvelle page à onglet et la modification du moteur de recherche par défaut. Techniquement, ce n'est pas un virus car il ne peut pas infecter les fichiers, mais il peut être extrêmement dommageable pour les utilisateurs d'ordinateurs, qui ne pourront souvent pas restaurer leur page d'accueil ou leur moteur de recherche. Il peut également contenir des logiciels publicitaires qui provoquent des fenêtres pop­up et des publicités indésirables. Les virus d'écrasement sont extrêmement dangereux. Ils peuvent supprimer et remplacer des données par leur propre contenu ou code de fichier. Une fois les fichiers infectés, ils ne peuvent plus être remplacés et le virus peut affecter les systèmes Windows, DOS, Linux et macOS. La seule façon de supprimer ce virus est de supprimer tous les fichiers qu’il a infectés. Un virus de script Web attaque la sécurité du navigateur Web, permettant à un pirate informatique d'injecter du code malveillant dans des pages Web ou des scripts côté client. Les scripts côté client consistent simplement à exécuter des scripts, tels que JavaScript, sur l'appareil client, généralement dans un navigateur. Cela permet aux cybercriminels d'attaquer les principaux sites Web, tels que les sites de réseaux sociaux, les fournisseurs de messagerie électronique et tout site permettant la saisie ou l'évaluation des utilisateurs. Les attaquants peuvent utiliser le virus pour envoyer du spam, commettre des activités frauduleuses et endommager les fichiers du serveur. Un infecteur de fichiers est l’un des virus informatiques les plus courants. Il écrase les fichiers lors de leur ouverture et peut rapidement se propager sur les systèmes et les réseaux. Cela affecte largement les fichiers avec les extensions .exe ou .com. Les virus de réseau sont extrêmement dangereux car ils peuvent paralyser complètement des réseaux informatiques entiers. Ils sont souvent difficiles à découvrir car le virus peut se cacher sur n’importe quel ordinateur d’un réseau infecté. Ces virus peuvent facilement se répliquer et se propager en utilisant Internet et se transférer vers des appareils connectés au réseau. Un virus du secteur de démarrage cible le Master Boot Record (MBR) d'un ordinateur. Le virus injecte son code dans la table de partition d'un disque dur, puis se déplace dans la mémoire principale au redémarrage de l'ordinateur. Outre les virus, il existe d’autres types de logiciels malveillants qui ne partagent pas toutes les caractéristiques d’un virus. Par exemple, les vers malveillants n'ont pas besoin d'un système hôte et peuvent se propager entre les systèmes et les réseaux sans action de l'utilisateur, alors qu'un virus nécessite qu'un utilisateur exécute son code. Voici quelques autres types de logiciels malveillants qui ne sont pas des virus : Un rootkit est un ensemble de logiciels informatiques, généralement malveillants, conçus pour permettre l'accès à un ordinateur ou à une partie de ses logiciels qui n'est pas autrement autorisé. Un rootkit masque souvent son existence ou celle d'autres logiciel. Il fonctionne à proximité ou dans le noyau du système d'exploitation, mais il ne peut pas s'auto­répliquer ni se propager entre les systèmes. Une attaque par injection de DLL permet à l'attaquant d'exécuter du code malveillant en remplaçant les fichiers DLL légitimes par des fichiers malveillants. Ce type d'attaque est difficile à détecter et à prévenir car il implique souvent l'utilisation de fichiers et de processus légitimes. De même, une attaque de manipulation de pilote modifie ou remplace le logiciel pilote qui permet au système d'exploitation de communiquer avec les périphériques matériels. Un keylogger est un programme informatique qui enregistre chaque frappe effectuée par un utilisateur d'ordinateur, dans le but d'obtenir un accès frauduleux aux mots de passe et autres informations confidentielles. Les keyloggers sont un type de logiciel espion, c'est­à­dire un logiciel malveillant conçu pour espionner les victimes. Parce qu’ils peuvent capturer tout ce que vous tapez, les enregistreurs de frappe sont l’une des formes de malware les plus invasives. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 35 Machine Translated by Google Module de logiciels malveillants Leçon sur les types de logiciels malveillants Un programme potentiellement indésirable (PUP) est un programme qui peut être indésirable, même si un utilisateur a consenti à le télécharger. Les PPI incluent des logiciels espions, des logiciels publicitaires et des numéroteurs, et sont souvent téléchargés conjointement avec un programme souhaité par l'utilisateur. Les logiciels espions sont des logiciels malveillants qui obtiennent des informations secrètes sur les activités informatiques d'un utilisateur en transmettant secrètement des données depuis le disque dur. Un logiciel espion est un type de logiciel malveillant qui collecte des informations personnelles et des données sur un utilisateur sans son consentement. Les logiciels publicitaires sont une forme de logiciel malveillant qui se cache sur un appareil et affiche des publicités. Certains logiciels publicitaires surveillent également le comportement en ligne d'un utilisateur afin de pouvoir le cibler avec des publicités spécifiques. Un numéroteur est un programme malveillant installé sur un ordinateur et qui tente d'utiliser les fonctionnalités de numérotation, ce qui entraîne souvent des factures de téléphone coûteuses pour la victime. Un composeur est différent des autres types de logiciels espions, bien qu'il soit parfois inclus dans les téléchargements de logiciels gratuits. L'apprentissage automatique contradictoire est une technique utilisée dans l'apprentissage automatique pour tromper ou égarer un réseau neuronal avec des entrées malveillantes. L'intelligence artificielle contradictoire utilise des entrées spécialisées créées dans le but de confondre un réseau neuronal, entraînant une mauvaise classification d'une entrée. Ces entrées notoires peuvent être indiscernables à l’œil humain, mais empêchent le réseau d’identifier correctement une image. Un ransomware est un type de virus qui crypte ou empêche l'accès aux informations sur un ordinateur et restaure l'accès uniquement après que l'utilisateur a payé une rançon. Un virus cheval de Troie est un virus déguisé pour ressembler à quelque chose qu'il n'est pas. Par exemple, les virus peuvent être cachés dans des jeux non officiels, des applications, des sites de partage de fichiers et des films piratés. Un virus cheval de Troie d'accès à distance (RAT) est un cheval de Troie malveillant capable de contrôler à distance un ordinateur infecté. Un compte­gouttes est un type de cheval de Troie conçu pour installer des logiciels malveillants sur un ordinateur. Une fois le compte­gouttes installé, deux choses peuvent se produire : le compte­gouttes installe le logiciel malveillant intégré, ou le compte­gouttes télécharge le logiciel malveillant sur l'ordinateur ciblé. Les logiciels de sécurité malveillants, également appelés rogueware ou scareware, font croire à un utilisateur qu'il existe des logiciels malveillants sur son ordinateur, puis l'invitent à payer pour un antimalware, qui est soit un faux, soit un logiciel malveillant. Le malware Botnet contrôle son hôte infecté via un serveur de commande et de contrôle (C&C). Un ordinateur infecté est appelé bot, ou robot, et un ensemble d'ordinateurs infectés est appelé botnet. Le cryptojacking est l’utilisation illégale de ressources informatiques pour extraire des cryptomonnaies. Les attaquants utilisent des logiciels malveillants ou des scripts pour pirater un ordinateur. Par exemple, Coinhive était un service de minage de cryptomonnaie qui permettait aux propriétaires de sites Web d’intégrer du code JavaScript sur leurs sites Web, détournant ainsi les ressources des ordinateurs connectés à des fins de cryptominage. Ce type d’exploit est appelé « minage dans le navigateur ». Vous avez terminé cette leçon. Vous êtes désormais capable de : l Définir les logiciels malveillants. l Décrire les caractéristiques d'un virus informatique. l Décrire les différents types de virus informatiques et de logiciels malveillants. 36 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Module de logiciels malveillants Leçon sur les vecteurs et méthodes d'attaque de logiciels malveillants Leçon sur les vecteurs et méthodes d'attaque de logiciels malveillants Bienvenue dans la leçon sur les vecteurs et méthodes d’attaque des logiciels malveillants . Cliquez sur Suivant pour commencer. Après avoir terminé cette leçon, vous serez en mesure d'atteindre ces objectifs : l Distinguer la différence entre un vecteur d'attaque et une surface d'attaque. l Décrire les trois composantes d'un vecteur d'attaque. l Décrire des exemples de logiciels malveillants vecteurs d'attaque et leurs mécanismes. Qu'est­ce qu'un vecteur d'attaque ? Un vecteur d'attaque, également appelé vecteur de menace, est une méthode utilisée par un acteur malveillant pour accéder illégalement à un réseau, un système ou une installation ou l'inhiber. Un vecteur d’attaque peut faire référence soit à une méthode d’attaque spécifique, soit à une catégorie d’attaque. Par exemple, l’ingénierie sociale est une catégorie de vecteurs d’attaque et comprend de nombreux types d’attaques. Comme vous l'avez vu dans une leçon précédente, les acteurs malveillants peuvent accéder à des zones restreintes ou harceler un utilisateur pour exploiter ses privilèges réseau. N'oubliez pas qu'un vecteur d'attaque comporte trois éléments : une vulnérabilité, un mécanisme et une voie. La voie permet à un mécanisme d’accéder à la cible. Apprendre la différence entre un vecteur d’attaque et une surface d’attaque est également important. Alors qu'un vecteur d'attaque est la méthode utilisée pour attaquer une cible, une surface d'attaque représente le nombre total de points d'entrée que le vecteur crée pour obtenir un accès non autorisé à la cible. De plus, la surface d’attaque peut s’étendre ou se contracter en fonction des circonstances. Dans ce graphique, la personne ciblée constitue la surface d’attaque et est exposée à diverses méthodes d’assassinat. L’individu tout entier est la surface d’attaque. La personne pourrait réduire sa vulnérabilité, ou sa surface d'attaque, en portant un casque et un gilet en Kevlar. Dans un autre exemple, une exigence de politique de mot de passe est un facteur de surface d'attaque. Des exigences plus strictes en matière de mots de passe entraînent une contraction de la surface d'attaque, tandis que des exigences plus clémentes entraînent une expansion de la surface d'attaque. L’un des objectifs de la sécurité informatique est de réduire la surface d’attaque du réseau. Bien que les vecteurs d'attaque puissent être physiques ou électroniques, cette leçon se concentre uniquement sur les vecteurs d'attaque impliquant des logiciels malveillants. Les attaques d'ingénierie sociale infectent les ordinateurs avec différents types de logiciels malveillants, comme nous l'avons vu dans la leçon précédente. Voici deux exemples de vecteurs d'attaque de logiciels malveillants : Les points d’eau sont des voies qui relient les mécanismes aux vulnérabilités. Par exemple, un mauvais acteur compromet un lieu de rencontre numérique. Les utilisateurs sont plus vulnérables aux manipulations dans un environnement familier tel qu'un site de réseau social, ils sont donc plus susceptibles de cliquer sur des liens ou de télécharger une vidéo amusante de chat qui sert de cheval de Troie pour les logiciels malveillants. Les logiciels malveillants prennent le contrôle d’un ordinateur et en font un robot, ou bot en abrégé. Un autre terme pour bot est zombie. L'acteur malveillant contrôle l'ordinateur à l'aide d'un serveur de commande et de contrôle (C&C), qui envoie des commandes aux systèmes compromis par des logiciels malveillants, puis reçoit des données volées. Un ensemble d'ordinateurs contrôlés par un serveur C&C est appelé un botnet. Les botnets peuvent avoir de nombreux objectifs, par exemple collecter des informations sur des machines infectées, envoyer du spam et des e­mails de phishing, ou attaquer des services Web. Une attaque d'un botnet contre un serveur dans le but de le rendre inaccessible est connue sous le nom d'attaque par déni de service distribué (DDoS). Dans ce cas, le mécanisme du vecteur d’attaque est le botnet, la voie est Internet et la vulnérabilité est la cible. serveur. Lorsqu’un acteur malveillant trouve un chemin vers une vulnérabilité, il peut installer des logiciels malveillants ou déployer un mécanisme malveillant. Voici quelques exemples de mécanismes clandestins et de méthodes d’exploitation utilisés par de mauvais acteurs : Une porte dérobée est un moyen non autorisé d’accéder à un ordinateur. Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. 37 Machine Translated by Google Leçon sur les vecteurs et méthodes d'attaque de logiciels malveillants Module de logiciels malveillants Une bombe logique est un morceau de code malveillant laissé en attente sur un ordinateur et qui s’exécutera dans des conditions spécifiques. Un œuf de Pâques est une fonctionnalité cachée ou un morceau de code laissé par les développeurs. Dans certains cas, un œuf de Pâques peut exposer votre réseau et vos données à des acteurs malveillants. Les droppers sont des programmes conçus pour extraire d'autres fichiers de leur propre code. En règle générale, les droppers extraient plusieurs fichiers sur un ordinateur pour installer un package de programme malveillant. Les compte­gouttes peuvent également avoir d’autres fonctions. Un téléchargeur est un type de cheval de Troie qui s'installe sur un ordinateur et attend qu'une connexion Internet soit disponible pour se connecter à un serveur ou un site Web distant. Il télécharge ensuite des programmes supplémentaires (généralement des logiciels malveillants) sur l'ordinateur infecté. Un shellcode est un ensemble d'instructions dans un logiciel qui exécute une commande pour prendre le contrôle ou exploiter un ordinateur compromis. L'injection de code est le terme utilisé pour décrire les attaques qui injectent du code dans une application. Le code injecté est interprété par l'application, modifiant ainsi la façon dont un programme s'exécute. Les attaques par injection de code exploitent généralement une vulnérabilité d'application qui permet le traitement de données non valides. Vous avez terminé cette leçon. Vous êtes désormais capable de : l Distinguer la différence entre un vecteur d'attaque et une surface d'attaque. l Décrire les trois composantes d'un vecteur d'attaque. l Décrire des exemples de logiciels malveillants vecteurs d'attaque et leurs mécanismes. 38 Introduction au paysage des menaces 1.0 Scripts de cours Fortinet Technologies Inc. Machine Translated by Google Aucune partie de cette publication ne peut être reproduite sous quelque forme ou par quelque moyen que ce soit ou utilisée pour créer un dérivé tel qu'une traduction, une transformation ou une adaptation sans l'autorisation de Fortinet Inc., comme stipulé par la loi américaine sur le droit d'auteur de 1976. Copyright© 2023 Fortinet, Inc. Tous droits réservés. Fortinet®, FortiGate®, FortiCare® et FortiGuard® et certaines autres marques sont des marques déposées de Fortinet, Inc., aux États­Unis et dans d'autres juridictions, et d'autres noms Fortinet mentionnés dans les présentes peuvent également être des marques déposées et/ou des marques de droit commun de Fortinet. Tous les autres noms de produits ou de sociétés peuvent être des marques déposées de leurs propriétaires respectifs. Les performances et autres mesures contenues dans le présent document ont été obtenues lors de tests internes en laboratoire dans des conditions idéales, et les performances réelles et autres résultats peuvent varier. Les variables réseau, les différents environnements réseau et d'autres conditions peuvent affecter les résultats de performances. Rien dans le présent document ne représente un engagement contraignant de la part de Fortinet, et Fortinet décline toute garantie, expresse ou implicite, sauf dans la mesure où Fortinet conclut un contrat écrit contraignant, signé par le directeur juridique de Fortinet, avec un acheteur qui garantit expressément que le produit identifié fonctionnera conformément. à certaines mesures de performance expressément identifiées et, dans un tel cas, seules les mesures de performance spécifiques expressément identifiées dans ce contrat écrit contraignant lieront Fortinet. Pour plus de clarté, toute garantie de ce type sera limitée aux performances dans les mêmes conditions idéales que celles des tests de laboratoire internes de Fortinet. En aucun cas Fortinet ne prend d'engagement concernant les futurs livrables, fonctionnalités ou développements, et les circonstances peuvent changer de telle sorte que les déclarations prospectives contenues dans les présentes ne soient pas exactes. Fortinet décline entièrement tout engagement, représentation et garantie en vertu des présentes, qu'ils soient expresses ou implicites. Fortinet se réserve le droit de changer, modifier, transférer ou réviser de toute autre manière cette publication sans préavis, et la version la plus récente de la publication sera applicable.