BSSI, partenaire et conférencier à la Security Day de l’ESGI

Le 28 mars 2017| Rédigé par Erwan Brouder| Posté dans Actu, Blog, Cybersécurité, Divers, Publications

La 5e édition de la Security Day s’est tenue au courant du mois de mars dans les locaux de l’École Supérieure de Génie Informatique (ESGI) à Paris.

Pour cette cuvée 2017, non content d’être partenaire de ce rendez-vous incontournable pour les passionnées francophones de sécurité informatique, BSSI a également eu le plaisir d’animer l’une des conférences ayant pour thème : Network Threat Hunting

L’objectif de la conférence, présentée sous la forme d’un Workshop, était de présenter une méthodologie ainsi que des outils permettant la réalisation d’une analyse forensic réseau efficace permettant de retrouver des traces laissées par un attaquant sur un serveur préalablement compromis.

Pour étayer sa démonstration, Ngoc s’est basé sur le honeypot proposé par la plateforme « The Honeynet Projet » disponible à l’adresse suivante :

(http://old.honeynet.org/scans/index.html).

La méthodologie proposée s’appuie principalement sur les axes suivants :

  • Choix du point de départ de l’analyse (évènement IDS suspicieux, supervision, etc.)
  • Élimination des faux positifs
  • Vérification que l’ensemble des logs dispose d’un référentiel temps identique
  • Analyse des logs des équipements de sécurité (firewalls)
  • Note de la date et de l’heure des évènements suspects
  • Affinement des résultats grâce à la corrélation avec les logs IDS

Ci-dessous, nous listons plusieurs impressions d’écran réalisées au cours de l’opération d’analyse des logs de l’IDS Snort :

 

Néanmoins, la professionnalisation des attaquants limite l’utilisation de protocoles de communication en clair (FTP, Telnet, HTTP). Ainsi, dans le cas de la mise en place de protocoles de communication chiffrés, l’interception nécessitera la mise en place d’une architecture reprenant les principes des attaques de type « Man-In-The-Middle » afin d’obtenir les informations en clair :

 

Le programme des présentations et des workshops est disponible à l’adresse suivante :

http://emailing.esgi.fr/esgi_security_day_160317/pdf/page_programme.pdf

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *