Mettre en œuvre la gestion des incidents

Surveillance en temps réel et mesures préventives

Journalisation et instrumentation

Réponse automatisée aux incidents

Répertoriez et décrivez les étapes de gestion des incidents. Le domaine Opérations de sécurité du CISSP répertorie les étapes de gestion des incidents : détection, réponse, confinement, reporting, récupération, remédiation et enseignements tirés. Une fois qu’un incident est détecté et prouvé, la première réponse consiste à limiter ou à contenir la portée de l’incident tout en protégeant les preuves. En fonction des lois en vigueur, les organisations peuvent être amenées à signaler les incidents aux autorités compétentes. Si des informations personnelles identifiables (PII) sont compromises, les personnes concernées devront également être informées de la situation. La phase de remédiation et de leçons apprises comprend la réalisation d'une analyse des causes profondes pour déterminer la cause et proposer des solutions pour éviter que l'incident ne se reproduise.

Apprenez les précautions de base. Des précautions de base peuvent empêcher de nombreux incidents de se produire. Il s'agit notamment de maintenir les systèmes à jour, de supprimer ou de désactiver les protocoles et services inutiles, d'utiliser des systèmes de détection et de prévention des intrusions, d'utiliser des programmes anti-malware équipés des dernières signatures et d'activer des pare-feu basés sur l'hôte et le réseau.

Comprenez la différence entre la liste blanche et la liste noire. La liste blanche des logiciels fournit une liste de logiciels approuvés pour empêcher l'installation sur le système de tout autre logiciel ne figurant pas sur la liste. La liste noire fournit une liste de logiciels non approuvés pour empêcher l'installation de tout logiciel de la liste sur le système.

Découvrez les bacs à sable. Un bac à sable fournit un environnement isolé qui empêche le code exécuté dans le bac à sable d'interagir avec des éléments en dehors du bac à sable.

Découvrez les services de sécurité fournis par des tiers. Les services de sécurité tiers aident les organisations à améliorer les services de sécurité fournis par leur personnel interne. De nombreuses organisations utilisent des solutions basées sur le cloud pour améliorer la sécurité interne.

Découvrez les botnets, les contrôleurs de botnets et les dérangements. Les botnets peuvent mobiliser un grand nombre d’ordinateurs pour lancer des attaques et constituent une menace majeure. Il est donc nécessaire de comprendre ce qu’est un botnet. Un botnet est un ensemble d'appareils informatiques compromis (souvent appelés marionnettes ou zombies) qui forment un réseau et sont contrôlés par des criminels appelés bergers zombies. Les bergers de zombies contrôlent les zombies à distance via des serveurs C&C, utilisant souvent des botnets pour lancer des attaques sur d'autres systèmes ou envoyer du spam ou des e-mails de phishing. Les bergers zombies louent également l’accès à leurs botnets à d’autres criminels.

Découvrez les attaques par déni de service (DoS). Les attaques DoS empêchent un système de répondre aux demandes de service légitimes. L'attaque par inondation SYN qui détruit la négociation à trois voies TCP est une méthode d'attaque DoS courante. Même si les attaques à l'ancienne sont moins courantes aujourd'hui en raison de précautions de base, vous rencontrerez toujours des questions dans ce domaine, car de nombreuses nouvelles attaques ne sont souvent que des variantes de méthodes plus anciennes. L'attaque schtroumpf utilise un Fang Dawang pour envoyer un grand nombre de paquets de réponses à la victime. L'attaque Ping of Death envoie un grand nombre de paquets ping extrêmement volumineux à la victime, provoquant le gel, le crash ou le redémarrage du système de la victime.

Découvrez les exploits du jour zéro. Un exploit zero-day est une attaque qui exploite une vulnérabilité inconnue de tous sauf de l’attaquant et connue uniquement d’un nombre limité de personnes. À première vue, cela ressemble à un exploit inconnu qui ne peut être évité, mais les instructions de sécurité de base peuvent toujours être d'une grande aide pour empêcher les exploits du jour zéro. En supprimant ou en désactivant les protocoles et services inutiles, la surface d'attaque du système peut être réduite : un pare-feu peut bloquer de nombreux points d'accès et un système de détection et de prévention des intrusions peut facilement détecter et bloquer les attaques potentielles. De plus, en utilisant des outils tels que les pots de miel, vous pouvez également contribuer à protéger les réseaux actifs.

Apprenez-en davantage sur les attaques de l’homme du milieu. Une attaque de l'homme du milieu se produit lorsqu'un utilisateur intentionnel est capable d'occuper une position logique entre deux extrémités d'une ligne de communication. Bien que l’attaquant doive effectuer de nombreuses opérations complexes pour mener à bien une attaque de l’homme du milieu, la quantité de données qu’il obtient de l’attaque est également assez importante.

Découvrez la détection et la prévention des intrusions. IDS et IPS sont des outils importants de détection et de prévention contre les attaques. Vous devez comprendre la différence entre la détection basée sur les connaissances (qui utilise une base de données similaire à la bibliothèque de signatures Anti-Aware) et la détection basée sur le comportement. La détection basée sur le comportement crée d'abord une référence pour identifier un comportement normal, puis compare diverses activités à la référence pour détecter les activités anormales. Si le réseau change, la ligne de base peut devenir obsolète, elle doit donc être mise à jour dès que l'environnement change.

Comprendre les réponses IDS/IPS. IDS peut répondre passivement en enregistrant et en envoyant des notifications, ou de manière proactive en modifiant l'environnement. Certaines personnes appellent IDS IPS actif. Mais il est important de réaliser que les IPS placés sur les lignes en ligne transportant le trafic peuvent intercepter le trafic avant qu'il n'atteigne la cible.

Apprenez la différence entre HIDS et NIDS. L'IDS basé sur l'hôte (HIDS) ne peut surveiller l'activité que sur un seul système. L’inconvénient est qu’un attaquant peut les découvrir et les désactiver. Les IDS basés sur le réseau (NIDS) peuvent surveiller les activités sur un réseau et sont invisibles pour les attaquants.

Décrire les pots de miel et les filets de miel. Un pot de miel est un système qui utilise souvent de fausses failles et de fausses données pour attirer les intrus. Un honeynet est constitué de deux ou plusieurs pots de miel dans un réseau. Les administrateurs peuvent observer les activités des attaquants après leur entrée dans le pot de miel. Tant que les attaquants sont dans le pot de miel, ils ne sont pas sur le réseau actif.

Découvrez comment bloquer le code malveillant. Plusieurs outils peuvent bloquer les codes malveillants lorsqu’ils sont utilisés ensemble. Parmi eux, les programmes anti-malware, installés sur chaque système, bordure de réseau et serveur de messagerie et dotés des dernières définitions, sont les outils les plus évidents. Cependant, les politiques basées sur des principes de sécurité de base tels que le principe du moindre privilège peuvent également empêcher les utilisateurs ordinaires d'installer des logiciels potentiellement malveillants. En outre, informer les utilisateurs sur les risques et les méthodes couramment utilisées par les attaquants pour propager des virus peut également les aider à comprendre et à éviter les comportements à risque.

Comprendre les types de fichiers journaux. Les données des journaux sont enregistrées dans des bases de données et divers fichiers journaux. Les fichiers journaux courants incluent les journaux de sécurité, les journaux système, les journaux d'applications, les journaux de pare-feu, les journaux d'agent et les journaux de modifications. Les fichiers journaux doivent être stockés de manière centralisée et protégés en limitant les autorisations d'accès, tandis que les journaux archivés doivent être définis en lecture seule pour éviter toute falsification.

Découvrez les tests et à quoi servent les outils de test. Les salles de détection se concentrent sur une forme d’audit qui examine de manière proactive les données des fichiers journaux. La détection est utilisée pour tenir les sujets responsables de leurs actes et pour détecter les activités inhabituelles ou malveillantes. L'instrumentation est également utilisée pour surveiller les performances du système. Les outils de surveillance tels que IDS et SIEM peuvent surveiller et fournir une analyse en temps réel automatiquement et en continu des événements, y compris les conditions de surveillance au sein du réseau, les flux de communication entrant dans le réseau et les flux de communication sortant du réseau. La gestion des journaux comprend les journaux d'analyse et les journaux archivés.

Interpréter la piste d’audit. Une piste d'audit est un enregistrement créé lorsque des informations sur un événement et les circonstances qui l'entourent sont écrites dans une ou plusieurs bases de données ou fichiers journaux. Les pistes d'audit peuvent être utilisées pour reconstituer des événements, extraire des informations sur des événements, prouver la culpabilité ou réfuter des accusations. L’utilisation d’une piste d’audit est une forme passive de mise en œuvre de contrôles de sécurité de détection. Les pistes d’audit constituent également des preuves essentielles pour poursuivre les criminels.

Apprenez à rester responsable. Grâce au recours aux audits, la responsabilité des acteurs individuels peut être maintenue. Les journaux enregistrent les activités des utilisateurs, et les utilisateurs sont responsables de leurs actions enregistrées. Cela joue un rôle direct dans la promotion des utilisateurs à adopter de bonnes habitudes comportementales et à se conformer aux politiques de sécurité de l'organisation.

Apprenez-en davantage sur l’échantillonnage et le cisaillement. L'échantillonnage, également appelé extraction de données, fait référence au processus d'extraction d'éléments spécifiques d'une grande quantité de données pour former un aperçu ou un résumé significatif. L'échantillonnage statistique utilise des fonctions mathématiques précises pour extraire des informations significatives à partir de grandes quantités de données. Le découpage agit comme une forme d’échantillonnage non statistique, enregistrant uniquement les événements qui dépassent un seuil.

Décrire les flux de menaces et la chasse aux menaces. Les flux de menaces fournissent aux organisations un flux constant de données brutes. En analysant les flux de menaces, les administrateurs de sécurité peuvent comprendre le paysage actuel des menaces. Ils peuvent ensuite utiliser ces informations pour rechercher sur le réseau des signes de ces menaces.

Comprendre la relation entre l'apprentissage automatique (ML) et l'intelligence artificielle (IA). Le ML est un composant de l'IA et fait référence à la capacité d'apprentissage du système. L'IA est un vaste sujet qui inclut le ML.

Découvrez SOAR. La technologie SOAR peut répondre automatiquement aux événements. L’un des principaux avantages de SOAR est qu’il réduit la charge de travail des administrateurs. Il élimine également les erreurs humaines en rendant les systèmes informatiques réactifs.

1. Parmi les options suivantes, quelles sont les étapes ou phases valides de gestion des incidents répertoriées dans les objectifs du CISSP ? (Sélectionnez tout ce qui s'y rapporte.) A. Prévention B. Détection C. Rapport D. Résumer les leçons E. Sauvegarde

2. Vous résolvez un problème sur l'ordinateur de l'utilisateur. Vous vérifiez les journaux du système de détection d'intrusion basé sur l'hôte (HIDS) et confirmez que Il est déterminé que cet ordinateur a été compromis par un logiciel malveillant. Ensuite, laquelle des options suivantes devriez-vous choisir ? A. Isolez l'ordinateur du réseau B. Afficher les journaux HIDS des ordinateurs à proximité C. Effectuer une analyse antivirus D. Analyser le système pour savoir comment il a été infecté

3. Parmi les étapes de gestion des incidents proposées par (ISC)2, quelle étape faut-il réaliser en premier ? Une réponse B. Inhiber C. Remède D. Détection

4. Parmi les options suivantes, lesquelles constituent des contrôles de sécurité de base capables de prévenir de nombreuses attaques ? (Choisissez 3.) A. Maintenir les systèmes et les applications à jour B. Mettre en œuvre les technologies d'orchestration, d'automatisation et de réponse de sécurité (SOAR) C. Supprimer ou désactiver les services ou protocoles inutiles D. Utilisez les derniers logiciels anti-spam E. Utiliser WAF à la frontière

5. L'administrateur de sécurité examine toutes les données collectées par le journal des événements. Parmi les éléments suivants, lequel est la meilleure représentation de cet ensemble de données ? A.Identification B. Piste d'audit C.Autorisation D. Confidentialité

6. Un serveur de fichiers sur votre réseau est récemment tombé en panne. L'enquête a révélé que les journaux avaient tellement grossi qu'ils remplissaient tout le disque dur. Vous décidez d'activer la journalisation continue pour éviter que cela ne se reproduise. Parmi les propositions suivantes, laquelle est la première étape que vous devriez faire ? A. Configurez le journal pour qu'il écrase automatiquement les anciennes entrées B. Copiez les journaux existants sur un autre lecteur C. Recherchez tout signe d'attaque dans les journaux D. Supprimer l'entrée de journal la plus ancienne

7. Vous pensez qu'un attaquant a lancé une attaque fraggle sur votre système. Vous vérifiez les logs et filtrez vos recherches en utilisant le protocole utilisé par fraggle. Quel protocole utiliseriez-vous dans le filtre ? A. Protocole de datagramme utilisateur (UDP) B. Protocole de contrôle de transmission (TCP) C. Protocole de message de contrôle Internet (ICMP) D. Orchestration, automatisation et réponse de la sécurité (SOAR)

8. Vous révisez le manuel de formation des administrateurs de sécurité pour ajouter du contenu sur les exploits Zero Day. Lequel des énoncés suivants décrit le mieux un exploit Zero Day ? A. Attaques qui exploitent des vulnérabilités qui ne disposent pas encore de correctifs ou de correctifs B. Vulnérabilités récemment découvertes qui ne disposent pas encore de correctifs ou de correctifs C. Attaques sur des systèmes sans correctifs prêts à l'emploi D Logiciel malveillant qui supprime sa charge utile après le lancement de l'application par l'utilisateur

9 Les utilisateurs de l'organisation se sont plaints de ne pas pouvoir accéder à plusieurs sites Web normalement accessibles. Grâce au dépannage, vous découvrez qu'un système de prévention des intrusions (IPS) intercepte le trafic, mais que le trafic n'est pas malveillant. Cela appartient à ? Un faux négatif B. Honeynet C. Faux positif D. Bac à sable

10. Vous installez un nouveau système de détection d'intrusion (IDS). IDS vous oblige à créer une série de lignes de base avant de l'exécuter entièrement. Lequel des énoncés suivants décrit le mieux cet IDS ? A. DDS de correspondance de modèles B. DDS basé sur les connaissances 1S basé sur la signature C D. DDS basé sur les anomalies

11. Un administrateur met en œuvre un système de détection d'intrusion. Une fois installé, le système surveille tout le trafic et génère des alertes si un trafic suspect est détecté. Lequel des énoncés suivants décrit le mieux ce système ? A. Système de détection d'intrusion basé sur l'hôte (HIDS) B. Système de détection d'intrusion basé sur le réseau (NIDS) C. Honeynet D. Pare-feu réseau

12. Vous installez un système qui, espère la direction, réduira les incidents sur le réseau. La directive setup vous oblige à la configurer sur une ligne en ligne qui transporte le trafic afin que tout le trafic doive la traverser avant d'atteindre le réseau interne. Laquelle des options suivantes décrit le mieux ce système ? ^.Système de prévention des intrusions basé sur le réseau (VIPS) B. Système de détection d'intrusion basé sur le réseau (NIDS) C. Système de prévention des intrusions basé sur l'hôte (HIPS) D. Système de détection d'intrusion basé sur l'hôte (HIDS)

13. Après avoir installé une application sur le système de l'utilisateur, votre superviseur vous indique que puisque l'application consomme la plupart des ressources du système, vous devez la supprimer. Parmi les systèmes de prévention suivants, lesquels êtes-vous le plus susceptible d'avoir installé ? A. Système de détection d'intrusion basé sur le réseau (NIDS) B. Pare-feu d'applications Web (WAF) C. Systèmes de gestion des informations et des événements de sécurité (SIEM) D. Système de détection d'intrusion basé sur l'hôte (CHIDS)

14. Vous remplacez un commutateur défectueux. Le fichier de configuration du commutateur d'origine indique qu'un port spécifique doit être configuré comme port miroir. Lequel des périphériques réseau suivants se connecterait à ce port ? A. Système de prévention des intrusions (PS) B. Système de détection d'intrusion (IDS) C.pot de miel Bac à sable D

15 Un périphérique réseau est équipé d'un système de détection d'intrusion basé sur le réseau (NIDS). Ensuite, l'administrateur de sécurité a découvert qu'il y avait une attaque sur Internet, mais le NIDS n'a pas envoyé d'alerte. Cela appartient à ? A. Faux positif B. Faux négatif C. attaque de fragmentation Attaque de D.schtroumpf

16 La direction a demandé l'ajout d'un système de détection d'intrusion (IDS) pour détecter les nouvelles menaces de sécurité. Lequel des choix suivants est un choix d’élève ? A. IDS basés sur les signatures B. IDS basé sur les anomalies C. IDS actif D. IDS sur le Web

17. L'organisation pour laquelle vous travaillez a récemment déployé une application centralisée de surveillance. Cette situation décrit le mieux l'élément original suivant ? A. S'ENVERSER B.SIEM C.HIDS D. Flux de menaces

18. Après une récente attaque, la direction a décidé de mettre en place un système de surveillance du portail pour prévenir les violations de données. Parmi les options suivantes, laquelle est la meilleure ? A. NIDS B. PINS C. Pare-feu Système D.DLP

19. Les administrateurs de sécurité examinent régulièrement les flux de menaces et utilisent ces informations pour inspecter les systèmes au sein du réseau. Leur objectif est de découvrir toute infection ou attaque qui n’a pas été détectée par les outils existants. Laquelle des descriptions suivantes correspond le mieux à cette situation ? A. Chasse aux menaces B. Renseignements sur les menaces C. Exécuter la chaîne de destruction D. Utiliser l'intelligence artificielle

20. Les administrateurs se retrouvent à exécuter à plusieurs reprises les mêmes étapes pour vérifier les alertes des systèmes de détection d'intrusion et à exécuter d'autres étapes répétitives pour supprimer les attaques connues. Laquelle des options suivantes automatise ces étapes ? A. S'ENVERSER B.SIEM C. NIDS D.DI