Investigation Ransomware Intermédiaire - 4 jours
Description
Les attaques informatiques de type ransomware sont les menaces les plus redoutées des entreprises. L’urgence provoquée par la destruction, même partielle, du système d’information peut rapidement déborder vos équipes sécurité si elles ne sont pas préparées. Cette formation permet de mieux anticiper ce type d’incident et ainsi réduire la durée de résolution : réduire le stress, anticiper le séquençage des activités à mener et s’accorder rapidement sur les méthodes à appliquer. Cette formation a pour objectif de donner les clés afin d’investiguer un incident de type ransomware qu’il soit localisé à un petit périmètre ou généralisé.
Durant la formation, les bonnes pratiques pour contrer les attaques ransomwares seront dispensées, en particulier afin de contenir et endiguer l’incident. Véritable course contre-la-montre, les participants à la formation seront ainsi familiarisés aux méthodes et outils à mettre en œuvre. Il est à noter que seuls le volet technique d’investigation et les premières étapes de l’investigation sont abordés ici.
- 4 jours (28 heures)
- Identifier le mode opératoire des principaux groupes de ransomware
- Premiers pas vers la remédiation
Public et prérequis
Cette formation est adaptée pour des personnes ayant déjà été confrontées à des incidents de sécurité, et redoutant les évènements d’ampleur de type ransomware. Des compétences techniques sont requises pour manipuler les TD et ainsi investiguer ce type d’incident. Les outils DFIR ORC et Velociraptor sont utilisés pour illustrer la formation : la connaissance préalable de ces outils est un plus.
- Membre d’équipe de cybersécurité interne dans les entreprises ou l’administration
-
Administrateur système avec des compétences en cybersécurité
-
Responsable sécurité souhaitant appréhender les aspects techniques
De bonnes connaissances Windows sont recommandées pour comprendre le fonctionnement des attaques (Active Directory, RDP, PowerShell, etc.). Les manipulations sont réalisées sur les environnements Linux.
Contenu
Jour 1
Les signes avant-coureurs d’une attaque. Gestes de premiers secours : préservation des systèmes et des sauvegardes, coupure des accès et réduction de l’emprise de l’attaquant. Quelles traces préserver en premier. Cas d’une attaque par un prestataire. Travailler en environnement compromis : mythe, réalité et pragmatisme. Outils à utiliser pour partager l’information et bonnes pratiques pour mener les investigations.
Présentation de DFIR ORC et Velociraptor.
Jour 2
Approche antéchronologique. Trouver rapidement les premières informations structurantes, course contre-la-montre. Identifier les codes malveillants et portes dérobées. Comme remonter le fil de l’attaque. Cas des postes d’administration / postes de crises. Comment établir et partager une situation (IOC / chronologie / périmètre de compromission). Biais de l’analyste. Trouver l’équilibre entre exhaustivité et efficience.
Jour 3
Approche par les modes opératoires. Bénéfices et limites de la CTI. Connaître la surface d’exposition et les opportunités d’exploitation. Mécanismes de persistance. OSINT à la rescousse. La triade : VPN / phishing / service vulnérable. Effets recherchés par l’attaquant. Identifier les fichiers exfiltrés et les mécanismes d’exfiltration. Cas particulier des attaques sous faux drapeau, attaquants multiples sur un réseau.
Jour 4
CyberRemédiation : Bonnes pratiques opérationnelles de gestion de crise et gestion des risques. Reprendre confiance dans le système d'information et nettoyer son parc. Cas de la bascule Active Directory. Cas de la restauration de données chiffrées.
Nous joindre
N'hesitez pas à nous contacter afin de nous faire part de vos besoins. Notre équipe commerciale se tient à votre disposition pour répondre à toutes vos questions.
Contacts commerciaux
