CyberSec-Assistant-3B

Kerberoasting is an Active Directory attack technique where adversaries request Kerberos service tickets
(TGS) for Service Principal Names (SPNs) and then attempt to crack them offline to reveal service account
passwords. This works because service tickets are encrypted with the NTLM hash of the service account.

Detection Strategies:

1. **Event ID 4769 Monitoring**: Watch for TGS requests with:
   - RC4 encryption (0x17) - legacy, easily crackable
   - High volume of requests from single user
   - Requests for privileged service accounts

2. **SIEM Rules** (Splunk/Sentinel):
   - Alert on anomalous SPN enumeration (Event ID 4662)
   - Correlate multiple 4769 events within short timeframe
   - Flag requests outside business hours

3. **Honeypot SPNs**: Create decoy service accounts with weak passwords to detect attackers

4. **Audit Service Account Configuration**:
   - Ensure strong passwords (25+ characters)
   - Use Group Managed Service Accounts (gMSA) where possible
   - Implement AES encryption (disable RC4)

5. **Behavioral Analytics**: Baseline normal SPN request patterns per user/service

Quelles sont les obligations en cas de violation de données personnelles selon le RGPD ?

What security checks should be integrated into a CI/CD pipeline?

Describe the Pass-the-Hash technique and recommend mitigations.

**MITRE ATT&CK Technique**: T1550.002 - Use Alternate Authentication Material: Pass the Hash

**Description**:
Pass-the-Hash (PtH) allows attackers to authenticate to remote systems using the NTLM hash of a user's
password instead of the plaintext password. This works because Windows accepts the hash directly for
NTLM authentication, bypassing the need to crack it.

**Attack Flow**:
1. Compromise system with privileged access
2. Dump credentials from LSASS memory (Mimikatz, ProcDump)
3. Extract NTLM hashes
4. Use hash to authenticate to other systems (psexec, wmiexec, smbexec)

**Detection**:
- Event ID 4624 (Logon Type 3) with NTLM authentication
- Lateral movement from workstation-to-workstation (unusual)
- Unusual processes spawned by services.exe or svchost.exe
- Multiple authentication failures followed by success

**Mitigations**:

1. **Disable NTLM** (enforce Kerberos):
   - GPO: Network Security: Restrict NTLM
   - Monitor NTLM usage before blocking

2. **Credential Guard** (Windows 10+):
   - Virtualization-based protection for LSASS
   - Prevents credential dumping attacks

3. **Privileged Access Workstations (PAW)**:
   - Dedicated admin workstations
   - No internet browsing or email

4. **Local Administrator Password Solution (LAPS)**:
   - Randomize local admin passwords
   - Prevents lateral movement with same local admin hash

5. **Protected Users Security Group**:
   - Forces Kerberos (blocks NTLM)
   - Requires AES encryption
   - Clears credentials from memory after logoff

6. **Network Segmentation**:
   - Restrict SMB/RPC traffic between workstations
   - Implement Zero Trust architecture

Comment prévenir les injections SQL dans une application web ?

Les injections SQL (OWASP A03:2021) sont évitables avec ces bonnes pratiques :

**1. Requêtes Paramétrées (Prepared Statements)** - OBLIGATOIRE :

What are the core principles of Zero Trust and how to implement it?

Quelles sont les principales exigences de la directive NIS2 pour les entreprises ?

La directive NIS2 (2023) renforce la cybersécurité des entités essentielles et importantes dans l'UE.

**Champ d'Application**:
- **Secteurs essentiels** : Énergie, transports, santé, infrastructures numériques, eau, etc.
- **Secteurs importants** : Services postaux, gestion des déchets, chimie, alimentation, etc.
- **Seuils** : ≥50 employés OU ≥10M€ de CA (selon secteur)

**Obligations Principales**:

**1. Mesures de Gestion des Risques (Art. 21)** :
- Analyse de risques annuelle
- Gestion des incidents de sécurité
- Continuité d'activité (plans de reprise)
- Sécurité de la chaîne d'approvisionnement
- Chiffrement et contrôle d'accès
- Authentification multi-facteurs (MFA)

**2. Notification des Incidents (Art. 23)** :
- **24 heures** : Alerte précoce (early warning)
- **72 heures** : Notification complète avec analyse d'impact
- **1 mois** : Rapport final avec mesures correctives

**3. Gouvernance** :
- Responsabilité de la direction (organe de gestion)
- Formation obligatoire en cybersécurité
- Approbation formelle des mesures de sécurité

**4. Cybersurveillance** :
- Supervision par l'ANSSI en France
- Audits de conformité (sur demande)
- Inspections sur site possibles

**Sanctions (Art. 34)** :
- Entités essentielles : jusqu'à 10M€ ou 2% du CA mondial
- Entités importantes : jusqu'à 7M€ ou 1,4% du CA mondial
- Responsabilité personnelle des dirigeants

**Calendrier** :
- Transposition nationale : octobre 2024
- Application complète : octobre 2024
- Délai de mise en conformité : 18 mois recommandés

**Démarche de Mise en Conformité** :
1. Vérifier l'éligibilité (secteur + taille)
2. Gap analysis par rapport à ISO 27001/27002
3. Mise en place d'un SMSI (Système de Management de la Sécurité de l'Information)
4. Procédures de gestion d'incidents
5. Formation des équipes et de la direction
6. Tests réguliers (exercices de crise, audits)

What is prompt injection in LLMs and how can it be mitigated?

Prompt injection is a vulnerability where attackers manipulate LLM inputs to override system instructions
or extract sensitive information.

**Types of Prompt Injection**:

1. **Direct Injection**: User input directly attacks the prompt