6 étapes pour une meilleure cybersécurité et une réponse rapide aux incidents

Les équipes de sécurité doivent être en mesure d’arrêter les menaces et de rétablir les opérations normales le plus rapidement possible. C’est pourquoi il est essentiel que ces équipes disposent non seulement des bons outils, mais aussi qu’elles sachent comment répondre efficacement à un incident. Des ressources telles qu’un modèle de réponse à un incident peuvent être personnalisées pour définir un plan avec des rôles et des responsabilités, des processus et une liste de contrôle des actions à entreprendre.

Mais les préparatifs ne doivent pas s’arrêter là. Les équipes doivent se former en permanence pour s’adapter à l’évolution rapide des menaces. Chaque incident de sécurité doit être exploité comme une opportunité éducative pour aider l’organisation à mieux se préparer à de futurs incidents, voire à les prévenir.

Le SANS Institute définit un cadre en six étapes pour une RI réussie :
1) Préparation
2) Identification
3) Confinement
4) Éradication
5) Rétablissement
6) Enseignements tirés de l’expérience
Bien que ces phases suivent un déroulement logique, il est possible que vous deviez revenir à une phase précédente du processus pour répéter des étapes spécifiques qui ont été réalisées de manière incorrecte ou incomplète la première fois. Certes, cela ralentit le RI. Mais il est plus important de mener à bien chaque phase que d’essayer de gagner du temps en accélérant les étapes.Objectif : Détecter si vous avez été victime d’une violation et collecter les CIO.

Il existe plusieurs façons d’identifier qu’un incident s’est produit ou est en cours. Aucune discussion sur l’identification ne serait complète sans évoquer la fatigue des alertes.

Si les paramètres de détection de vos produits de sécurité sont trop élevés, vous recevrez trop d’alertes concernant des activités sans importance sur vos terminaux et votre réseau. C’est un excellent moyen de submerger votre équipe et de faire en sorte que de nombreuses alertes soient ignorées. Le scénario inverse, où vos paramètres sont trop bas, est tout aussi problématique car vous risquez de passer à côté d’événements critiques. Un dispositif de sécurité équilibré fournira le nombre d’alertes adéquat pour que vous puissiez identifier les incidents qui méritent d’être examinés plus en détail sans souffrir d’une lassitude à l’égard des alertes. Vos fournisseurs de sécurité peuvent vous aider à trouver le bon équilibre et, dans l’idéal, filtrer automatiquement les alertes pour que votre équipe puisse se concentrer sur ce qui est important.

Au cours de la phase d’identification, vous documenterez tous les indicateurs de compromission (IOC) recueillis à partir des alertes, tels que les hôtes et utilisateurs compromis, les fichiers et processus malveillants, les nouvelles clés de registre, etc. Une fois tous les IOC documentés, vous passerez à la phase de confinement.

Objectif : minimiser les dommages.

Le confinement est autant une stratégie qu’une étape distincte du RI. Vous voudrez établir une approche adaptée à votre organisation spécifique, en gardant à l’esprit les implications en termes de sécurité et d’activité. Bien qu’isoler des dispositifs ou les déconnecter du réseau puisse empêcher une attaque de se propager au sein de l’organisation, cela pourrait également entraîner d’importants dommages financiers ou d’autres conséquences pour l’entreprise. Ces décisions doivent être prises à l’avance et clairement énoncées dans votre stratégie de RI.

L’endiguement peut être décomposé en étapes à court et à long terme, avec des implications uniques pour chacune d’entre elles. Au cours de la phase de confinement, vous devrez donner la priorité à vos dispositifs critiques tels que les contrôleurs de domaine, les serveurs de fichiers et les serveurs de sauvegarde afin de vous assurer qu’ils n’ont pas été compromis. Les autres étapes de cette phase comprennent la documentation des actifs et des menaces qui ont été confinés pendant l’incident, ainsi que le regroupement des dispositifs selon qu’ils ont été compromis ou non. Si vous n’êtes pas sûr, envisagez le pire Une fois que tous les dispositifs ont été catégorisés et répondent à votre définition du confinement, cette phase est terminée…

Objectif : déterminer qui, quoi, quand, où, pourquoi, comment…
À ce stade, il convient de noter un autre aspect important de la RI : l’investigation L’investigation a lieu tout au long du processus de RI Bien qu’il ne s’agisse pas d’une phase à part entière, il convient de la garder à l’esprit à chaque étape L’investigation vise à répondre aux questions concernant les systèmes auxquels on a accédé et les origines de la violation Lorsque l’incident a été circonscrit, les équipes peuvent faciliter une investigation approfondie en capturant autant de données pertinentes que possible à partir de sources telles que les images de disque et de mémoire ; les journaux Cet organigramme visualise l’ensemble du processus : Vous connaissez peut-être l’expression « digital forensics and incident response » (DFIR), mais il convient de noter que les objectifs de la forensics IR diffèrent de ceux de la forensics traditionnelle Dans la forensics IR, l’objectif principal de la forensics est d’aider à passer d’une phase à l’autre aussi efficacement que possible afin de reprendre les activités normales de l’entreprise Les techniques de la forensics digitale sont conçues pour extraire autant d’informations utiles que possible de tout élément de preuve capturé et les transformer en renseignements utiles qui peuvent aider à construire une image plus complète de l’incident ou même aider à la poursuite de l’auteur de l’infraction. Les points de données qui ajoutent un contexte aux artefacts découverts peuvent inclure la manière dont l’attaquant est entré dans le réseau ou s’est déplacé, les systèmes auxquels il a accédé, les données exfiltrées, etc. Toutes ces informations aident à établir la chronologie de l’incident, à comprendre comment l’attaquant a opéré et à déterminer la meilleure manière d’éliminer l’attaquant de l’environnement et de l’empêcher de revenir.La première étape de la réponse à un incident consiste à comprendre ce qui s’est passé. Pour ce faire, plusieurs méthodes sont possibles, notamment l’examen des journaux des systèmes et des applications, l’analyse du trafic réseau, etc. L’objectif est de comprendre quels fichiers ont été consultés ou créés, quels processus ont été exécutés, etc. Bien entendu, il s’agit d’un processus qui peut prendre beaucoup de temps et qui peut entrer en conflit avec la RI.
<Notamment, le DFIR a évolué depuis que le terme a été inventé pour la première fois. Les organisations disposent aujourd’hui de centaines ou de milliers de machines, chacune ayant des centaines de gigaoctets, voire plusieurs téraoctets de stockage, de sorte que l’approche traditionnelle consistant à capturer et à analyser des images de disques complets de toutes les machines compromises n’est plus pratique.

Les conditions actuelles exigent une analyse approfondie de l’environnement de travail.

Objectif : s’assurer que la menace est complètement éliminée.

Les conditions actuelles exigent une approche plus chirurgicale où des informations spécifiques de chaque machine compromise sont capturées et analysées.

Comme pour les étapes précédentes, la documentation joue un rôle dans l’éradication. L’équipe RI doit soigneusement documenter les mesures prises sur chaque machine pour s’assurer que rien n’a été oublié. À titre de contrôle supplémentaire, vous pouvez effectuer des analyses actives de vos systèmes pour détecter toute trace de la menace une fois le processus d’éradication terminé.

Objectif : Reprendre le cours normal des opérations.

Tous vos efforts ont abouti ici ! La phase de rétablissement est le moment où vous pouvez reprendre vos activités comme si de rien n’était. La décision clé à ce stade consiste à déterminer le moment où les opérations seront rétablies. Idéalement, cela peut se faire sans délai, mais il peut être nécessaire d’attendre les heures creuses de votre organisation ou une autre période de calme.. Vérifiez encore une fois qu’il ne reste plus aucun IOC sur les systèmes restaurés.Vous devrez également .déterminer si la cause première existe toujours et mettre en œuvre les correctifs appropriés.