En tant que consultant CSIRT, je ne saurais trop insister sur l’importance de gérer efficacement la première heure d’un incident critique.
Découvrir ce qu’il faut faire est souvent une tâche ardue lors d’un incident critique. De plus, le sentiment de malaise empêche souvent un analyste de réponse aux incidents de prendre des décisions efficaces. Cependant, garder la tête froide et planifier les actions est crucial pour gérer avec succès un incident de sécurité. Ce blog développera certains points clés pour aider les lecteurs à faciliter de meilleures procédures de réponse aux incidents.
La préparation est essentielle
Avant de prendre en charge un incident, les analystes de la sécurité auraient besoin de connaître un grand nombre d’informations. Pour commencer, les analystes de réponse aux incidents doivent se familiariser avec leurs rôles et responsabilités. L’infrastructure informatique a évolué rapidement au cours des dernières années. Par exemple, nous avons observé un mouvement croissant vers le cloud computing et le stockage de données. L’environnement informatique en évolution rapide oblige fréquemment les analystes à mettre à jour leurs compétences, telles que l’apprentissage de la sécurité du cloud. Par conséquent, les analystes devront avoir une pratique pratique et maintenir une image complète de la topologie de tous les systèmes. Dans le monde réel, les analystes externes du CSIRT doivent identifier rapidement tous les actifs sous leur responsabilité. Dans le même temps, les analystes internes du CSIRT doivent également participer activement à la gestion des vulnérabilités et aux processus d’analyse de découverte.
La qualité des informations collectées détermine les résultats de la réponse aux incidents. En outre, les analystes du CSIRT devraient également comprendre les menaces auxquelles ils seront confrontés. Alors que les technologies de cybersécurité défensives sont mises à jour chaque jour, les acteurs de la menace sont sur le point d’évoluer. Par exemple, selon un article de 2020, quatre des dix principaux acteurs actifs de ransomwares utilisent désormais le modèle commercial « Ransomware as a service ». [1]. Ce modèle indique que les acteurs malveillants déploieront plus facilement les ransomwares en raison du manque d’exigences techniques pour tirer parti de ces attaques. Après tout, les équipes CSIRT doivent identifier les principales menaces qu’elles sont susceptibles de rencontrer.
Par exemple, un spécialiste du CSIRT peut voir des logiciels malveillants courants et conclure qu’aucune menace supplémentaire n’existe. Mais lorsque cette situation se présente pour des scénarios plus sensibles, comme une attaque dans le secteur de l’énergie, ils devront faire preuve d’esprit critique et se méfier des méthodes d’attaque non conventionnelles. Pour se préparer efficacement à la réponse aux incidents, les analystes doivent se familiariser avec l’infrastructure avec laquelle ils travailleront et le paysage des menaces de cybersécurité auxquels ils seront confrontés.
Mettez en place des procédures solides
Savoir n’est que la moitié de la bataille. Lorsque l’alerte retentit, nous devons nous calmer rapidement et prévoir de répondre à la première question, « que dois-je faire dans la première heure ? » Le document « Phases d’un incident critique » fait référence à la première heure d’un incident critique comme la « phase de crise » et est « caractérisé par la confusion, la panique, la précipitation sur les lieux et l’impasse ».[2] Les analystes bien rodés du CSIRT font bien de faire preuve de discernement dans leur enquête.
D’autre part, dans de nombreux scénarios, ils peuvent être sujets à l’obscurité des informations, à l’incapacité de mettre en œuvre une solution dans un délai limité et à l’absence de compétence opérationnelle. Dans de tels moments, l’équipe d’intervention en cas d’incident doit prendre les choses en main, exprimer clairement ses connaissances professionnelles et mener à bien ses opérations.
Lors de l’exécution de l’enquête et de l’analyse des causes profondes, l’équipe d’intervention en cas d’incident est souvent bloquée pour trouver les pièces manquantes du puzzle. Ces difficultés conduisent au doute et à l’indécision.
Dans de tels événements, les analystes supposent souvent que l’incident est causé par une ou plusieurs possibilités de violation sans certitude. Dans ces circonstances, il leur est conseillé d’assumer la cause la plus probable et d’agir en conséquence. Dans la première heure, le temps est impératif. Comme pour passer un examen, où le temps est limité, sautez d’abord les questions sur lesquelles vous êtes bloqué.
De nos jours, le processus de confinement de la réponse aux incidents est souvent simplifié grâce aux technologies Endpoint Detection and Response (EDR) largement adoptées, qui offrent des capacités de confinement du réseau en appuyant simplement sur un bouton. Néanmoins, même avec les outils traditionnels de confinement du réseau, contenir le réseau n’est pas toujours facile. Les gens ne choisissent pas toujours l’option la plus sûre lorsqu’elle est disponible. Mais comme le dit le proverbe, il vaut toujours mieux prévenir que guérir !
Découvrez ce qui s’est réellement passé et comblez les lacunes
Peut-être qu’après une heure, il manque encore des pièces du puzzle. Maintenant, c’est une bonne idée de prendre un peu de temps et de réfléchir à toutes les possibilités et de dresser une liste.
Par exemple, j’ai géré un incident de sécurité où l’attaquant a lancé un reverse shell sur un serveur. J’ai immédiatement décidé de contenir le serveur et j’ai rassemblé toutes les preuves. Mais mes coéquipiers et moi ne pouvions toujours pas comprendre comment le serveur avait été compromis, nous avons donc dressé une liste de tous les services accessibles et examiné les journaux pertinents pour chaque service.
Les spéculations initiales placent un outil d’exploitation informatique comme indicateur de compromission. Mais finalement, nous avons annulé cette spéculation en rayant toutes les possibilités et avons conclu qu’il devait y avoir une faille de sécurité inhérente à son service Web.
De temps à autre, au cours de l’analyse post-infraction, les analystes du CSIRT peuvent rencontrer des difficultés pour relier les points. Mais la vérité prévaudra toujours avec suffisamment de patience et un état d’esprit correct.
Ce que vous devriez considérer
En conclusion, gérer efficacement l’intervalle de temps crucial d’une heure après un incident critique nécessite plus qu’un apprentissage sur place.
En plus des spécialités techniques, les analystes expérimentés du CSIRT bénéficieront également d’une préparation approfondie de leurs actifs et de leurs adversaires, de la hiérarchisation des tâches et de la prise de décisions rapides en cas de besoin, ainsi que de la capacité de discerner des faits concrets en utilisant le processus d’élimination. .
Ceci est juste un autre extrait des histoires dans le Navigateur de sécurité. D’autres éléments intéressants tels que les opérations réelles de CSIRT et de pentesting, ainsi que des tonnes de faits et de chiffres sur le paysage de la sécurité en général peuvent également être trouvés là-bas. Le rapport complet est disponible en téléchargement sur le site Orange Cyberdefense, alors n’hésitez pas à le consulter. Ça en vaut la peine!
[1] Midler, Marisa. « Ransomware en tant que service (Raas) Menaces. » Blog SEI, 5 octobre 2020, https://insights.sei.cmu.edu/blog/ransomware-as-a-service-raas-threats/
[2] « Phases d’un incident critique. » Eddusaver, 5 mai 2020, https://www.eddusaver.com/phases-of-a-critical-incident/
Noter – Cet article a été écrit et contribué par Tingyang Wei, analyste de la sécurité chez Orange Cyberdefense.