En tant que consultant CSIRT, je ne saurais trop insister sur l’importance de g\u00e9rer efficacement la premi\u00e8re heure d’un incident critique.<\/p>\n
D\u00e9couvrir ce qu’il faut faire est souvent une t\u00e2che ardue lors d’un incident critique. De plus, le sentiment de malaise emp\u00eache souvent un analyste de r\u00e9ponse aux incidents de prendre des d\u00e9cisions efficaces. Cependant, garder la t\u00eate froide et planifier les actions est crucial pour g\u00e9rer avec succ\u00e8s un incident de s\u00e9curit\u00e9. Ce blog d\u00e9veloppera certains points cl\u00e9s pour aider les lecteurs \u00e0 faciliter de meilleures proc\u00e9dures de r\u00e9ponse aux incidents.<\/p>\n
![\"R\u00e9ponse](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647546355_595_Lheure-dor-de-la-reponse-aux-incidents.jpeg\" "\\"R\u00e9ponse")
<\/div>\nLa pr\u00e9paration est essentielle<\/strong><\/h2>\nAvant de prendre en charge un incident, les analystes de la s\u00e9curit\u00e9 auraient besoin de conna\u00eetre un grand nombre d’informations. Pour commencer, les analystes de r\u00e9ponse aux incidents doivent se familiariser avec leurs r\u00f4les et responsabilit\u00e9s. L’infrastructure informatique a \u00e9volu\u00e9 rapidement au cours des derni\u00e8res ann\u00e9es. Par exemple, nous avons observ\u00e9 un mouvement croissant vers le cloud computing et le stockage de donn\u00e9es. L’environnement informatique en \u00e9volution rapide oblige fr\u00e9quemment les analystes \u00e0 mettre \u00e0 jour leurs comp\u00e9tences, telles que l’apprentissage de la s\u00e9curit\u00e9 du cloud. Par cons\u00e9quent, les analystes devront avoir une pratique pratique et maintenir une image compl\u00e8te de la topologie de tous les syst\u00e8mes. Dans le monde r\u00e9el, les analystes externes du CSIRT doivent identifier rapidement tous les actifs sous leur responsabilit\u00e9. Dans le m\u00eame temps, les analystes internes du CSIRT doivent \u00e9galement participer activement \u00e0 la gestion des vuln\u00e9rabilit\u00e9s et aux processus d’analyse de d\u00e9couverte. <\/p>\n
La qualit\u00e9 des informations collect\u00e9es d\u00e9termine les r\u00e9sultats de la r\u00e9ponse aux incidents. En outre, les analystes du CSIRT devraient \u00e9galement comprendre les menaces auxquelles ils seront confront\u00e9s. Alors que les technologies de cybers\u00e9curit\u00e9 d\u00e9fensives sont mises \u00e0 jour chaque jour, les acteurs de la menace sont sur le point d’\u00e9voluer. Par exemple, selon un article de 2020, quatre des dix principaux acteurs actifs de ransomwares utilisent d\u00e9sormais le mod\u00e8le commercial “Ransomware as a service”. [1]. Ce mod\u00e8le indique que les acteurs malveillants d\u00e9ploieront plus facilement les ransomwares en raison du manque d’exigences techniques pour tirer parti de ces attaques. Apr\u00e8s tout, les \u00e9quipes CSIRT doivent identifier les principales menaces qu’elles sont susceptibles de rencontrer.<\/p>\n
Par exemple, un sp\u00e9cialiste du CSIRT peut voir des logiciels malveillants courants et conclure qu’aucune menace suppl\u00e9mentaire n’existe. Mais lorsque cette situation se pr\u00e9sente pour des sc\u00e9narios plus sensibles, comme une attaque dans le secteur de l’\u00e9nergie, ils devront faire preuve d’esprit critique et se m\u00e9fier des m\u00e9thodes d’attaque non conventionnelles. Pour se pr\u00e9parer efficacement \u00e0 la r\u00e9ponse aux incidents, les analystes doivent se familiariser avec l’infrastructure avec laquelle ils travailleront et le paysage des menaces de cybers\u00e9curit\u00e9 auxquels ils seront confront\u00e9s.<\/p>\n
![\"R\u00e9ponse](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647546355_151_Lheure-dor-de-la-reponse-aux-incidents.jpeg\" "\\"R\u00e9ponse")
<\/div>\nMettez en place des proc\u00e9dures solides<\/strong><\/h2>\nSavoir n’est que la moiti\u00e9 de la bataille. Lorsque l’alerte retentit, nous devons nous calmer rapidement et pr\u00e9voir de r\u00e9pondre \u00e0 la premi\u00e8re question, “que dois-je faire dans la premi\u00e8re heure\u00a0?” Le document “Phases d’un incident critique” fait r\u00e9f\u00e9rence \u00e0 la premi\u00e8re heure d’un incident critique comme la “phase de crise” et est “caract\u00e9ris\u00e9 par la confusion, la panique, la pr\u00e9cipitation sur les lieux et l’impasse”.[2] Les analystes bien rod\u00e9s du CSIRT font bien de faire preuve de discernement dans leur enqu\u00eate. <\/p>\n
D’autre part, dans de nombreux sc\u00e9narios, ils peuvent \u00eatre sujets \u00e0 l’obscurit\u00e9 des informations, \u00e0 l’incapacit\u00e9 de mettre en \u0153uvre une solution dans un d\u00e9lai limit\u00e9 et \u00e0 l’absence de comp\u00e9tence op\u00e9rationnelle. Dans de tels moments, l’\u00e9quipe d’intervention en cas d’incident doit prendre les choses en main, exprimer clairement ses connaissances professionnelles et mener \u00e0 bien ses op\u00e9rations. <\/p>\n
Lors de l’ex\u00e9cution de l’enqu\u00eate et de l’analyse des causes profondes, l’\u00e9quipe d’intervention en cas d’incident est souvent bloqu\u00e9e pour trouver les pi\u00e8ces manquantes du puzzle. Ces difficult\u00e9s conduisent au doute et \u00e0 l’ind\u00e9cision. <\/p>\n
Dans de tels \u00e9v\u00e9nements, les analystes supposent souvent que l’incident est caus\u00e9 par une ou plusieurs possibilit\u00e9s de violation sans certitude. Dans ces circonstances, il leur est conseill\u00e9 d’assumer la cause la plus probable et d’agir en cons\u00e9quence. Dans la premi\u00e8re heure, le temps est imp\u00e9ratif. Comme pour passer un examen, o\u00f9 le temps est limit\u00e9, sautez d’abord les questions sur lesquelles vous \u00eates bloqu\u00e9. <\/p>\n
De nos jours, le processus de confinement de la r\u00e9ponse aux incidents est souvent simplifi\u00e9 gr\u00e2ce aux technologies Endpoint Detection and Response (EDR) largement adopt\u00e9es, qui offrent des capacit\u00e9s de confinement du r\u00e9seau en appuyant simplement sur un bouton. N\u00e9anmoins, m\u00eame avec les outils traditionnels de confinement du r\u00e9seau, contenir le r\u00e9seau n’est pas toujours facile. Les gens ne choisissent pas toujours l’option la plus s\u00fbre lorsqu’elle est disponible. Mais comme le dit le proverbe, il vaut toujours mieux pr\u00e9venir que gu\u00e9rir !<\/p>\n
![\"R\u00e9ponse](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647546356_545_Lheure-dor-de-la-reponse-aux-incidents.jpeg\" "\\"R\u00e9ponse")
<\/div>\nD\u00e9couvrez ce qui s’est r\u00e9ellement pass\u00e9 et comblez les lacunes<\/strong><\/h2>\nPeut-\u00eatre qu’apr\u00e8s une heure, il manque encore des pi\u00e8ces du puzzle. Maintenant, c’est une bonne id\u00e9e de prendre un peu de temps et de r\u00e9fl\u00e9chir \u00e0 toutes les possibilit\u00e9s et de dresser une liste. <\/p>\n
Par exemple, j’ai g\u00e9r\u00e9 un incident de s\u00e9curit\u00e9 o\u00f9 l’attaquant a lanc\u00e9 un reverse shell sur un serveur. J’ai imm\u00e9diatement d\u00e9cid\u00e9 de contenir le serveur et j’ai rassembl\u00e9 toutes les preuves. Mais mes co\u00e9quipiers et moi ne pouvions toujours pas comprendre comment le serveur avait \u00e9t\u00e9 compromis, nous avons donc dress\u00e9 une liste de tous les services accessibles et examin\u00e9 les journaux pertinents pour chaque service. <\/p>\n
Les sp\u00e9culations initiales placent un outil d’exploitation informatique comme indicateur de compromission. Mais finalement, nous avons annul\u00e9 cette sp\u00e9culation en rayant toutes les possibilit\u00e9s et avons conclu qu’il devait y avoir une faille de s\u00e9curit\u00e9 inh\u00e9rente \u00e0 son service Web. <\/p>\n
De temps \u00e0 autre, au cours de l’analyse post-infraction, les analystes du CSIRT peuvent rencontrer des difficult\u00e9s pour relier les points. Mais la v\u00e9rit\u00e9 pr\u00e9vaudra toujours avec suffisamment de patience et un \u00e9tat d’esprit correct.<\/p>\n
Ce que vous devriez consid\u00e9rer<\/strong><\/h2>\nEn conclusion, g\u00e9rer efficacement l’intervalle de temps crucial d’une heure apr\u00e8s un incident critique n\u00e9cessite plus qu’un apprentissage sur place. <\/p>\n
En plus des sp\u00e9cialit\u00e9s techniques, les analystes exp\u00e9riment\u00e9s du CSIRT b\u00e9n\u00e9ficieront \u00e9galement d’une pr\u00e9paration approfondie de leurs actifs et de leurs adversaires, de la hi\u00e9rarchisation des t\u00e2ches et de la prise de d\u00e9cisions rapides en cas de besoin, ainsi que de la capacit\u00e9 de discerner des faits concrets en utilisant le processus d’\u00e9limination. .<\/p>\n
Ceci est juste un autre extrait des histoires dans le Navigateur de s\u00e9curit\u00e9<\/a>. D’autres \u00e9l\u00e9ments int\u00e9ressants tels que les op\u00e9rations r\u00e9elles de CSIRT et de pentesting, ainsi que des tonnes de faits et de chiffres sur le paysage de la s\u00e9curit\u00e9 en g\u00e9n\u00e9ral peuvent \u00e9galement \u00eatre trouv\u00e9s l\u00e0-bas. Le rapport complet est disponible en t\u00e9l\u00e9chargement sur le site Orange Cyberdefense, alors n’h\u00e9sitez pas \u00e0 le consulter. \u00c7a en vaut la peine!<\/p>\n[1] Midler, Marisa. “Ransomware en tant que service (Raas) Menaces.” Blog SEI, 5 octobre 2020, https:\/\/insights.sei.cmu.edu\/blog\/ransomware-as-a-service-raas-threats\/<\/a><\/i><\/p>\n[2] “Phases d’un incident critique.” Eddusaver, 5 mai 2020, https:\/\/www.eddusaver.com\/phases-of-a-critical-incident\/<\/a><\/i><\/p>\nNoter – <\/b>Cet article a \u00e9t\u00e9 \u00e9crit et contribu\u00e9 par Tingyang Wei, analyste de la s\u00e9curit\u00e9 chez Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n<\/div>\n
<\/div>\nMettez en place des proc\u00e9dures solides<\/strong><\/h2>\nSavoir n’est que la moiti\u00e9 de la bataille. Lorsque l’alerte retentit, nous devons nous calmer rapidement et pr\u00e9voir de r\u00e9pondre \u00e0 la premi\u00e8re question, “que dois-je faire dans la premi\u00e8re heure\u00a0?” Le document “Phases d’un incident critique” fait r\u00e9f\u00e9rence \u00e0 la premi\u00e8re heure d’un incident critique comme la “phase de crise” et est “caract\u00e9ris\u00e9 par la confusion, la panique, la pr\u00e9cipitation sur les lieux et l’impasse”.[2] Les analystes bien rod\u00e9s du CSIRT font bien de faire preuve de discernement dans leur enqu\u00eate. <\/p>\n
D’autre part, dans de nombreux sc\u00e9narios, ils peuvent \u00eatre sujets \u00e0 l’obscurit\u00e9 des informations, \u00e0 l’incapacit\u00e9 de mettre en \u0153uvre une solution dans un d\u00e9lai limit\u00e9 et \u00e0 l’absence de comp\u00e9tence op\u00e9rationnelle. Dans de tels moments, l’\u00e9quipe d’intervention en cas d’incident doit prendre les choses en main, exprimer clairement ses connaissances professionnelles et mener \u00e0 bien ses op\u00e9rations. <\/p>\n
Lors de l’ex\u00e9cution de l’enqu\u00eate et de l’analyse des causes profondes, l’\u00e9quipe d’intervention en cas d’incident est souvent bloqu\u00e9e pour trouver les pi\u00e8ces manquantes du puzzle. Ces difficult\u00e9s conduisent au doute et \u00e0 l’ind\u00e9cision. <\/p>\n
Dans de tels \u00e9v\u00e9nements, les analystes supposent souvent que l’incident est caus\u00e9 par une ou plusieurs possibilit\u00e9s de violation sans certitude. Dans ces circonstances, il leur est conseill\u00e9 d’assumer la cause la plus probable et d’agir en cons\u00e9quence. Dans la premi\u00e8re heure, le temps est imp\u00e9ratif. Comme pour passer un examen, o\u00f9 le temps est limit\u00e9, sautez d’abord les questions sur lesquelles vous \u00eates bloqu\u00e9. <\/p>\n
De nos jours, le processus de confinement de la r\u00e9ponse aux incidents est souvent simplifi\u00e9 gr\u00e2ce aux technologies Endpoint Detection and Response (EDR) largement adopt\u00e9es, qui offrent des capacit\u00e9s de confinement du r\u00e9seau en appuyant simplement sur un bouton. N\u00e9anmoins, m\u00eame avec les outils traditionnels de confinement du r\u00e9seau, contenir le r\u00e9seau n’est pas toujours facile. Les gens ne choisissent pas toujours l’option la plus s\u00fbre lorsqu’elle est disponible. Mais comme le dit le proverbe, il vaut toujours mieux pr\u00e9venir que gu\u00e9rir !<\/p>\n
<\/div>\nD\u00e9couvrez ce qui s’est r\u00e9ellement pass\u00e9 et comblez les lacunes<\/strong><\/h2>\nPeut-\u00eatre qu’apr\u00e8s une heure, il manque encore des pi\u00e8ces du puzzle. Maintenant, c’est une bonne id\u00e9e de prendre un peu de temps et de r\u00e9fl\u00e9chir \u00e0 toutes les possibilit\u00e9s et de dresser une liste. <\/p>\n
Par exemple, j’ai g\u00e9r\u00e9 un incident de s\u00e9curit\u00e9 o\u00f9 l’attaquant a lanc\u00e9 un reverse shell sur un serveur. J’ai imm\u00e9diatement d\u00e9cid\u00e9 de contenir le serveur et j’ai rassembl\u00e9 toutes les preuves. Mais mes co\u00e9quipiers et moi ne pouvions toujours pas comprendre comment le serveur avait \u00e9t\u00e9 compromis, nous avons donc dress\u00e9 une liste de tous les services accessibles et examin\u00e9 les journaux pertinents pour chaque service. <\/p>\n
Les sp\u00e9culations initiales placent un outil d’exploitation informatique comme indicateur de compromission. Mais finalement, nous avons annul\u00e9 cette sp\u00e9culation en rayant toutes les possibilit\u00e9s et avons conclu qu’il devait y avoir une faille de s\u00e9curit\u00e9 inh\u00e9rente \u00e0 son service Web. <\/p>\n
De temps \u00e0 autre, au cours de l’analyse post-infraction, les analystes du CSIRT peuvent rencontrer des difficult\u00e9s pour relier les points. Mais la v\u00e9rit\u00e9 pr\u00e9vaudra toujours avec suffisamment de patience et un \u00e9tat d’esprit correct.<\/p>\n
Ce que vous devriez consid\u00e9rer<\/strong><\/h2>\nEn conclusion, g\u00e9rer efficacement l’intervalle de temps crucial d’une heure apr\u00e8s un incident critique n\u00e9cessite plus qu’un apprentissage sur place. <\/p>\n
En plus des sp\u00e9cialit\u00e9s techniques, les analystes exp\u00e9riment\u00e9s du CSIRT b\u00e9n\u00e9ficieront \u00e9galement d’une pr\u00e9paration approfondie de leurs actifs et de leurs adversaires, de la hi\u00e9rarchisation des t\u00e2ches et de la prise de d\u00e9cisions rapides en cas de besoin, ainsi que de la capacit\u00e9 de discerner des faits concrets en utilisant le processus d’\u00e9limination. .<\/p>\n
Ceci est juste un autre extrait des histoires dans le Navigateur de s\u00e9curit\u00e9<\/a>. D’autres \u00e9l\u00e9ments int\u00e9ressants tels que les op\u00e9rations r\u00e9elles de CSIRT et de pentesting, ainsi que des tonnes de faits et de chiffres sur le paysage de la s\u00e9curit\u00e9 en g\u00e9n\u00e9ral peuvent \u00e9galement \u00eatre trouv\u00e9s l\u00e0-bas. Le rapport complet est disponible en t\u00e9l\u00e9chargement sur le site Orange Cyberdefense, alors n’h\u00e9sitez pas \u00e0 le consulter. \u00c7a en vaut la peine!<\/p>\n[1] Midler, Marisa. “Ransomware en tant que service (Raas) Menaces.” Blog SEI, 5 octobre 2020, https:\/\/insights.sei.cmu.edu\/blog\/ransomware-as-a-service-raas-threats\/<\/a><\/i><\/p>\n[2] “Phases d’un incident critique.” Eddusaver, 5 mai 2020, https:\/\/www.eddusaver.com\/phases-of-a-critical-incident\/<\/a><\/i><\/p>\nNoter – <\/b>Cet article a \u00e9t\u00e9 \u00e9crit et contribu\u00e9 par Tingyang Wei, analyste de la s\u00e9curit\u00e9 chez Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n<\/div>\n
<\/div>\nD\u00e9couvrez ce qui s’est r\u00e9ellement pass\u00e9 et comblez les lacunes<\/strong><\/h2>\nPeut-\u00eatre qu’apr\u00e8s une heure, il manque encore des pi\u00e8ces du puzzle. Maintenant, c’est une bonne id\u00e9e de prendre un peu de temps et de r\u00e9fl\u00e9chir \u00e0 toutes les possibilit\u00e9s et de dresser une liste. <\/p>\n
Par exemple, j’ai g\u00e9r\u00e9 un incident de s\u00e9curit\u00e9 o\u00f9 l’attaquant a lanc\u00e9 un reverse shell sur un serveur. J’ai imm\u00e9diatement d\u00e9cid\u00e9 de contenir le serveur et j’ai rassembl\u00e9 toutes les preuves. Mais mes co\u00e9quipiers et moi ne pouvions toujours pas comprendre comment le serveur avait \u00e9t\u00e9 compromis, nous avons donc dress\u00e9 une liste de tous les services accessibles et examin\u00e9 les journaux pertinents pour chaque service. <\/p>\n
Les sp\u00e9culations initiales placent un outil d’exploitation informatique comme indicateur de compromission. Mais finalement, nous avons annul\u00e9 cette sp\u00e9culation en rayant toutes les possibilit\u00e9s et avons conclu qu’il devait y avoir une faille de s\u00e9curit\u00e9 inh\u00e9rente \u00e0 son service Web. <\/p>\n
De temps \u00e0 autre, au cours de l’analyse post-infraction, les analystes du CSIRT peuvent rencontrer des difficult\u00e9s pour relier les points. Mais la v\u00e9rit\u00e9 pr\u00e9vaudra toujours avec suffisamment de patience et un \u00e9tat d’esprit correct.<\/p>\n
Ce que vous devriez consid\u00e9rer<\/strong><\/h2>\nEn conclusion, g\u00e9rer efficacement l’intervalle de temps crucial d’une heure apr\u00e8s un incident critique n\u00e9cessite plus qu’un apprentissage sur place. <\/p>\n
En plus des sp\u00e9cialit\u00e9s techniques, les analystes exp\u00e9riment\u00e9s du CSIRT b\u00e9n\u00e9ficieront \u00e9galement d’une pr\u00e9paration approfondie de leurs actifs et de leurs adversaires, de la hi\u00e9rarchisation des t\u00e2ches et de la prise de d\u00e9cisions rapides en cas de besoin, ainsi que de la capacit\u00e9 de discerner des faits concrets en utilisant le processus d’\u00e9limination. .<\/p>\n
Ceci est juste un autre extrait des histoires dans le Navigateur de s\u00e9curit\u00e9<\/a>. D’autres \u00e9l\u00e9ments int\u00e9ressants tels que les op\u00e9rations r\u00e9elles de CSIRT et de pentesting, ainsi que des tonnes de faits et de chiffres sur le paysage de la s\u00e9curit\u00e9 en g\u00e9n\u00e9ral peuvent \u00e9galement \u00eatre trouv\u00e9s l\u00e0-bas. Le rapport complet est disponible en t\u00e9l\u00e9chargement sur le site Orange Cyberdefense, alors n’h\u00e9sitez pas \u00e0 le consulter. \u00c7a en vaut la peine!<\/p>\n[1] Midler, Marisa. “Ransomware en tant que service (Raas) Menaces.” Blog SEI, 5 octobre 2020, https:\/\/insights.sei.cmu.edu\/blog\/ransomware-as-a-service-raas-threats\/<\/a><\/i><\/p>\n[2] “Phases d’un incident critique.” Eddusaver, 5 mai 2020, https:\/\/www.eddusaver.com\/phases-of-a-critical-incident\/<\/a><\/i><\/p>\nNoter – <\/b>Cet article a \u00e9t\u00e9 \u00e9crit et contribu\u00e9 par Tingyang Wei, analyste de la s\u00e9curit\u00e9 chez Orange Cyberdefense.<\/i><\/p>\n
<\/p>\n<\/div>\n
En conclusion, g\u00e9rer efficacement l’intervalle de temps crucial d’une heure apr\u00e8s un incident critique n\u00e9cessite plus qu’un apprentissage sur place. <\/p>\n
En plus des sp\u00e9cialit\u00e9s techniques, les analystes exp\u00e9riment\u00e9s du CSIRT b\u00e9n\u00e9ficieront \u00e9galement d’une pr\u00e9paration approfondie de leurs actifs et de leurs adversaires, de la hi\u00e9rarchisation des t\u00e2ches et de la prise de d\u00e9cisions rapides en cas de besoin, ainsi que de la capacit\u00e9 de discerner des faits concrets en utilisant le processus d’\u00e9limination. .<\/p>\n
Ceci est juste un autre extrait des histoires dans le Navigateur de s\u00e9curit\u00e9<\/a>. D’autres \u00e9l\u00e9ments int\u00e9ressants tels que les op\u00e9rations r\u00e9elles de CSIRT et de pentesting, ainsi que des tonnes de faits et de chiffres sur le paysage de la s\u00e9curit\u00e9 en g\u00e9n\u00e9ral peuvent \u00e9galement \u00eatre trouv\u00e9s l\u00e0-bas. Le rapport complet est disponible en t\u00e9l\u00e9chargement sur le site Orange Cyberdefense, alors n’h\u00e9sitez pas \u00e0 le consulter. \u00c7a en vaut la peine!<\/p>\n [1] Midler, Marisa. “Ransomware en tant que service (Raas) Menaces.” Blog SEI, 5 octobre 2020, https:\/\/insights.sei.cmu.edu\/blog\/ransomware-as-a-service-raas-threats\/<\/a><\/i><\/p>\n [2] “Phases d’un incident critique.” Eddusaver, 5 mai 2020, https:\/\/www.eddusaver.com\/phases-of-a-critical-incident\/<\/a><\/i><\/p>\n Noter – <\/b>Cet article a \u00e9t\u00e9 \u00e9crit et contribu\u00e9 par Tingyang Wei, analyste de la s\u00e9curit\u00e9 chez Orange Cyberdefense.<\/i><\/p>\n <\/p>\n<\/div>\n