Répondre aux atteintes à la cybersécurité

Securitylocus aide votre entreprise à répondre aux violations de cybersécurité.

Cette image a un attribut alt vide ; son nom de fichier est Logo-400x400-1.jpg
Vecteur logos Microsoft dans (. SVG, . EPS. IA. CDR. PDF) téléchargement gratuit

Aperçu

La réponse aux incidents (RI) est la pratique qui consiste à préparer une organisation à l’événement d’une sécurité ou d’une violation de données par une multitude de moyens. Tous les incidents ne seront pas les mêmes et, en tant que tels, les intervenants en cas d’incident doivent avoir la capacité de réagir à différentes situations. Cela nécessite un plan soigneusement documenté et facilement exécutable pour permettre à une organisation d’éradiquer rapidement les logiciels malveillants, les ransomwares ou similaires.

Répondre à une faille de sécurité – Vue d’ensemble

Les six étapes du processus d’intervention en cas d’incident

CREST – un organisme à but non lucratif qui fournit une assurance sur la qualité des services offerts par les entreprises de sécurité – a développé un modèle bien défini pour évaluer la maturité de chacune des six étapes de la réponse aux incidents.

Le graphique ci-dessous montre comment ce modèle traite les contrôles en six étapes du processus de réponse aux incidents. Nous allons examiner en détail les contrôles pour chacune de ces étapes.

Graphique de réponse aux incidents

Préparation

La clé de l’étape de préparation est d’effectuer une analyse minutieuse lors des tests d’incident simulés.

Cela permet à une organisation de créer un calendrier de réponse aux incidents soigneusement construit avec toutes les responsabilités attribuées à l’intervenant le plus approprié.

Un plan d’intervention en cas d’incident doit également inclure une analyse des ressources IR dont dispose une entreprise, telles que des listes de ports, des analyseurs de protocole, des diagrammes de réseau, etc.

Cette analyse devrait se conclure par la préparation d’une trousse d’outils IR, prête à l’emploi en cas de violation.

pièce d'identité

Une organisation devrait s’assurer que les moyens de défense relatifs sont en place pour s’assurer que les indicateurs de compromission sont identifiés.

Ces identificateurs comprennent :

  • Trafic réseau sortant inhabituel
  • Nouveaux utilisateurs administrateurs créés
  • Anomalies dans l’activité du compte d’utilisateur privilégié (première connexion à un système)
  • Irrégularités géographiques (tentatives de connexion non standard)
  • Augmentation du volume de lecture de la base de données (vidage de la base de données)
  • Grand nombre de demandes pour le même fichier
  • Modifications suspectes du registre ou des fichiers système
  • Correction inattendue
  • Signes d’activité DDoS

Si une équipe de sécurité informatique n’a pas l’impression que ces indicateurs apparaîtraient dans son système de sécurité, un examen plus approfondi peut être nécessaire.

Confinement

Une fois qu’une organisation est convaincue qu’un incident peut ou sera identifié, l’accent est mis sur la maîtrise de cet incident. Une organisation devrait attribuer des plans d’action définis en fonction de l’impact potentiel de divers incidents.

Le service informatique doit examiner s’il a le contrôle d’aspects tels que le blocage des accès non autorisés, le blocage des adresses IP et e-mail dangereuses ou même l’isolation des systèmes sur le réseau, entre autres. Cet exercice garantit que la fonction informatique a un contrôle et une visibilité complets de ces actions.

Éradication

L’étape suivante consiste à éliminer la cause de l’incident – cette étape peut chevaucher l’étape de confinement.

L’objectif ici est d’éradiquer la cause, l’incident réel et le compromis lui-même. Une fois cela fait, il est impératif que l’éradication soit vérifiée (par exemple, en surveillant le trafic et en examinant les journaux critiques).

Le processus de RI devrait permettre des étapes d’éradication telles que :

  • Suppression de l’attaque du réseau
  • Suppression des logiciels malveillants
  • Désactivation des comptes d’utilisateurs piratés
  • Identifier les vulnérabilités qui ont été exploitées
  • Atténuation des vulnérabilités exploitées
  • Existe-t-il un processus officiel pour le traitement des preuves lorsqu’il s’agit d’un incident?
  • Y a-t-il des étapes à suivre pour préserver les preuves lors de la gestion de l’incident?

restauration

Un plan de redressement détaillé devrait être préparé et examiné pour déterminer que tous les processus de rétablissement sont effectués pour assurer la restauration du système dès que possible, tels que: restaurer le système à partir des journaux de sauvegarde, informer les parties prenantes concernées et remédier aux vulnérabilités similaires identifiées sur le réseau, etc.

La phase de restauration doit également tenir compte de la validation du retour des systèmes à la pleine exploitation et à la protection.

Le plan de RI devrait envisager d’inclure des éléments tels qu’un test d’intrusion externe pour évaluer que les correctifs restaurés sont suffisants. Il faudrait également tenir compte du niveau de détail fourni aux intervenants et du calendrier pour ceux-ci.

Leçons apprises

Ceci est souvent considéré comme l’étape la plus importante du processus de RI, car les leçons apprises peuvent contribuer grandement à prévenir de futurs incidents.

En bref, cette étape implique :

1) Effectuer un examen post-incident pour identifier toutes les mesures prises au cours du processus de rétablissement

2) Documenter officiellement ces leçons, identifier où les leçons ont été apprises et les communiquer aux parties prenantes concernées

3) Mise à jour et modification du plan de RI existant pour permettre l’application de ces leçons à de futurs incidents

Conclusion

Bien qu’il ne soit pas possible de se préparer pleinement à des incidents futurs inconnus, certains éléments d’un processus d’intervention en cas d’incident nécessitent une préparation pour permettre une atténuation efficace des incidents.

En fin de compte, un plan d’intervention en cas d’incident doit non seulement être défini officiellement, mais doit également être évalué périodiquement pour s’assurer qu’il est toujours efficace.

L’application d’un cadre de réponse aux incidents bien défini et mature, comme celui développé par CREST, aide à couvrir tous les aspects importants d’une telle évaluation.