En tant que praticien de la sécurité, vous vivez chaque jour quelque chose de nouveau. Parfois, les nouveautés ne sont pas si bonnes et vous devez trouver comment réagir rapidement avant que la menace ne se propage à vos systèmes et ne cause des dommages encore plus graves. Les périmètres du réseau sont généralement très bien sécurisés, les attaquants ont donc trouvé un autre moyen de traverser.
L’un des groupes d’attaques les plus courants et les plus inquiétants est ce qu’on appelle les menaces internes, en particulier les logiciels malveillants. Ceux-ci tentent de compromettre un système et de le faire attaquer d’autres systèmes au sein de votre réseau. Cela signifie que ce trafic d’attaque ne sera pas détectable sur le périmètre du réseau. Il est essentiel que votre organisation de sécurité dispose d’un plan complet de détection et de réponse aux incidents. Jetons un coup d’œil aux 5 étapes cruciales de la détection et de la réponse aux incidents.
#1 Avoir des outils et des processus appropriés en place
Il y a toujours un risque que les menaces soient manquées parmi les flots de faux positifs et négatifs ou qu’elles ne fassent que passer à travers les lacunes de visibilité. Pour créer un cadre de cybersécurité vraiment complet, les analystes de Gartner suggèrent d’adopter l’approche appelée SOC Visibility Triad. Composée de SIEM, Endpoint Detection and Response (EDR) et Network Detection and Response (NDR, anciennement appelé Network Traffic Analysis), cette triade de visibilité permet d’éliminer les points faibles et de renforcer la cybersécurité via la coopération.
Alors que l’EDR est la seule fenêtre sur les points de terminaison et que les SIEM traitent la richesse et la profondeur des journaux. NDR fournit la perspective de réseau holistique. Le NDR permet de détecter les violations à chaque étape de la compromission, car chaque adversaire laisse des empreintes dans le trafic réseau et complète ainsi les capacités SIEM et EDR.
#2 Détecter, analyser et déterminer la portée de l’incident
Étant donné que la grande majorité des activités malveillantes peuvent être observées dans le trafic réseau, y compris les logiciels malveillants, nous pouvons utiliser des outils pour effectuer une analyse médico-légale des modèles de trafic et du contenu. L’analyse des ports, la communication avec les serveurs de botnet C&C (Command and Control), les transferts de données élevés, les anomalies et les changements de comportement de l’hôte ne sont que quelques-uns des indicateurs qui indiquent une compromission en cours.
Une fois que l’outil de détection vous alerte d’une activité suspecte sur le réseau, vous devez identifier l’auteur de l’événement et identifier le ou les appareils responsables de l’événement. Les outils NDR sont très efficaces car ils peuvent vous fournir de nombreuses informations supplémentaires, notamment l’appareil concerné par adresse IP, le nom de domaine de l’appareil, le nom de domaine de l’appareil enregistré au moment de la détection, l’adresse physique de l’appareil (adresse MAC) et l’utilisateur identité. En cas de ransomware, vous pouvez extraire des indicateurs de compromission tels que des URL, des hachages, des adresses IP, etc.
Il est important de déterminer l’étendue de l’incident car les menaces modernes se déplacent généralement latéralement et se propagent rapidement dans tout le réseau. Il est important d’analyser la communication sur le réseau de données, d’identifier toutes les communications, les systèmes potentiellement affectés, l’activité de l’attaquant et tout autre système potentiellement compromis.
#3 Répondre à un stade précoce
L’objectif de chaque processus de réponse doit être le confinement du code malveillant afin d’atténuer son impact sur votre réseau et vos données. Parfois, l’ensemble du processus de réponse peut être automatisé, mais parfois de lourdes charges sont nécessaires pour exécuter manuellement certaines de vos actions. Votre réponse commence par la découverte d’un événement anormal, l’indicateur de compromission (IoC). Mais à chaque fois, votre réponse doit inclure quelques étapes de base basées sur l’observation de l’IoC :
- bloquer les e-mails entrants sur le serveur de messagerie (basé sur un IoC particulier),
- suppression des e-mails malveillants des boîtes aux lettres des utilisateurs,
- bloquer l’accès des URL malveillantes sur le proxy,
- identifier les postes de travail qui ont visité des URL malveillantes et qui pourraient donc être infectés,
- identifier les postes de travail qui ont téléchargé la charge utile avec des IoC indésirables et qui ont exécuté certains fichiers par le système EDR ou un outil similaire dont vous disposez.,
- bloquer le trafic de ransomware indiquant l’appel à la maison sur IPS, pare-feu et sur proxy
- empêcher les postes de travail absents du bureau de se connecter au réseau jusqu’à ce qu’ils soient analysés pour l’infection.
En tant que professionnel de la sécurité, il est important de coopérer avec l’équipe d’exploitation du réseau. Si nécessaire, vous devez disposer de procédures permettant de fermer une succursale, une unité commerciale ou même un pays du réseau et d’arrêter la communication avec d’autres unités en cas de danger.
#4 Récupérer
Supprimez les codes malveillants du réseau et des systèmes infectés. Il est essentiel de trouver la cause première de la façon dont le code malveillant est entré dans votre réseau et de boucher la faille de sécurité. Corrigez la vulnérabilité, mettez à niveau la version du logiciel et créez une nouvelle règle SIEM basée sur les IoC observés pour empêcher de futures tentatives malveillantes.
Au cours de la phase de récupération, tous les appareils et systèmes concernés doivent être nettoyés, restaurés et remis en service. Si vous avez été touché par un ransomware et que vous ne pouvez pas déchiffrer les fichiers, restaurez les données à partir de la dernière sauvegarde propre.
#5 Évaluer
Effectuer une autopsie rapport d’incident « leçons apprises » qui vous aidera à améliorer le plan de réponse aux incidents et à renforcer votre défense. Il est également important de poursuivre la surveillance de la sécurité car certaines attaques peuvent n’être qu’une couverture pour d’autres activités malveillantes. Passez en revue l’incident et les vulnérabilités possibles qu’il a révélées dans votre infrastructure et vos procédures. Une bonne sécurité est un processus continu. Vous pouvez également programmer une formation pour éduquer les employés s’il y avait une vulnérabilité humaine/sociale exposée.
Détection et réponse complètes aux incidents
Toutes les organisations informatiques ont des incidents de sécurité. Les meilleures équipes de sécurité disposent d’un plan complet de réponse aux incidents et aux détections. Il est important d’agir rapidement et délibérément lorsqu’un incident est découvert. Construisez votre plan autour de ces 5 étapes pour faire passer votre plan de réponse de sécurité au niveau supérieur.
Photo pixabay.com : @geralt