La réponse aux incidents de cybersécurité

Les menaces qui pèsent sur les entreprises se multiplient malgré une expertise et des investissements croissants dans la sécurité informatique. Les entreprises ne peuvent plus se protéger efficacement par la seule prévention. Il montre que la plupart des organisations ne peuvent pas détecter les intrusions initiales.

Ils doivent donc être en mesure de réagir correctement aux événements des systèmes informatiques. Dès qu’une entreprise détecte une violation de sa politique de sécurité et déclenche un incident de sécurité. Comme ces événements compromettent principalement des données personnelles et professionnelles sensibles, elle doit réagir rapidement (avant que des dommages majeurs ne se produisent). Pour pouvoir le faire, une excellente méthodologie de gestion des incidents aide vraiment à avancer.

Le national Institute of Standards and Technology (NIST)

Le NIST classe les types d’incidents d’attaque, voici une méthode qui convient au plus grand nombre.

  • Support externe/amovible : une attaque exécutée à partir d’un support amovible (par exemple, une clé USB ou un CD) ou un périphérique.
  • Attrition : Une attaque qui utilise des méthodes de force brute pour compromettre, dégrader ou détruire des systèmes, des réseaux ou des services.
  • Utilisation inappropriée : tout incident résultant de la violation des politiques d’utilisation acceptables d’une entreprise par un utilisateur autorisé, à l’exclusion des moyens des catégories ci-dessus.
  • Perte ou vol d’équipement : La perte ou le vol d’un appareil informatique ou d’un support utilisé par l’organisation, comme un ordinateur portable ou un smartphone.
  • Autre : Une attaque qui n’entre dans aucunes autres catégories.

La gestion des incidents de données

La gestion des incidents donnés est essentiellement la tâche des équipes d’intervention et réponses informatiques ou des équipes d’intervention en cas d’incident de sécurité informatique, également connues sous le nom de CERT, CSIRT ou même IR.

Après une première évaluation de la situation, il est généralement nécessaire de déterminer s’il existe un danger imminent pour la vie ou l’intégrité physique (comme dans le cas d’installations manufacturières et industrielles). Mais de plus un risque de manipulation, de sabotage ou d’exfiltration de données sensibles. Les données. Si nécessaire, un tel danger peut être contenu par des mesures immédiates, par lesquelles l’attaquant ne doit pas être informé de l’existence des activités de réponse à l’incident si cela est possible. L’équipe d’intervention en cas d’incident tente ensuite d’identifier suffisamment les activités actuelles et passées de l’attaquant. Il est important de les observer sur une courte période pour se faire une idée de ses capacités, de ses procédures et de ses motivations possibles.

La collecte d’informations est essentielle pour retracer les activités d’un incident. Il garantit l’identification de preuves.

Cette étape critique du processus de réponse aux incidents, Maltego aide les équipes IR (incidents et réponses) à recueillir des renseignements à partir de sources de données publiques gratuites et payantes.

 

incident-response

Matrices MITRE ATT&CK & D3FEND

Au cours des dernières années, les équipes de réponse aux incidents ont été débordées car elles n’ont pas été en mesure de gérer correctement le paysage croissant des menaces qui affectaient les organisations de manière persistante et percutante. Dans le passé, il était courant de définir des procédures opérationnelles standard (SOP) alignées sur les types courants de déclencheurs que les équipes de détection détectaient et traitaient potentiellement. Ces observations ont été transmises aux équipes d’intervention (IR-Teams). Cette approche n’était cependant pas suffisante, de sorte que la discipline s’est tournée vers l’utilisation active des renseignements sur les menaces pour une meilleure compréhension du paysage des menaces : énumérer les acteurs de la menace, leurs tactiques, techniques et procédures (TTP) et suivre leurs campagnes en cours en fonction d’indicateurs spécifiques de compromission. (IoC) utilisés dans chaque cyberattaque.

Afin de structurer correctement toutes les informations de l’adversaire, MITRE ATT&CK Framework est né. Le cadre MITRE ATT&CK est une base de connaissances accessible dans le monde entier sur les tactiques et techniques de l’adversaire, basée sur des observations du monde réel. La base de connaissances est utilisée comme base pour le développement de modèles et de méthodologies de menaces spécifiques dans le secteur privé, au gouvernement et dans la communauté des produits et services de cybersécurité.

La plupart des acteurs de l’industrie suivent ce cadre afin d’aligner la génération d’informations sur les menaces (échangées dans des plates-formes TIP bien connues telles que MISP ou OpenIOC), les signatures de détection utilisant des langages standardisés tels que YARA, les capacités de réponse telles que celles disponibles dans Plates-formes d’orchestration de sécurité (SOAR) et outils d’investigation OSINT/DFIR pivotant dans les preuves numériques en ligne/hors ligne telles que Maltego.

Au cours de la dernière année, un nouveau cadre complémentaire connu sous le nom de D3FEND a vu le jour pour aider les défenseurs à encoder les contre-mesures dans un graphe de connaissances. Il contient des types et des relations qui définissent à la fois les concepts clés dans le domaine des contre-mesures de cybersécurité et les relations nécessaires pour relier ces concepts les uns aux autres.