DFIR intègre deux disciplines distinctes de cybersécurité : l'analyse contextuelle numérique, l'investigation des cybermenaces, principalement pour rassembler des preuves numériques et poursuivre en justice les cybercriminels, et la réponse aux incidents, la détection et l'atténuation des cyberattaques en cours. En combinant ces deux disciplines, DFIR permet aux équipes chargées de la sécurité de bloquer les menaces plus rapidement et de conserver les preuves qui risqueraient de disparaître dans l'urgence de l'atténuation des menaces.
L'analyse contextuelle numérique permet de mener des investigations et de reconstituer les incidents de cybersécurité en rassemblant, en analysant et en conservant les preuves numériques, c'est-à-dire les traces, telles que les fichiers des logiciels et les scripts malveillants, laissées par les auteurs des menaces. Grâce à ces reconstructions, les responsables des investigations peuvent déterminer l'origine des attaques et identifier les coupables.
Les investigations de l'analyse contextuelle numérique suivent un processus strict qui garantit l'authenticité des preuves, à savoir un processus formel de suivi de la manière dont les preuves sont rassemblées et traitées. Grâce à ce processus, les responsables des investigations peuvent certifier que les preuves n'ont pas été falsifiées. Par conséquent, les preuves qui résultent de l'analyse contextuelle numérique peuvent être exhibées officiellement dans des procès, des demandes d'indemnisation par les assurances et des audits de respect des réglementations, par exemple.
Le National Institute of Standards and Technology (NIST) (PDF, 2,7 Mo) (lien externe à ibm.com) décrit les quatre étapes d'investigations de l'analyse contextuelle numérique :
Après une violation, les responsables chargés des investigations recueillent des données sur les systèmes d'exploitation, les comptes utilisateur, les appareils mobiles et tous les autres matériels ou logiciels auxquels les acteurs de la menace ont pu avoir accès. Les sources courantes des données de l'analyse contextuelle comprennent :
Pour préserver l'intégrité des preuves, les enquêteurs créent des copies des données avant de les traiter. Ils protègent les données originelles, afin qu'elles ne puissent pas être modifiées ; les investigations suivantes étant effectuées sur les copies.
Les enquêteurs passent au peigne fin les données pour identifier les signes de l'activité cybercriminelle, tels que les courriers électroniques d'hameçonnage, les fichiers modifiés et les connexions suspectes.
Les enquêteurs utilisent des techniques d'analyse contextuelle pour traiter, mettre en corrélation et extraire des informations des preuves numériques. Ils peuvent également se référer à des sources de renseignements sur les menaces propriétaires ou open source afin de lier leurs conclusions à des acteurs de la menace.
Les enquêteurs rédigent un rapport qui explique ce qui s'est passé lors de l'événement de sécurité et, si possible, identifie les suspects ou les coupables. Le rapport peut contenir des recommandations pour déjouer de futures attaques. Il peut être transmis à la police, aux assureurs, aux régulateurs et à d'autre autorités.
La réponse aux incidents porte sur la détection et la réponse aux violations de la sécurité. Son objectif est de prévenir les attaques avant qu'elles ne se produisent et de réduire les coûts et les perturbations des opérations quand des attaques se produisent.
Les actions de réponse aux incidents reposent sur des plans connexes (IRP) qui décrivent la manière dont l'équipe chargée de les appliquer doit traiter les cybermenaces. Le processus de réponse aux incidents comporte habituellement six étapes :
Lorsque l'analyse contextuelle numérique et la réponse aux incidents sont menées séparément, elles peuvent interférer l'une avec l'autre. L'équipe de réponse aux incidents peut modifier ou détruire des preuves lors de l'élimination d'une menace dans le réseau, et les personnes qui procèdent aux investigations peuvent retarder la résolution de la menace pendant qu'elles recherchent des preuves. L'information peut ne pas circuler entre ces équipes, ce qui les rend moins efficaces.
DFIR fusionne ces deux disciplines dans un seul processus exécuté par une seule équipe. Il en résulte des avantages importants :
La collecte des données de l'analyse contextuelle a lieu parallèlement à l'atténuation de la menace. Au cours du processus DFIR, l'équipe de réponse aux incidents utilise des techniques d'analyse contextuelle pour collecter et conserver les preuves numériques pendant qu'elle bloque et éradique une menace. Ainsi, elle garantit l'authenticité des preuves et certifie que les preuves importantes ne sont pas altérées ou détruites par les opérations de réponse aux incidents.
La vérification après incident inclut l'analyse des preuves numériques. DFIR utilise ces preuves numériques pour analyser de manière plus approfondie les incidents de sécurité. Les équipes DFIR examinent et analysent les preuves qu'elles ont rassemblées pour reconstituer complètement l'incident. Le processus DFIR se termine par la production d'un rapport qui explique en détail ce qui s'est produit et l'étendue des dommages et indique la manière d'éviter une attaque similaire.
Les avantages :
Dans certaines entreprises, le processus DFIR est géré par une équipe interne de réponse aux incidents de sécurité informatique (CSIRT), parfois appelée « équipe de réponse aux urgences informatiques (CERT) ». L'équipe CSIRT peut être constituée du responsable de la sécurité de l'information, du centre des opérations de sécurité et du personnel informatique, des dirigeants et d'autres parties prenantes de l'entreprise.
De nombreuses entreprises ne disposent pas des ressources pour exécuter elles-mêmes un processus DFIR. Dans ce cas, elles peuvent faire appel à des services DFIR tiers qui interviennent dans le cadre d'un contrat.
Les spécialistes DFIR, internes ou externes, utilisent les mêmes outils DFIR pour détecter, analyser et résoudre les menaces. Ces outils comprennent :
Gestion des informations et des événements de sécurité (SIEM) : SIEM collecte et établit des corrélations avec les données des événements de sécurité des outils de sécurité et d'autres dispositifs du réseau.
Orchestration de la sécurité, automatisation et réponse (SOAR) : SOAR permet aux équipes DFIR de collecter et d'analyser les données de sécurité, de définir des flux de travail de réponse aux incidents et d'automatiser les tâches de sécurité répétitives ou de bas niveau.
Détection et réponse des terminaux (EDR) : EDR intègre des outils de sécurité des terminaux et utilise l'analytique en temps réel et l'automatisation optimisée par l'IA pour protéger les organisations contre les cybermenaces qui contournent les logiciels antivirus et les autres technologies traditionnelles de protection des terminaux.
Détection et réponse étendues (XDR) : XDR est une architecture ouverte de cybersécurité qui intègre des outils de sécurité et unifie les opérations de sécurité dans toutes les couches de sécurité : utilisateurs, terminaux, messagerie, applications, réseaux, charges de travail cloud et données. En éliminant les absences de visibilité entre les outils, XDR permet aux équipes chargées de la sécurité de détecter et de résoudre les menaces plus rapidement et plus efficacement et de limiter les dommages qu'elles provoquent.
Détectez et endiguez les attaques et rétablissez les opérations grâce à la préparation à la réponse aux incidents (IR) et aux services IR d'urgence 24 h/24 et 7 j/7 pour atténuer l'impact des violations.
Identifiez les attaques et les vulnérabilités graves et empêchez-les de perturber vos opérations.
Détectez les menaces cachées avant qu'il ne soit trop tard grâce à la visibilité sur le réseau et à l'analytique avancée.
Découvrez les dernières informations sur les menaces et les tendances en matière de sécurité dans le cloud et comment améliorer votre posture de sécurité en utilisant les informations d'IBM Security X-Force.
Le parcours vers l'orchestration de la réponse aux incidents commence par la responsabilisation des personnes, l'élaboration d'un processus cohérent et reproductible, puis l'utilisation de la technologie pour l'exécution. Ce guide présente les étapes essentielles de la mise en place d'une fonction robuste de réponse aux incidents.
Un plan officiel de réponse aux incidents permet aux équipes chargées de la cybersécurité de limiter ou de prévenir les dommages des cyberattaques ou des violations de sécurité.
La gestion des informations et des événements de sécurité (SIEM) permet de surveiller et d'analyser en temps réel les événements et de suivre et de consigner les données de sécurité à des fins de conformité et d'audit.
Les renseignements sur les menaces sont des informations détaillées et exploitables sur les menaces qui permettent de prévenir et de combattre les cybermenaces qui ciblent une organisation.
Un ransomware prend en otage les appareils et les données des victimes jusqu'au versement d'une rançon. Découvrez comment fonctionnent les ransomwares, pourquoi ils ont proliféré ces dernières années et comment les organisations s'en protègent.