DFIR intègre deux disciplines distinctes de cybersécurité : l'analyse contextuelle numérique, l'investigation des cybermenaces, principalement pour rassembler des preuves numériques et poursuivre en justice les cybercriminels, et la réponse aux incidents, la détection et l'atténuation des cyberattaques en cours. En combinant ces deux disciplines, DFIR permet aux équipes chargées de la sécurité de bloquer les menaces plus rapidement et de conserver les preuves qui risqueraient de disparaître dans l'urgence de l'atténuation des menaces.
L'analyse contextuelle numérique permet de mener des investigations et de reconstituer les incidents de cybersécurité en rassemblant, en analysant et en conservant les preuves numériques, c'est-à-dire les traces, telles que les fichiers des logiciels et les scripts malveillants, laissées par les auteurs des menaces. Grâce à ces reconstructions, les responsables des investigations peuvent déterminer l'origine des attaques et identifier les coupables.
Les investigations de l'analyse contextuelle numérique suivent un processus strict qui garantit l'authenticité des preuves, à savoir un processus formel de suivi de la manière dont les preuves sont rassemblées et traitées. Grâce à ce processus, les responsables des investigations peuvent certifier que les preuves n'ont pas été falsifiées. Par conséquent, les preuves qui résultent de l'analyse contextuelle numérique peuvent être exhibées officiellement dans des procès, des demandes d'indemnisation par les assurances et des audits de respect des réglementations, par exemple.
Le National Institute of Standards and Technology (NIST) (PDF, 2,7 Mo) (lien externe à ibm.com) décrit les quatre étapes d'investigations de l'analyse contextuelle numérique :
Après une violation, les responsables chargés des investigations recueillent des données sur les systèmes d'exploitation, les comptes utilisateur, les appareils mobiles et tous les autres matériels ou logiciels auxquels les acteurs de la menace ont pu avoir accès. Les sources courantes des données de l'analyse contextuelle comprennent :
- Analyse contextuelle des fichiers système : données trouvées dans les fichiers et les dossiers stockés sur les terminaux.
- Analyse contextuelle de la mémoire : données trouvées dans la mémoire vive (RAM) d'un appareil.
- Analyse contextuelle du réseau : données trouvées en examinant l'activité du réseau, telle que la navigation Web et les communications entre les appareils.
- Analyse contextuelle des applications : données présentes dans les journaux des applications et des autres logiciels.
Pour préserver l'intégrité des preuves, les enquêteurs créent des copies des données avant de les traiter. Ils protègent les données originelles, afin qu'elles ne puissent pas être modifiées ; les investigations suivantes étant effectuées sur les copies.
Les enquêteurs passent au peigne fin les données pour identifier les signes de l'activité cybercriminelle, tels que les courriers électroniques d'hameçonnage, les fichiers modifiés et les connexions suspectes.
Les enquêteurs utilisent des techniques d'analyse contextuelle pour traiter, mettre en corrélation et extraire des informations des preuves numériques. Ils peuvent également se référer à des sources de renseignements sur les menaces propriétaires ou open source afin de lier leurs conclusions à des acteurs de la menace.
Les enquêteurs rédigent un rapport qui explique ce qui s'est passé lors de l'événement de sécurité et, si possible, identifie les suspects ou les coupables. Le rapport peut contenir des recommandations pour déjouer de futures attaques. Il peut être transmis à la police, aux assureurs, aux régulateurs et à d'autre autorités.
La réponse aux incidents porte sur la détection et la réponse aux violations de la sécurité. Son objectif est de prévenir les attaques avant qu'elles ne se produisent et de réduire les coûts et les perturbations des opérations quand des attaques se produisent.
Les actions de réponse aux incidents reposent sur des plans connexes (IRP) qui décrivent la manière dont l'équipe chargée de les appliquer doit traiter les cybermenaces. Le processus de réponse aux incidents comporte habituellement six étapes :
- Préparation : la préparation est l'évaluation, l'identification et l'élimination en continu des vulnérabilités (gestion des vulnérabilités) et l'établissement de plans de réponse aux incidents pour différentes cybermenaces.
- Détection et analyse : les personnes chargées de répondre aux incidents surveillent le réseau pour détecter les activités suspectes. Elles analysent les données, identifient les faux positifs et trient les alertes.
- Endiguement : lorsqu'une violation est détectée, l'équipe de réponse aux incidents prend des mesures pour bloquer la menace afin qu'elle ne se propage pas sur le réseau.
- Éradication : une fois la menace contenue, l'équipe de réponse aux incidents la supprime du réseau, par exemple en détruisant des fichiers de ransomware ou en expulsant un acteur de menace d'une unité.
- Récupération : une fois que toutes les traces de la menace ont été supprimées, l'équipe de réponse aux incidents restaure les systèmes endommagés pour qu'ils fonctionnent à nouveau normalement.
- Vérification après l'incident : l'équipe vérifie la violation pour déterminer la manière dont elle s'est produite et se prépare pour faire face à des menaces futures.
Lorsque l'analyse contextuelle numérique et la réponse aux incidents sont menées séparément, elles peuvent interférer l'une avec l'autre. L'équipe de réponse aux incidents peut modifier ou détruire des preuves lors de l'élimination d'une menace dans le réseau, et les personnes qui procèdent aux investigations peuvent retarder la résolution de la menace pendant qu'elles recherchent des preuves. L'information peut ne pas circuler entre ces équipes, ce qui les rend moins efficaces.
DFIR fusionne ces deux disciplines dans un seul processus exécuté par une seule équipe. Il en résulte des avantages importants :
La collecte des données de l'analyse contextuelle a lieu parallèlement à l'atténuation de la menace. Au cours du processus DFIR, l'équipe de réponse aux incidents utilise des techniques d'analyse contextuelle pour collecter et conserver les preuves numériques pendant qu'elle bloque et éradique une menace. Ainsi, elle garantit l'authenticité des preuves et certifie que les preuves importantes ne sont pas altérées ou détruites par les opérations de réponse aux incidents.
La vérification après incident inclut l'analyse des preuves numériques. DFIR utilise ces preuves numériques pour analyser de manière plus approfondie les incidents de sécurité. Les équipes DFIR examinent et analysent les preuves qu'elles ont rassemblées pour reconstituer complètement l'incident. Le processus DFIR se termine par la production d'un rapport qui explique en détail ce qui s'est produit et l'étendue des dommages et indique la manière d'éviter une attaque similaire.
Les avantages :
- Prévention plus efficace des menaces. Les équipes DFIR enquêtent sur les incidents de manière plus approfondie que les équipes traditionnelles de réponse aux incidents. Les investigations DFIR peuvent permettre aux équipes chargées de la sécurité de mieux comprendre les cybermenaces, de créer des plans de réponse aux incidents plus efficaces et de bloquer davantage d'attaques avant qu'elles ne se produisent. Ces investigations peuvent également contribuer à rationaliser la recherche des menaces en découvrant des preuves de l'existence de menaces actives inconnues.
- Peu de preuves perdues ou aucune preuve éliminée pendant la résolution des menaces. Dans le cadre d'un processus standard de réponse aux incidents, l'équipe en charge peut agir précipitamment pour contenir la menace. Par exemple, si elle met hors service une unité infectée pour qu'une menace ne se diffuse pas, les preuves laissées dans la mémoire RAM de l'unité disparaissent. Formées à l'analyse contextuelle numérique et à la réponse aux incidents, les équipes DFIR sont compétentes pour protéger les preuves lors de la résolution des incidents.
- Réduction des litiges. Comme les équipes DFIR suivent le processus strict de garantie de l'authenticité des preuves, les résultats des investigations peuvent être communiqués à la police et utilisés pour poursuivre les cybercriminels. Les investigations DFIR peuvent appuyer les demandes d'indemnisation par les assurances et les audits de respect des réglementations après une violation.
- Reprise plus rapide et plus efficace des opérations après une menace. Comme les investigations de l'analyse contextuelle sont plus solides que les investigations standard de réponse aux incidents, les équipes DFIR peuvent faire remonter les logiciels malveillants ou les dommages système qui ne sont pas apparents. Ainsi, les équipes de sécurité peuvent éradiquer les menaces et permettre de reprendre les opérations plus efficacement après des attaques.
Dans certaines entreprises, le processus DFIR est géré par une équipe interne de réponse aux incidents de sécurité informatique (CSIRT), parfois appelée « équipe de réponse aux urgences informatiques (CERT) ». L'équipe CSIRT peut être constituée du responsable de la sécurité de l'information, du centre des opérations de sécurité et du personnel informatique, des dirigeants et d'autres parties prenantes de l'entreprise.
De nombreuses entreprises ne disposent pas des ressources pour exécuter elles-mêmes un processus DFIR. Dans ce cas, elles peuvent faire appel à des services DFIR tiers qui interviennent dans le cadre d'un contrat.
Les spécialistes DFIR, internes ou externes, utilisent les mêmes outils DFIR pour détecter, analyser et résoudre les menaces. Ces outils comprennent :
Gestion des informations et des événements de sécurité (SIEM) : SIEM collecte et établit des corrélations avec les données des événements de sécurité des outils de sécurité et d'autres dispositifs du réseau.
Orchestration de la sécurité, automatisation et réponse (SOAR) : SOAR permet aux équipes DFIR de collecter et d'analyser les données de sécurité, de définir des flux de travail de réponse aux incidents et d'automatiser les tâches de sécurité répétitives ou de bas niveau.
Détection et réponse des terminaux (EDR) : EDR intègre des outils de sécurité des terminaux et utilise l'analytique en temps réel et l'automatisation optimisée par l'IA pour protéger les organisations contre les cybermenaces qui contournent les logiciels antivirus et les autres technologies traditionnelles de protection des terminaux.
Détection et réponse étendues (XDR) : XDR est une architecture ouverte de cybersécurité qui intègre des outils de sécurité et unifie les opérations de sécurité dans toutes les couches de sécurité : utilisateurs, terminaux, messagerie, applications, réseaux, charges de travail cloud et données. En éliminant les absences de visibilité entre les outils, XDR permet aux équipes chargées de la sécurité de détecter et de résoudre les menaces plus rapidement et plus efficacement et de limiter les dommages qu'elles provoquent.
Détectez et endiguez les attaques et rétablissez les opérations grâce à la préparation à la réponse aux incidents (IR) et aux services IR d'urgence 24 h/24 et 7 j/7 pour atténuer l'impact des violations.
Identifiez les attaques et les vulnérabilités graves et empêchez-les de perturber vos opérations.
Détectez les menaces cachées avant qu'il ne soit trop tard grâce à la visibilité sur le réseau et à l'analytique avancée.
Découvrez les dernières informations sur les menaces et les tendances en matière de sécurité dans le cloud et comment améliorer votre posture de sécurité en utilisant les informations d'IBM Security X-Force.
Le parcours vers l'orchestration de la réponse aux incidents commence par la responsabilisation des personnes, l'élaboration d'un processus cohérent et reproductible, puis l'utilisation de la technologie pour l'exécution. Ce guide présente les étapes essentielles de la mise en place d'une fonction robuste de réponse aux incidents.
Un plan officiel de réponse aux incidents permet aux équipes chargées de la cybersécurité de limiter ou de prévenir les dommages des cyberattaques ou des violations de sécurité.
La gestion des informations et des événements de sécurité (SIEM) permet de surveiller et d'analyser en temps réel les événements et de suivre et de consigner les données de sécurité à des fins de conformité et d'audit.
Les renseignements sur les menaces sont des informations détaillées et exploitables sur les menaces qui permettent de prévenir et de combattre les cybermenaces qui ciblent une organisation.
Un ransomware prend en otage les appareils et les données des victimes jusqu'au versement d'une rançon. Découvrez comment fonctionnent les ransomwares, pourquoi ils ont proliféré ces dernières années et comment les organisations s'en protègent.