Quelles sont les étapes de l'investigation post-crise ?
L'investigation post-crise doit débuter par une analyse détaillée de la gestion de l'incident. Chaque étape, action et décision doivent être consignées avec précision.
En parallèle de cette analyse post-mortem, les analystes du Security Operations Center (SOC) vont devoir continuer à investiguer pour déterminer l'étendue réelle de l'impact et identifier toute présence persistante d'activités malveillantes.
S’appuyer sur les bons outils
Durant cette étape, les analystes du SOC vont approfondir leur compréhension des tactiques, techniques et procédures (TTP) employées par les attaquants. En analysant les journaux d'événements, les fichiers de logs, et en recourant à des outils d'analyse comportementale, les analystes chercheront à identifier des corrélations entre les différentes activités suspectes.
C'est à cet effet que l'Endpoint Detection and Response (EDR) se positionne comme un allié incontournable.
Analyser et préciser le contexte d'une attaque
Un EDR donne aux équipes IT et cyber l’ensemble des éléments contextuels liés aux évènements de sécurité. C’est dans cette optique qu’il est crucial de continuer à exploiter ces données pendant la phase d’investigation post-crise. Cette capacité à contextualiser des éléments disparates dans le temps permet d'apporter une compréhension approfondie des tactiques utilisées par les attaquants.
Ces informations (événements de sécurité, corrélations, télémétrie) peuvent également être utilisées pour retracer l’attaque et comprendre le cheminement de l’attaquant.
Repérer les traces persistantes
Certaines attaques laissent des traces persistantes dans le système. Par exemple, un acteur majeur de la distribution a pu retrouver des traces d'attaques anciennes suite au déploiement de son EDR sur l'ensemble de ses terminaux. Cette investigation poussée montre donc ici aussi son utilité pour s’assurer que l'organisation est réellement hors de danger, et que l'attaquant n'est plus présent dans le système.
Garder les traces pour le dépôt de plainte
Il est crucial de garder les traces informatiques et de les exploiter. Ces traces, souvent désignées sous le terme de "preuves numériques", récupérées dans un EDR, sont essentielles pour le processus de dépôt de plainte et les enquêtes subséquentes.
Ainsi, les traces informatiques constituent des preuves électroniques admissibles en justice. Elles soutiennent les allégations et fournissent des éléments tangibles pour étayer une plainte.
Que faire à partir des résultats de l’investigation ?
Prioriser ses efforts
L'analyse des TTPs des attaquants joue un rôle central dans la priorisation des efforts de sécurité. Les leçons tirées d'attaques sophistiquées, à l'instar de celle contre l’entreprise de cybersécurité américaine FireEye en décembre 2020, soulignent l'importance de se focaliser sur les techniques et tactiques spécifiques exploitées lors d’une attaque.
Le plan d’action post-investigation découle directement des constats issus des investigations approfondies. Il englobe un ensemble de mesures ciblées visant à renforcer la sécurité et la résilience de l’infrastructure informatique. Parmi ces actions, peuvent figurer, entre autres, le déploiement de solutions de sécurité sur des machines non couvertes, la révision et la modification des privilèges administratifs, et le renforcement des politiques de sécurité des systèmes d’information de l’entreprise.
Reconfigurer ses outils
En fonction des retours d’investigation, il conviendra de changer la configuration de ses outils de détection (NDR, MDR, SIEM, EDR...).
Par exemple, concernant l'EDR, les règles de détection pourront être modifiées ou ajoutées suite à l’analyse des TTPs pendant la phase d’investigation. Ces règles s'appuient sur des formats standards et reconnus tels que YARA, pour la détection à base de signatures, et SIGMA, pour la détection comportementale.
Tirer les enseignements pour se prémunir des risques à venir
En conclusion, l'investigation post-crise ne se limite pas à une simple analyse rétrospective. Menée avec les outils adéquats, elle donne aux analystes les clés de compréhension du déclenchement de la crise. Ce qui va permettre par la suite d’en tirer les enseignements nécessaires et d’ajuster sa stratégie de sécurité informatique, et éviter que des incidents similaires ne se reproduisent. Cette phase d'investigation s'inscrit donc dans une démarche d’amélioration continue, visant à renforcer la posture de sécurité de l'organisation sur le long terme.
Améliorez votre stratégie cyber avec le retour d'expérience d'Antonin Garcia, RSSI chez Veepee.