Méthodologie et référentiels
La menace
Ces dernières années ont été le théâtre d’une lutte numérique incessante entre attaquants et victimes avec la mise en œuvre de moyens de défense toujours plus perfectionnés. Les offres de solutions de Security Operation Center (SOC), qu’elles soient on-premise ou cloud, sont devenues légion. Nos antivirus ont évolué en Endpoint Protection Platform (EPP) et les Host Intrusion Detection Systems (HIDS) traditionnels en Endpoint Detection and Response (EDR). Tout est fait pour anticiper, détecter et contrôler une menace de plus en plus présente et intelligente. Cette menace est de nature changeante et change vite.
L’accessibilité des outils et méthodologies au plus grand nombre rend cette menace sérieuse. L’année 2022 fut l’année des ransomwares. Ce type de menace est efficace et laisse de nombreuses entreprises dépourvues face à leur système d’information (SI) devenu inaccessible. Bien que les malwares ne soient pas récents, les modes de contamination et de propagation évoluent et il est nécessaire de proposer des défenses à la hauteur.
La société Sophos, dans son rapport 2022 (https://www.sophos.com/fr-fr/medialibrary/pdfs/technical-papers/sophos-2022-threat-report.pdf), présente l’évolution du Ransomware...
Moyens de défense
1. SOC
Le SOC doit être considéré comme le cœur de la supervision de sécurité. Il s’agit de l’entité qui se doit de connaître au maximum les systèmes d’information, leur fonctionnement et leurs particularités. Pour l’aider dans sa mission, le personnel du SOC travaille en étroite collaboration avec les opérationnels pour obtenir des schémas réseau et des indications sur la vie des systèmes. Il a ainsi une vision holistique de la sécurité de l’entreprise, ce qui lui permettra de corréler plusieurs événements suspects provenant de systèmes différents et de mettre en évidence un incident de sécurité.
Le SOC est considéré comme la première ligne de défense et possède à ce titre de nombreuses fonctions telles que :
-
l’identification, caractérisation et traitement des incidents ;
-
la fourniture d’une assistance à la gestion des incidents ;
-
la diffusion des informations relatives aux incidents ;
-
la coordination des incidents ;
-
la détection de comportements caractéristiques à un mode opératoire donné ;
-
threat hunting.
À cela, ajoutons des actions d’évaluations de vulnérabilités ou la réalisation de simulations d’attaques telles que les tests d’intrusions. Une liste complète des fonctions proposées par le SOC est disponible aux pages 14-16 de l’ouvrage 11 Strategies of a World-Class Cybersecurity Operations Center, que vous retrouverez à l’adresse suivante : https://www.mitre.org/sites/default/files/2022-04/11-strategies-of-a-world-class-cybersecurity-operations-center.pdf
L’identification et la caractérisation d’une menace apportent un contexte induisant la conduite à tenir. Si la menace est considérée comme valide, le CSIRT prendra le relais.
2. CSIRT/CERT
Le Computer Security Incident Response Teams (CSIRT) correspond aux équipes qui coordonnent, réalisent et soutiennent la réponse aux incidents impliquant des sites au sein d’une circonscription définie...
Réponse à incident et investigation numérique
Ces deux notions sont au centre de nombreuses attentions. Il s’agit ni plus ni moins de la capacité d’une équipe de spécialistes à intervenir sur un système infecté dans le but de contenir la menace et de permettre au système d’être de nouveau opérationnel. Souvent confondues, ces notions ne répondent pas aux mêmes besoins ni aux mêmes contraintes.
1. Réponse à incident
Un incident de sécurité est défini par l’ANSSI comme un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Il s’agit par exemple de l’utilisation illégitime d’un mot de passe, du vol d’équipements informatiques, de l’intrusion dans un fichier ou d’une application, etc.
La réponse à incident est donc une approche permettant l’identification jusqu’à la résolution d’un incident de sécurité. Il s’agit de comprendre factuellement quel est le vecteur initial de l’attaque (le point d’entrée), quelles sont les tactiques, techniques et procédures de l’attaquant, quel est l’impact sur le SI (nombre de machines, rôles, etc.), puis savoir si l’incident est toujours en cours et enfin déterminer une suite chronologique des événements (timeline) de l’incident. Le tout dans l’optique de contenir et de remédier à la situation le plus rapidement possible.
De nombreux auteurs et équipes de recherche se sont penchés sur des cycles de vie régissant l’ordre dans lequel cette réponse doit s’exécuter. Nous allons présenter les plus connus. Il faut garder à l’esprit que les méthodes qui vont être présentées sont issues de nombreuses réflexions sur une période de temps relativement longue, aussi de nombreuses similitudes existent entre elles, autant sur le fond que sur la forme. La présentation de ces méthodologies doit permettre au lecteur d’avoir une vision d’ensemble du découpage et du contenu des différentes phases.
a. NIST
Le NIST (National Institute...
Normes et standards
La liste des normes et référentiels est relativement conséquente sans compter sur l’aspect juridique qui rajoute son lot de lecture. Nous proposons quelques références qu’il serait intéressant de creuser.
1. Normes
Il ne s’agit pas ici d’une liste exhaustive tant le nombre de documents est important. Ce choix est donc subjectif et représente selon nous une base minimale vers laquelle se référer.
ISO/CEI 27037:2012(fr)
Technologies de l’information - Techniques de sécurité - Lignes directrices pour l’identification, la collecte, l’acquisition et la préservation de preuves numériques.
ISO/IEC 17025
Propose un cadre et un ensemble de recommandations pour la mise en place d’un laboratoire d’investigation numérique en spécifiant les « exigences générales concernant la compétence des laboratoires d’étalonnages et d’essais ». Il ne s’agit pas d’une norme mais d’un ensemble de recommandations pouvant s’appliquer au contexte qui est le nôtre.
NIST SP 800-86
Il s’agit du Guide to Integrating Forensic Techniques into Incident Response (https://csrc.nist.gov/publications/detail/sp/800-86/final) qui apporte de nombreux éléments relatifs au processus permettant de réaliser une investigation numérique.
NIST 800-34
Cette norme offre les éléments, dans le cadre d’une réponse à incident, permettant d’assurer la continuité des services et la restauration de son SI. Ce n’est pas le sujet de cet ouvrage aussi nous vous invitons à poursuivre votre lecture ici : https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-34r1.pdf.
2. Standardisation des échanges
Les investigations numériques s’opèrent sur des systèmes hétérogènes et s’appuient sur un ensemble d’outils qui le sont tout autant. Que ce soit via des distributions dédiées telles que SIFT proposée par le SANS ou bien des outils développés en interne, il est devenu compliqué de partager les résultats produits par ces outils tant les formats sont différents et nécessitent un traitement plus ou moins long...
Références
[1] G. Palmer, "DTR-T001-01 Technical Report. A Road Map for Digital Forensic Research", Digital Forensics Workshop (DFRWS), Utica, New York, 2001.
[2] REITH, Mark, CARR, Clint, et GUNSCH, Gregg. An examination of digital forensic models. International Journal of digital evidence, 2002, vol. 1, no 3, p. 1-12.
[3] CARRIER, Brian et SPAFFORD, Eugene H. Getting Physical with the Investigative Process International Journal of Digital Evidence. Fall 2003. 2003.
[4] BARYAMUREEBA, Venansius et TUSHABE, Florence. The enhanced digital investigation process model. Digital Investigation, 2004.
[5] SELAMAT, Siti Rahayu, YUSOF, Robiah, et SAHIB, Shahrin. Mapping process of digital forensic investigation framework. International Journal of Computer Science and Network Security, 2008, vol. 8, no 10, p. 163-169.
[6] PERUMAL, Sundresan. Digital forensic model based on Malaysian investigation process. International Journal of Computer Science and Network Security, 2009, vol. 9, no 8, p. 38-44.
[7] MONTASARI, Reza, HILL, Richard, CARPENTER, Victoria, et al. The standardised digital forensic investigation process model (SDFIPM). In : Blockchain and Clinical Trial. Springer, Cham, 2019. p. 169-209.
[8] BEEBE, Nicole Lang et CLARK, Jan Guynes. A hierarchical, objectives-based framework for the digital investigations process. Digital Investigation, 2005, vol. 2, no 2, p. 147-167.
[9] HARICHANDRAN, Vikram S., WALNYCKY, Daniel, BAGGILI...