Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Investigation numérique Microsoft Windows et GNU/Linux
  3. Méthodologie et référentiels
Extrait - Investigation numérique Microsoft Windows et GNU/Linux Le guide complet pour l'analyste en investigation numérique
Extraits du livre
Investigation numérique Microsoft Windows et GNU/Linux Le guide complet pour l'analyste en investigation numérique
2 avis
Revenir à la page d'achat du livre

Méthodologie et référentiels

La menace

Ces dernières années ont été le théâtre d’une lutte numérique incessante entre attaquants et victimes avec la mise en œuvre de moyens de défense toujours plus perfectionnés. Les offres de solutions de Security Operation Center (SOC), qu’elles soient on-premise ou cloud, sont devenues légion. Nos antivirus ont évolué en Endpoint Protection Platform (EPP) et les Host Intrusion Detection Systems (HIDS) traditionnels en Endpoint Detection and Response (EDR). Tout est fait pour anticiper, détecter et contrôler une menace de plus en plus présente et intelligente. Cette menace est de nature changeante et change vite.

L’accessibilité des outils et méthodologies au plus grand nombre rend cette menace sérieuse. L’année 2022 fut l’année des ransomwares. Ce type de menace est efficace et laisse de nombreuses entreprises dépourvues face à leur système d’information (SI) devenu inaccessible. Bien que les malwares ne soient pas récents, les modes de contamination et de propagation évoluent et il est nécessaire de proposer des défenses à la hauteur.

La société Sophos, dans son rapport 2022 (https://www.sophos.com/fr-fr/medialibrary/pdfs/technical-papers/sophos-2022-threat-report.pdf), présente l’évolution du Ransomware...

Moyens de défense

1. SOC

Le SOC doit être considéré comme le cœur de la supervision de sécurité. Il s’agit de l’entité qui se doit de connaître au maximum les systèmes d’information, leur fonctionnement et leurs particularités. Pour l’aider dans sa mission, le personnel du SOC travaille en étroite collaboration avec les opérationnels pour obtenir des schémas réseau et des indications sur la vie des systèmes. Il a ainsi une vision holistique de la sécurité de l’entreprise, ce qui lui permettra de corréler plusieurs événements suspects provenant de systèmes différents et de mettre en évidence un incident de sécurité.

Le SOC est considéré comme la première ligne de défense et possède à ce titre de nombreuses fonctions telles que :

  • l’identification, caractérisation et traitement des incidents ;

  • la fourniture d’une assistance à la gestion des incidents ;

  • la diffusion des informations relatives aux incidents ;

  • la coordination des incidents ;

  • la détection de comportements caractéristiques à un mode opératoire donné ;

  • threat hunting.

À cela, ajoutons des actions d’évaluations de vulnérabilités ou la réalisation de simulations d’attaques telles que les tests d’intrusions. Une liste complète des fonctions proposées par le SOC est disponible aux pages 14-16 de l’ouvrage 11 Strategies of a World-Class Cybersecurity Operations Center, que vous retrouverez à l’adresse suivante : https://www.mitre.org/sites/default/files/2022-04/11-strategies-of-a-world-class-cybersecurity-operations-center.pdf

L’identification et la caractérisation d’une menace apportent un contexte induisant la conduite à tenir. Si la menace est considérée comme valide, le CSIRT prendra le relais.

2. CSIRT/CERT

Le Computer Security Incident Response Teams (CSIRT) correspond aux équipes qui coordonnent, réalisent et soutiennent la réponse aux incidents impliquant des sites au sein d’une circonscription définie...

Réponse à incident et investigation numérique

Ces deux notions sont au centre de nombreuses attentions. Il s’agit ni plus ni moins de la capacité d’une équipe de spécialistes à intervenir sur un système infecté dans le but de contenir la menace et de permettre au système d’être de nouveau opérationnel. Souvent confondues, ces notions ne répondent pas aux mêmes besoins ni aux mêmes contraintes.

1. Réponse à incident

Un incident de sécurité est défini par l’ANSSI comme un événement qui porte atteinte à la disponibilité, la confidentialité ou l’intégrité d’un bien. Il s’agit par exemple de l’utilisation illégitime d’un mot de passe, du vol d’équipements informatiques, de l’intrusion dans un fichier ou d’une application, etc.

La réponse à incident est donc une approche permettant l’identification jusqu’à la résolution d’un incident de sécurité. Il s’agit de comprendre factuellement quel est le vecteur initial de l’attaque (le point d’entrée), quelles sont les tactiques, techniques et procédures de l’attaquant, quel est l’impact sur le SI (nombre de machines, rôles, etc.), puis savoir si l’incident est toujours en cours et enfin déterminer une suite chronologique des événements (timeline) de l’incident. Le tout dans l’optique de contenir et de remédier à la situation le plus rapidement possible.

De nombreux auteurs et équipes de recherche se sont penchés sur des cycles de vie régissant l’ordre dans lequel cette réponse doit s’exécuter. Nous allons présenter les plus connus. Il faut garder à l’esprit que les méthodes qui vont être présentées sont issues de nombreuses réflexions sur une période de temps relativement longue, aussi de nombreuses similitudes existent entre elles, autant sur le fond que sur la forme. La présentation de ces méthodologies doit permettre au lecteur d’avoir une vision d’ensemble du découpage et du contenu des différentes phases.

a. NIST

Le NIST (National Institute...

Normes et standards

La liste des normes et référentiels est relativement conséquente sans compter sur l’aspect juridique qui rajoute son lot de lecture. Nous proposons quelques références qu’il serait intéressant de creuser.

1. Normes

Il ne s’agit pas ici d’une liste exhaustive tant le nombre de documents est important. Ce choix est donc subjectif et représente selon nous une base minimale vers laquelle se référer.

ISO/CEI 27037:2012(fr)

Technologies de l’information - Techniques de sécurité - Lignes directrices pour l’identification, la collecte, l’acquisition et la préservation de preuves numériques. 

ISO/IEC 17025

Propose un cadre et un ensemble de recommandations pour la mise en place d’un laboratoire d’investigation numérique en spécifiant les « exigences générales concernant la compétence des laboratoires d’étalonnages et d’essais ». Il ne s’agit pas d’une norme mais d’un ensemble de recommandations pouvant s’appliquer au contexte qui est le nôtre.

NIST SP 800-86

Il s’agit du Guide to Integrating Forensic Techniques into Incident Response (https://csrc.nist.gov/publications/detail/sp/800-86/final) qui apporte de nombreux éléments relatifs au processus permettant de réaliser une investigation numérique.

NIST 800-34

Cette norme offre les éléments, dans le cadre d’une réponse à incident, permettant d’assurer la continuité des services et la restauration de son SI. Ce n’est pas le sujet de cet ouvrage aussi nous vous invitons à poursuivre votre lecture ici : https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-34r1.pdf.

2. Standardisation des échanges

Les investigations numériques s’opèrent sur des systèmes hétérogènes et s’appuient sur un ensemble d’outils qui le sont tout autant. Que ce soit via des distributions dédiées telles que SIFT proposée par le SANS ou bien des outils développés en interne, il est devenu compliqué de partager les résultats produits par ces outils tant les formats sont différents et nécessitent un traitement plus ou moins long...

Références

[1] G. Palmer, "DTR-T001-01 Technical Report. A Road Map for Digital Forensic Research", Digital Forensics Workshop (DFRWS), Utica, New York, 2001.

[2] REITH, Mark, CARR, Clint, et GUNSCH, Gregg. An examination of digital forensic models. International Journal of digital evidence, 2002, vol. 1, no 3, p. 1-12.

[3] CARRIER, Brian et SPAFFORD, Eugene H. Getting Physical with the Investigative Process International Journal of Digital Evidence. Fall 2003. 2003.

[4] BARYAMUREEBA, Venansius et TUSHABE, Florence. The enhanced digital investigation process model. Digital Investigation, 2004.

[5] SELAMAT, Siti Rahayu, YUSOF, Robiah, et SAHIB, Shahrin. Mapping process of digital forensic investigation framework. International Journal of Computer Science and Network Security, 2008, vol. 8, no 10, p. 163-169.

[6] PERUMAL, Sundresan. Digital forensic model based on Malaysian investigation process. International Journal of Computer Science and Network Security, 2009, vol. 9, no 8, p. 38-44.

[7] MONTASARI, Reza, HILL, Richard, CARPENTER, Victoria, et al. The standardised digital forensic investigation process model (SDFIPM). In : Blockchain and Clinical Trial. Springer, Cham, 2019. p. 169-209.

[8] BEEBE, Nicole Lang et CLARK, Jan Guynes. A hierarchical, objectives-based framework for the digital investigations process. Digital Investigation, 2005, vol. 2, no 2, p. 147-167.

[9] HARICHANDRAN, Vikram S., WALNYCKY, Daniel, BAGGILI...