Analyse post-faille de sécurité : les 3 étapes clés

Voici trois étapes importantes pour aider les entreprises à transformer leur évaluation post-failles en bonnes pratiques exploitables qui les protégeront contre les attaques futures.

Les entreprises sont très souvent si occupées à mettre en œuvre des mesures pour échapper aux failles de sécurité et éviter de voir leur nom faire les gros titres qu’elles en négligent l’une des étapes sans doute les plus importantes : comprendre exactement ce qui s’est passé après une atteinte à leur sécurité.

La prévention ne constitue en effet qu’une partie de l’équation. Les entreprises commencent à réaliser les avantages offerts par une analyse post-faille de sécurité, notamment la réduction des coûts d’investigation et l’optimisation de la gestion des incidents. Mais, comme pour toute pratique de sécurité, de nombreuses améliorations sont encore possibles.

Étape 1 : Identifier les sources potentielles de données

Suite à un incident, « qui a fait quoi ? » est la question la plus importante à se poser, mais aussi celle à laquelle il est le plus difficile de répondre. Lorsqu’un incident survient, les entreprises cherchent à en déterminer au plus vite la cause première afin de savoir si d’autres données sont à risque et d’éviter leur compromission.

Un examen complet des logs relatifs à la sécurité, aux opérations et aux accès peut les aider à identifier la cause initiale et à remonter le fil des événements. Les équipes commencent généralement par les logs de sécurité, les logs des opérations et les logs des accès à distance créés sur les serveurs, les clients, les systèmes d’exploitation, les bases de données, les réseaux et les dispositifs de sécurité. Mais même les logs ont leurs limites.

Par exemple, les entreprises qui s’appuient uniquement sur les logs courent le risque de passer à côté d’attaques avancées émanant des activités d’utilisateurs privilégiés. De plus, un attaquant habile (ou un administrateur système malveillant) peut facilement supprimer ou modifier des logs pertinents pour brouiller les pistes. Cette perte d’informations peut fausser les investigations et en augmenter le coût, ce qui a pour effet de retarder la réponse, voire d’empêcher la détection d’une faille. Le pire cauchemar des entreprises.

Pour éviter ce problème, les équipes de sécurité peuvent se tourner vers des ressources telles que des audits de session (enregistrement des sessions et visionnage des pistes d’audit) et l’analyse comportementale (détection des activités anormales en fonction des écarts par rapport aux normes établies) afin d’être alertées en cas de détection d’activités utilisateur suspectes et d’obtenir des informations contextuelles complètes à leur sujet.

La biométrie et les données de session, comme les déplacements du curseur, les connexions, les commandes exécutées, les fenêtres consultées et les frappes au clavier au cours d’une session, fournissent des pistes d’audit inviolables qui permettent aux analystes de révisionner ou de reconstituer l’action d’un utilisateur. Couplée aux données des logs, ce type de surveillance met à leur disposition les outils dont ils ont besoin pour comprendre la chronologie des événements, un atout inestimable aussi bien pour les investigations en temps réel que pour celles menées après une faille.

Étape 2 : Recueillir, vérifier et extraire les données sur la faille de sécurité

Une fois les sources potentielles de données identifiées, l’analyste doit recueillir les informations et, plus important encore, vérifier leur intégrité avant de les analyser.

Des outils de gestion des logs peuvent se révéler utiles pour centraliser la collecte, le filtrage, la normalisation et le stockage des données de logs provenant d’un large éventail de sources. Lors d’une enquête sur l’utilisation abusive de privilèges, les analystes ont tout intérêt à inclure dans leur plan de collecte de données les pistes d’audit stockées par les outils d’enregistrement des sessions à privilèges.

Une fois les données recueillies, il est primordial de vérifier leur légitimité et de prouver qu’elles n’ont pas été falsifiées, en particulier si elles doivent servir de preuves légales dans le cadre du plan de réponse aux incidents.

Les outils d’investigation avancés fournissent des données chiffrées, horodatées et numériquement signées qui empêchent toute falsification. Ils peuvent en outre sécuriser les informations sensibles grâce à des règles d’accès granulaires.

Après avoir recueilli et vérifié les données, les analystes doivent les examiner et en extraire des éléments d’information pertinents. L’utilisation d’outils d’investigation permet de remonter rapidement dans le temps jusqu’au moment où l’événement suspect s’est produit. La combinaison des données de logs et des métadonnées de session accélère l’examen des incidents liés à des comptes privilégiés.

Étape 3 : Effectuer une analyse complète

Une fois extraites, les informations pertinentes doivent être analysées afin de parvenir à des conclusions et de répondre à toutes les questions concernant l’atteinte à la sécurité : qui, quoi, où, quand, pourquoi et comment ? Une investigation efficace passe par une approche méthodique permettant de tirer des conclusions pertinentes à partir des données disponibles ou d’éliminer toute autre conclusion.

Il est possible de faire appel aux services de prestataires tiers afin de procéder à toutes sortes d’évaluations, allant de l’évaluation des risques associés aux technologies de l’information et de la vulnérabilité du réseau à des tests de pénétration, le but étant d’identifier les faiblesses à cibler et à éradiquer. Grâce à ces évaluations, les entreprises sont en mesure de définir un protocole et un processus de réponse adéquats pour se protéger des incidents futurs.

Dès lors que les données courent un risque, une faille ou une perte accidentelle surviendra inévitablement. En réalisant une évaluation post-faille approfondie, les entreprises peuvent élaborer un plan de réponse réfléchi qui privilégie l’atténuation des risques, la sécurité des ressources stratégiques et une gestion efficace de la crise.

À l’instar des systèmes, de la technologie ou des menaces, le plan de réponse aux incidents doit évoluer. Les équipes de sécurité doivent mener un audit au moins une fois par an et effectuer des exercices de réponse aux incidents afin de s’assurer que leur plan est encore pertinent, qu’il est régulièrement ajusté pour établir les responsabilités et qu’il leur épargnera ce type d’incidents à l’avenir.

Source : www.silicon.fr