Get best of the week

Systèmes de classe Incident Response Platform: application et fonctions principales

Chers amis, dans une publication précédente , nous avons analysé des documents internationaux sur la gestion des risques liés à la sécurité de l'information et, dans des articles précédents, nous avons examiné les bases de la sécurité de l' information, discuté de la législation dans le domaine de la protection des données personnelles et des infrastructures d'informations critiques . Dans cet article, nous passons au plan pratique et parlons des systèmes IRP conçus pour simplifier et automatiser les procédures de réponse aux incidents de sécurité de l'information. Commençons!

image

introduction


Comme nous le savons, pour le moment, le nombre d'incidents liés aux SI, en particulier dans les grandes entreprises, est assez important, et lorsqu'ils y répondent, le score est littéralement de quelques minutes. De plus, tout le monde ne peut pas se permettre d'embaucher un grand nombre de spécialistes hautement qualifiés.

La question se pose: comment aider les analystes SI (principalement sur L1 et L2) à répondre aux incidents et alléger le fardeau de routine d'effectuer des opérations similaires?

Imaginez une situation où le système SIEM montre qu'il existe une attaque possible contre le système financier des services bancaires à distance. Les attaquants peuvent voler de l'argent sur les comptes de l'entreprise à tout moment, et après cela, il sera difficile de restituer l'argent. Après avoir vu un tel incident, l'analyste SOC doit collecter une grande quantité d'informations à l'appui, telles que le nom du serveur attaqué, le nom du système financier, clarifier le nom et les coordonnées de la personne responsable et obtenir des informations supplémentaires de sa part. S'il ne fait aucun doute que cet incident est «de combat» et non pas faux positif, alors l'analyste doit isoler le serveur attaqué du réseau de l'entreprise dès que possible, bloquer le compte compromis,Signalez l'incident au gestionnaire et aux autres conformément à la matrice de communication.

Comme vous pouvez le voir, il y a beaucoup de tâches, et toutes doivent être effectuées dans le temps imparti par les normes et les KPI, par exemple, en 10 minutes. Et à ce moment-là, la plateforme de réponse aux incidents (IRP), un système pour automatiser la réponse aux incidents de sécurité de l'information, peut venir en aide à notre analyste. Le système IRP aide à effectuer un certain nombre d'opérations de routine pour collecter des informations supplémentaires, prendre des mesures urgentes pour contenir (contenir en anglais) et éliminer (éliminer en anglais) les menaces, restaurer (récupérer en anglais) le système attaqué, informer les parties intéressées et également collecter et structurer les données Enquêtes sur les incidents de sécurité de l'information. De plus, l'IRP vous permet de robotiser et d'automatiser le même type d'actions que l'opérateur spécialiste du SI, qu'il effectue en réponse à des incidents de sécurité de l'information,ce qui contribue à réduire la charge de travail de l'employé en termes d'opérations de routine. Arrêtons-nous plus en détail sur les tâches de réponse aux incidents de sécurité de l'information effectués par les systèmes IRP.

Processus de réponse aux incidents SI


Afin de comprendre comment et où appliquer et mettre en œuvre correctement les systèmes IRP, nous devons voir le processus de réponse aux incidents de sécurité de l'information en général et réfléchir à la façon de l'automatiser. Pour ce faire, nous nous tournons vers NIST SP 800-61 , Computer Security Incident Handling Guide . Conformément à cela, la réponse aux incidents SI consiste en plusieurs processus interdépendants:

  1. Entraînement
  2. Détection
  3. Une analyse
  4. Confinement / Localisation
  5. Élimination
  6. Récupération
  7. Actions post-incident

Considérez ces processus plus en détail dans le contexte de l'utilisation des systèmes IRP pour leur automatisation.

1. Préparation


La phase de préparation est préliminaire et l'une des clés. À ce stade, tout le travail organisationnel doit être effectué afin que les actions de l'équipe de réponse aux incidents SI soient documentées et acceptées. Les politiques, procédures et instructions de réponse doivent être aussi claires, détaillées et pratiques que possible afin que, dans le cas d'un incident hautement prioritaire, les analystes de l'équipe d'intervention aient une compréhension précise de ce qui doit être fait dans une situation donnée. Vous devez régulièrement organiser des formations pour définir les étapes définies dans les documents écrits, ainsi que former le personnel de l'entreprise et l'équipe d'intervention aux bonnes actions techniques et organisationnelles lors de l'incident.

Au stade de la préparation, des playbooks ou des runbooks sont également créés et configurés - des scripts de réponse, selon lesquels l'équipe d'intervention et le système IRP prendront des actions prédéfinies en fonction des détails de l'incident. Par exemple, en cas d'incident de SI hautement prioritaire sur un système particulièrement critique conformément au manuel de jeu, un membre de l'équipe de réponse doit contacter le leader et la personne responsable du système, et la plate-forme IRP doit commander d'isoler ce système du réseau de l'entreprise pour d'autres procédures.

De plus, au stade préparatoire, vous devez fournir à l'équipe de réponse aux incidents tous les logiciels et le matériel nécessaires (c'est-à-dire émettre des ordinateurs portables, des smartphones, y installer les utilitaires nécessaires) et prendre également des mesures préventives pour prévenir les incidents (protéger le réseau et les appareils de l'entreprise, mettre en place des outils de sécurité de l'information, former les employés aux bases de la sécurité de l'information). À l'heure actuelle, la plate-forme IRP est réglée pour une utilisation efficace: des systèmes informatiques et des outils de sécurité y sont connectés, avec lesquels ils interagiront pour répondre aux incidents. En règle générale, ils fournissent la connexion des systèmes capables de fournir au spécialiste des informations supplémentaires dans le contexte de l'incident, par exemple, des informations sur les utilisateurs affectés par l'incident (coordonnées, position, unité structurelle,l'autorité) et les appareils (type de système d'exploitation, logiciel installé, fonction exécutée). De plus, des outils de sécurité sont connectés qui, dans le cadre de la réponse aux incidents, effectueront des tâches pour contenir et éliminer les menaces, par exemple, les outils de protection des terminaux, les pare-feu et les systèmes de gestion de réseau.

Ainsi, au moment où un incident de sécurité de l'information se produit, l'entreprise doit être entièrement armée: les spécialistes de l'intervention et le système IRP doivent être pleinement prêts au combat. C'est une garantie que même si un incident se produit, il peut être localisé rapidement et ses conséquences ne seront pas excessivement destructrices.

2. Détection


Au stade de la détection, il convient de déterminer la liste des types possibles d'incidents SI et de dresser une liste de signes d'incidents possibles. Les signes peuvent être divisés en précurseurs et indicateurs d'incidents de sécurité de l'information:

  • un précurseur est un signe qu'un incident de sécurité de l'information peut se produire à l'avenir;
  • un indicateur est un signe qu'un incident s'est déjà produit ou se produit actuellement.

Des exemples de précurseurs d'incidents de sécurité de l'information peuvent être une analyse Internet fixe des ports de serveur Web ouverts de l'entreprise ou une détection de vulnérabilité dans certains systèmes informatiques. Des exemples d'indicateurs d'incident de sécurité des informations peuvent inclure l'apparition de messages provenant d'outils de protection (antivirus, pare-feu, etc.) sur une éventuelle attaque, la suppression ou la modification non autorisée de données, l'apparition d'erreurs et de dysfonctionnements dans le fonctionnement des systèmes informatiques. Il convient de prêter attention aux anomalies du trafic réseau: des salves inattendues d'un certain type de trafic (par exemple, DNS) peuvent indiquer une activité malveillante. Le comportement atypique de l'utilisateur doit également être analysé: une connexion à distance après des heures à partir d'un emplacement inhabituel peut être le signe d'un compte compromis. Pour,afin de maximiser l'utilisation du système IRP au stade de la détection, vous devez intégrer la plateforme IRP au système SIEM: ce bundle assurera un transfert «transparent» des précurseurs et indicateurs d'incidents des systèmes informatiques et des équipements de sécurité de l'entreprise via SIEM directement vers le système IRP, ce qui lui permettra détecter rapidement les incidents et prendre les mesures adéquates pour y répondre à l'avenir.

3. Analyse


Au cours de la phase d'analyse des incidents, le fardeau principal repose sur l'expérience et l'expertise de l'analyste - il devra décider si l'incident enregistré était du «combat» ou s'il s'agissait d'un faux positif. L'identification et le traitement initial doivent être effectués (triage): pour déterminer le type d'incident et le catégoriser. Ensuite, des indicateurs de compromis (IoC) sont déterminés, l'ampleur possible de l'incident et les composants de l'infrastructure affectés sont analysés, une enquête médico-légale limitée est réalisée pour clarifier le type d'incident et les éventuelles étapes de réponse supplémentaires.

À ce stade, la plateforme IRP fournira une assistance inestimable car elle peut fournir des informations contextuelles importantes liées à l'incident. Voici un exemple: le système SIEM signale que le serveur Web de l'entreprise a été attaqué, et la vulnérabilité utilisée ne s'applique qu'à Windows. L'analyste, en regardant la console IRP, verra immédiatement que le serveur Web attaqué s'exécute sur Linux, par conséquent, l'attaque n'a pas pu réussir. Autre exemple: un système antivirus sur l'un des ordinateurs portables a signalé une infection virale et l'accès ultérieur à certaines adresses IP. L'analyste, en utilisant les données du système IRP, constatera qu'une activité réseau similaire est également observée sur plusieurs autres appareils du réseau de l'entreprise, ce qui ne signifie pas un seul virus, mais une infection massive.L'incident recevra un statut de priorité plus élevée, il sera escaladé conformément à la matrice d'escalade, et des ressources supplémentaires seront affectées à son élimination. La plateforme IRP permettra d'enregistrer toutes les actions réalisées dans le cadre de la réponse, ainsi que d'automatiser la communication et l'escalade de l'incident.

4. Confinement / localisation


Au stade du confinement (ou de la localisation) d'un incident, la tâche principale est de minimiser rapidement les dommages potentiels d'un incident SI et de fournir un délai pour prendre une décision sur l'élimination de la menace. Cela peut être réalisé, par exemple, en activant rapidement des règles d'interdiction plus strictes sur le pare-feu pour un périphérique infecté, en isolant l'hôte infecté du réseau local de l'entreprise, en déconnectant certains des services et des fonctions ou, enfin, en arrêtant complètement le périphérique infecté.

À ce stade, des informations sur l'incident obtenues à l'étape de l'analyse sont utilisées, ainsi que des informations sur la fonction exécutée par l'actif informatique affecté par l'incident, car, par exemple, l'arrêt d'un serveur critique peut entraîner des conséquences négatives plus importantes pour l'entreprise que le simple redémarrage d'un serveur non critique. service dessus. Dans cette situation, la plate-forme IRP vous indiquera à nouveau les fonctions exécutées par le serveur, comment et quand il peut être désactivé ou isolé (à condition que ces informations aient été entrées dans l'IRP au stade de la préparation). De plus, dans les manuels du système IRP, les scénarios de confinement applicables à chaque type d'incident spécifique devraient également être inclus dans la phase de préparation. Par exemple, dans le cas d'une attaque DDoS, il peut être inutile de désactiver les serveurs attaqués,et en cas d'infection virale dans un segment de réseau, vous ne pouvez pas isoler les périphériques dans un autre segment. Au stade du confinement, une analyse des détails de l'attaque est également effectuée: quel système a été attaqué en premier, quelles tactiques, techniques et procédures les attaquants ont utilisées, quels serveurs d'équipe sont utilisés dans cette attaque, etc. Les informations indiquées seront collectées par le système IRP: intégration avec des sources de cyber-intelligence (flux de Threat Intelligence) et des moteurs de recherche spécialisés (par exemple,intégration avec des sources de cyber-intelligence (flux de Threat Intelligence) et des moteurs de recherche spécialisés (par ex.intégration avec des sources de cyber-intelligence (flux de Threat Intelligence) et des moteurs de recherche spécialisés (par ex.VirusTotal , Shodan , Censys , etc.) donneront une image plus claire et plus enrichie de l'incident, ce qui aidera à y faire face plus efficacement. Dans certains cas, il peut également être nécessaire d'obtenir des données médico-légales pour la criminalistique informatique ultérieure, et la plate-forme IRP aidera à collecter ces informations à partir des appareils attaqués.

5. Remède


Au stade de l'élimination de l'incident, des mesures actives sont déjà prises pour supprimer la menace du réseau et empêcher une nouvelle attaque: les logiciels malveillants sont supprimés, les comptes piratés sont modifiés (ils peuvent être temporairement bloqués, le mot de passe peut être modifié ou, par exemple, renommé), des mises à jour et des correctifs pour les vulnérabilités exploitées sont installés, modifiés Paramètres de sécurité (par exemple, pour bloquer l'adresse IP des crackers). Les actions indiquées sont effectuées pour toutes les entités affectées par l'incident - à la fois pour les appareils, les comptes et les programmes.

Il est extrêmement important d'éliminer soigneusement les vulnérabilités utilisées par les cybercriminels, car le plus souvent, après avoir réussi à s'introduire dans une entreprise, les pirates informatiques reviennent dans l'espoir d'exploiter les mêmes lacunes de sa protection. Au cours de ce processus, la plateforme IRP donnera les commandes nécessaires aux moyens de protection et collectera les données manquantes sur tous les appareils affectés par l'incident. Ainsi, la vitesse de réponse à un incident de sécurité de l'information en termes d'élimination de la menace elle-même augmente considérablement lors de l'utilisation d'un système IRP, qui sera un excellent outil pour les analystes de la sécurité de l'information.

6. Récupération


Au stade de la récupération, vous devez vérifier la fiabilité des mesures de protection prises, remettre les systèmes en fonctionnement normal (comme d'habitude), éventuellement restaurer certains systèmes à partir de sauvegardes ou les installer et les reconfigurer. À ce stade, les systèmes IRP aideront à mémoriser tous les appareils impliqués dans l'incident et la chronologie des événements, car ces données sont stockées et accumulées dans l'IRP tout au long du cycle d'enquête sur l'incident.

7. Activités post-incident


Au stade des activités post-incident (analyse post-racine), l'analyse des causes profondes doit être analysée afin de minimiser à nouveau la probabilité d'un incident similaire à l'avenir, ainsi que d'évaluer l'exactitude et l'actualité des actions du personnel et des équipements de protection. et, éventuellement, pour optimiser certaines procédures de réponse et politiques de SI. En cas d'incident grave, une analyse extraordinaire de l'infrastructure doit être effectuée pour détecter les vulnérabilités, un test de plume et / ou un audit imprévu de la sécurité des informations.

Il sera logique d'utiliser la base de connaissances agrégées pour maintenir l'expérience de réponse accumulée, ce qui peut également être fait dans la plate-forme IRP, qui stocke déjà des informations détaillées sur les incidents de sécurité de l'information et sur les mesures de réponse prises. Dans certains cas, un rapport d'incident officiel est requis, surtout s'il s'agissait de données importantes graves ou affectées: par exemple, les informations sur les incidents informatiques dans l'infrastructure d'information critique doivent être envoyées au système d'État de SSSOPKA. À ces fins, certains systèmes IRP nationaux ont à la fois une API pour travailler avec l'État SOPKA et la capacité de générer automatiquement des rapports d'incident sur la base de modèles pré-créés. Comme vous pouvez le voirL'IRP est également un référentiel universel d'informations sur les incidents de sécurité de l'information avec la possibilité de robotiser la routine d'un spécialiste de la sécurité de l'information.


Résumer. Les systèmes IRP sont des outils automatisés de réponse aux incidents de sécurité de l'information qui mettent en œuvre des contre-mesures pour contrer les menaces de sécurité de l'information conformément à des scénarios de réponse prédéfinis. Les scénarios de réponse sont appelés playbooks ou runbooks et représentent un ensemble de tâches automatisées pour détecter les menaces et les anomalies dans l'infrastructure protégée, répondre et contenir les menaces en temps réel. Les scénarios de réponse agissent sur la base de règles personnalisables et de types d'incidents, effectuant certaines actions en fonction des données entrantes provenant des équipements de sécurité ou des systèmes d'information. Les plates-formes IRP vous aident à mener une réponse structurée et journalisée aux incidents de sécurité de l'information en fonction des règles et des politiques.Une fois la réponse aux incidents terminée, la plate-forme IRP aidera à créer un rapport sur l'incident et les mesures prises pour l'éliminer.

Pour résumer ce qui précède, nous pouvons conclure que le système IRP est une plate-forme de réponse aux incidents de cybersécurité conçue pour protéger les informations en systématisant les données sur les incidents de sécurité des informations et en robotisant les actions de l'analyste de la sécurité des informations. Grâce aux plates-formes IRP, les équipes de réponse aux incidents de sécurité de l'information peuvent économiser considérablement du temps et des efforts dans les enquêtes sur les incidents de sécurité de l'information, ce qui augmente directement l'efficacité opérationnelle des services de sécurité de l'information et des centres SOC.

More articles:


All Articles