Beaucoup de pirates informatiques sont assez doués pour atteindre leurs objectifs en quelques minutes seulement. Comment, dès lors, arrêter une telle attaque avant qu’elle ne soit déjà terminée ?
La détection, la réponse et la neutralisation d’une attaque reposent sur trois piliers :
- Vitesse
- Visibilité
- Expertise
Comment exceller dans ces trois domaines ?
Vitesse
Une réponse rapide implique de mettre à la disposition des Incident Responders les outils dont ils ont besoin pour garder une longueur d’avance sur le hacker.
Ces outils couvrent plusieurs domaines :
-
Communication
En cas d’attaque, votre infrastructure de communication peut être menacée. Vous devez donc réfléchir, à l’avance, aux canaux de communication alternatifs que vous utiliserez. Les différentes options en bande et hors bande présentent, toutes, des avantages et des inconvénients : prenez le temps de considérer les différentes options pour trouver celle qui répondra aux besoins de votre entreprise.
-
Qui fait quoi ?
Pour répondre rapidement à une cyber attaque, il est nécessaire d’avoir mis préalablement en place un leadership approprié. La réponse doit mobiliser des responsables issus des différents départements de l’entreprise. Des adjoints doivent également être désignés, de manière à anticiper d’éventuelles absences (départ en vacances, etc.). Lorsque les responsabilités ne sont pas clairement définies au préalable, les délais de réponse peuvent se trouver considérablement allongés.
-
Quelle forme la réponse à l’attaque prendra-t-elle ?
Vous devez rédiger un playbook (manuel de réponse). Ce manuel doit prévoir tous les scénarios, de manière à ce que personne ne se retrouve contraint d’improviser. Il constitue un élément déterminant de la rapidité de la réponse (Voir notre livre blanc « Repenser la réponse aux cyber attaques » pour découvrir un exemple de playbook).
Visibilité
-
Couverture
Vos outils de réponse doivent recueillir des informations issues de l’ensemble de votre parc informatique. Tous les actifs oubliés peuvent être exploités par des pirates informatiques : visez donc une couverture à 100% si possible. La plupart des cyber attaques modernes prennent d’abord pour cible les postes de travail. Un agent de détection offrant à la fois visibilité et contrôle sur ces appareils est essentiel.
-
Journalisation
Posez-vous la question suivante : quel volume de données devez-vous consigner pour que vos enquêteurs forensiques puissent trouver les informations dont ils ont besoin ? Prenez en compte les sources de données volatiles, telles que la RAM, mais aussi et surtout les journaux DNS. De nombreuses familles de logiciels malveillants font encore appel au DNS pour justifier une communication initiale. Si vous n’avez pas la possibilité de retracer la requête DNS depuis les journaux de la passerelle jusqu’à l’hôte, la réponse s’en trouvera retardée.
La journalisation ne s’arrête pas là. Chaque type de journal – qu’il s’agisse du firewall, d’Active Directory, du proxy web ou de l’antivirus – a son intérêt et offre la possibilité de mieux comprendre l’attaque.
-
Gestion et extension de la couverture
Les environnements dans lesquels nous travaillons sont instables. Les cyber menaces évoluent et les entreprises, de leur côté, accueillent sans cesse de nouveaux employés, de nouveaux logiciels, de nouveaux actifs. Ces mouvements incessants augmentent la surface d’attaque des organisations, qui doivent intégrer dans leur modèle opérationnel standard des procédures visant à davantage de visibilité. Si vous disposez de la visibilité nécessaire, vos postes de travail seront constamment couverts, qu’ils soient nouveaux, existants ou hérités.
Pourquoi la visibilité a-t-elle tant d’importance ?
Avec une configuration de passerelle complexe, le déploiement de modifications peut prendre plusieurs heures. Bien qu’un tel délai soit acceptable en temps de statu quo, cela peut s’avérer problématique en cas d’attaque. En anticipant ce type de problème, vous pourrez répondre aux attaques en quelques minutes.
Expertise
Si nous montions deux entreprises l’une contre l’autre, avec des outils équivalents et le même niveau d’investissement en cyber sécurité, une variable ferait la différence : les individus. Des professionnels possédant les bonnes compétences et le bon état d’esprit peuvent réagir rapidement et efficacement, même lorsque le stress est à son comble et que l’incertitude règne. Il ne s’agit pas seulement de recueillir les bonnes données : il convient aussi de les interpréter et de prendre les décisions qui s’imposent, au regard des indices disponibles.
Il est primordial de déterminer qui est responsable de quels actifs : vous devez savoir à qui vous adresser lorsque vous avez besoin d’informations sur des éléments du parc informatique, même à deux heures du matin.
Formation
Les employés, quel que soit leur position dans l’entreprise, doivent recevoir une formation sur la procédure à suivre en cas de cyber attaque. Cette formation peut être plus ou moins poussée, en fonction de chaque employé. Vos « primo intervenants », chargés d’opérer la défense en première ligne, doivent recevoir une formation plus régulière. Nommez les membres de votre équipe de réponse et prenez le temps d’effectuer avec eux des exercices et simulations d’attaque, afin que chacun ait bien compris ses responsabilités.
10% de préparation vaut mieux que pas de préparation du tout
De nombreux aspects sont à prendre en compte au moment de mettre en place des capacités de réponse. La plupart des organisations peinent à les traiter de manière exhaustive. Néanmoins, si vous parvenez à déterminer clairement les responsabilités de chacun, à couvrir vos actifs les plus importants et à vous doter d’un ensemble d’outils de détection et de réponse, vous améliorerez vos chances d’arrêter les attaques, en quelques minutes.
Catégories