PG Software - Votre distributeur IT

L'art de la réponse à incident est quelque chose qu'il vaut mieux affiner avec le temps, même s'il n'est jamais facile de gérer un incident de sécurité inattendu au moment où il est notifié. Cependant, le fait de disposer des bonnes personnes, des bons processus et des bonnes technologies peut aider les équipes de sécurité à enquêter et à résoudre les incidents plus rapidement. Dans ce billet, nous allons passer en revue les six domaines clés du traitement des incidents et montrer comment ObserveIT peut aider les équipes de sécurité à accélérer les enquêtes sur les menaces internes afin de contribuer à un programme de réponse aux incidents efficace

Six étapes pour une intervention efficace en cas d'incident

Un solide programme d'intervention en cas d'incident peut aider les équipes à établir les bons processus à suivre en cas d'incident de sécurité. Si vous n'avez pas déjà mis en place un processus d'intervention en cas d'incident, c'est le moment idéal pour commencer (plutôt que d'attendre qu'un incident se produise). Selon le SANS Institute, le processus de traitement des incidents comprend six étapes clés : 

  • Préparation : L'une des étapes les plus importantes (et potentiellement les plus longues) d'un processus d'intervention en cas d'incident est la préparation avant qu'un incident se produise. À cette étape, votre équipe devrait prendre le temps nécessaire pour solidifier les politiques et le plan d'intervention en cas d'incident de l'entreprise.
    • Impliquez une équipe interdisciplinaire pour déterminer une stratégie de communication avec des rôles et des responsabilités bien définis. Une formation efficace est importante pour aider les membres de l'équipe à comprendre exactement comment leur rôle se déroule en cas d'incident réel. Dans certains cas, les simulations d'incident peuvent aider les équipes à déterminer comment réagir à un incident et où il y a des points forts et des points faibles potentiels de leur personnel, de leurs processus et de leur technologie.
    • À cette étape, les responsables de la sécurité de l'entreprise devraient également évaluer la pile technologique et examiner quels outils il convient d'utiliser à chaque étape du processus d'intervention en cas d'incident. De plus, un processus de documentation complet devrait être mis en place pour aider l'équipe de sécurité à comprendre exactement ce qui s'est passé et à prévenir la répétition d'incidents semblables.
  • Identification : Lorsqu'un événement de sécurité se produit, l'équipe de sécurité doit passer à l'action et déterminer si une alerte est un incident réel qui nécessite plus d'attention ou un faux positif. Au cours de cette phase, l'équipe s'efforce de trouver la cause profonde de l'incident et de recueillir des preuves pour déterminer la marche à suivre.
  • Confinement : La phase de confinement est une phase de contrôle des dommages. L'équipe de sécurité cherche à stopper les dégâts qui ont déjà pu se produire et à prévenir tout autre problème ou escalade dans les systèmes affectés. Dans le cas d'une menace interne, des équipes RH ou juridiques peuvent être engagées à ce stade pour déterminer les prochaines étapes pour la ou les parties responsables.
  • Eradication : Au cours de la phase d'éradication, les systèmes touchés doivent être retirés de la production et remis en état dans les meilleurs délais.  À ce stade, tout contenu malveillant doit être supprimé du système.
  • Récupération : Avant que les systèmes ne soient remis en production, ils doivent être testés, surveillés et validés efficacement par l'équipe de sécurité. Cette étape est cruciale pour s'assurer que d'autres incidents ne se produisent pas. 
  • Leçons tirées de l'expérience : Enfin, l'analyse et la documentation post-incident constituent une étape critique pour déterminer les lacunes réelles du processus qui pourraient être corrigées à l'avenir. Les leçons tirées de cette 'post-mortem' sont extrêmement importantes pour former les membres actuels et nouveaux de l'équipe sur la façon d'éviter une crise potentielle dans l'avenir.

Utilisation d'ObserveIT pour les investigations en phase d'identification

Using ObserveIT for Investigations in the Identification Phase

Bien que l'identification puisse sembler l'une des étapes les plus simples d'un programme d'intervention en cas d'incident, elle l'est rarement, en particulier dans le cas d'incidents de menaces d'initiés. Certains outils de sécurité, tels que les systèmes de gestion des informations et des événements de sécurité (SIEM), permettent d'alerter les équipes en cas d'incident. Souvent, ces systèmes peuvent déclencher de nombreux faux positifs, ce qui peut prendre beaucoup de temps aux équipes pour enquêter et provoquer une fatigue d'alerte.

De plus, les outils de prévention des pertes de données (DLP) classiques peuvent ne pas être à la hauteur lorsqu'il s'agit d'identifier efficacement les incidents de menaces internes. Les DLP peuvent être difficiles à maintenir et à affiner au fil du temps pour les équipes de sécurité, et si elles sont trop lentes ou restrictives, les employés sont souvent assez rusés pour contourner complètement ces systèmes.

Le problème avec la plupart des outils de sécurité (comme les SIEM et les DLP) est qu'ils ne suivent que le mouvement des données, plutôt qu'une combinaison de l'activité des utilisateurs et des données. Sans visibilité sur l'activité des utilisateurs, les équipes n'ont souvent pas le contexte dont elles ont besoin pour mener une enquête efficace et rapide sur les menaces internes. Au lieu de cela, on les laisse passer au crible une océan de journaux d'événements dans l'espoir de recueillir les preuves dont ils ont besoin. Ou, pire encore, ces incidents leur échappent complètement.

Des solutions dédiées de gestion des menaces internes comme ObserveIT peuvent aider les analystes de sécurité à connaître toute l'histoire de ces menaces avec une vision large et approfondie de l'activité des utilisateurs et du mouvement des données. Par exemple, si un incident implique qu'un employé utilise son ordinateur pour exfiltrer des données - intentionnellement ou non - ObserveIT peut examiner l'activité de cet utilisateur et la relier au mouvement des données ou à la manipulation des ressources de l'entreprise. Avec ObserveIT, un analyste de sécurité peut travailler en amont et inverser le processus d'un incident pour découvrir la chaîne des événements, jusqu'à l'utilisateur qui a déclenché l'incident.

Au lieu de passer des jours ou des semaines sur une enquête, un analyste peut recueillir des preuves en quelques heures et exporter un rapport facile à comprendre aux autres membres de la chaîne de commandement, comme les RH, les services juridiques ou l'équipe de direction.

Effectuer une analyse post-incident avec ObserveIT

Un autre domaine dans lequel ObserveIT peut être extrêmement utile est celui des "leçons apprises". Lorsque les équipes de sécurité effectuent une analyse post-mortem de l'incident, les preuves obtenues d'ObserveIT peuvent aider à déterminer s'il y a des domaines de la politique qui doivent être renforcés ou des processus qui doivent être améliorés.

De plus, les statistiques sur les menaces internes montrent que deux incidents sur trois impliquent une erreur de la part d'un employé ou d'un sous-traitant. Heureusement, il est possible de prévenir les incidents accidentels de menaces internes grâce à une formation adéquate. Grâce à ObserveIT, les équipes de sécurité peuvent identifier les personnes qui peuvent avoir besoin d'un coaching individuel supplémentaire. Pour de nombreuses entreprises, la phase des leçons apprises peut comprendre l'établissement d'un programme complet de sensibilisation à la cybersécurité à l'intention des employés et des entrepreneurs qui ont accès aux données sensibles de l'entreprise.

En tant qu'enquêteur de sécurité interne d'une société pharmaceutique dans le passé, j'aurais aimé avoir un outil comme ObserveIT pour fournir des rapports détaillés à tous les intervenants clés du programme d'intervention en cas d'incident. Si des incidents similaires se produisaient de façon récurrente, nous saurions alors où nous devrions combler les lacunes - que ce soit en embauchant plus de personnel de sécurité, en formant correctement les employés, en contrôlant le nombre de personnes ayant un accès privilégié à l'administration, ou autre chose.

La prévention est un objectif ; la détection est un must

Prevention is a Goal; Detection is a Must

En fin de compte, peu importe le degré de préparation de votre entreprise, il y aura toujours des incidents.

Si la prévention était sans failles, personne n'aurait jamais un incident (....et ce ne serait pas bien !) Il est bon d'avoir la prévention en tête comme objectif ultime lorsque vous pensez au bon périmètre, pare-feu, endpoints et défense contre les menaces internes.

Cependant, la détection efficace des menaces internes est une nécessité absolue. Plus les équipes de sécurité réagiront aux alertes et enquêteront efficacement, mieux l'entreprise dans son ensemble s'en portera. Plus les incidents durent longtemps, plus ils peuvent être coûteux (tant du point de vue financier que de la réputation). Disposer d'une solide capacité de détection pour les enquêtes sur les menaces internes comme ObserveIT est un excellent point de départ. 

Chris Bush, Head of Security chez ObserveIT