0

  • Votre panier est vide.

  • LOGIN

Comment les entreprises de réponse aux incidents choisissent les outils IR

Certains articles de veille peuvent faire l'objet de traduction automatique.

Aujourd’hui, de nombreuses entreprises ont développé un plan de réponse aux incidents de cybersécurité (IR). Préparer un plan IR complet pour aider l’organisation à réagir à un incident de sécurité soudain de manière ordonnée et rationnelle est une bonne pratique de sécurité. Sinon, l’organisation élaborera un plan tout en répondant frénétiquement à l’incident, une recette mûre pour les erreurs.

Le boxeur poids lourd Mike Tyson a dit un jour: « Tout le monde a un plan jusqu’à ce qu’il se fasse frapper dans la bouche. »

Un incident de cybersécurité important est un coup de poing équivalent pour l’équipe de cybersécurité et peut-être pour toute l’organisation. Au moins au début.

Développer un plan de réponse aux incidents est sans aucun doute intelligent, mais cela ne mène l’organisation que jusqu’à présent. En fonction de la gravité de l’incident et du niveau d’expertise en cybersécurité au sein de l’organisation violée, un incident de cybersécurité conduit souvent à la panique et à des troubles au sein de l’organisation – plan ou pas de plan.

Il est très troublant d’avoir des systèmes et des données verrouillés par un ransomware ou de ne pas savoir si un intrus potentiel caché sur le réseau continue à endommager et à exfiltrer les données.

L’une des premières choses que font la plupart des organisations violées est d’appeler une équipe tierce de réponse aux incidents expérimentée. De nombreux fournisseurs IR suivent un processus structuré en 6 étapes défini par l’Institut SANS dans un format de 20 pages. Manuel du gestionnaire d’incidents. Les six étapes décrites sont:

  • Préparation-revoir et codifier une politique de sécurité organisationnelle, effectuer une évaluation des risques, identifier les actifs sensibles, définir les incidents de sécurité critiques sur lesquels l’équipe doit se concentrer et constituer une équipe de réponse aux incidents de sécurité informatique (CSIRT).
  • Identification-surveiller les systèmes informatiques et détecter les écarts par rapport aux opérations normales et voir s’ils représentent des incidents de sécurité réels. Lorsqu’un incident est découvert, collectez des preuves supplémentaires, déterminez son type et sa gravité, et documentez tout.
  • Endiguement-effectuer un confinement à court terme, par exemple, en isolant le segment de réseau attaqué. Ensuite, concentrez-vous sur le confinement à long terme, qui implique des correctifs temporaires pour permettre aux systèmes d’être utilisés en production tout en reconstruisant des systèmes propres.
  • Éradication-supprimez les logiciels malveillants de tous les systèmes affectés, identifiez la cause première de l’attaque et prenez des mesures pour empêcher des attaques similaires à l’avenir.
  • Récupération-remettez soigneusement en ligne les systèmes de production concernés pour éviter des attaques supplémentaires. Testez, vérifiez et surveillez les systèmes affectés pour vous assurer qu’ils reviennent à une activité normale.
  • Leçons apprises-au plus tard deux semaines après la fin de l’incident, effectuez une rétrospective de l’incident. Préparer une documentation complète de l’incident, enquêter plus avant sur l’incident, comprendre ce qui a été fait pour le contenir et si quelque chose dans le processus de réponse à l’incident pourrait être amélioré.

BugSec est l’un des principaux fournisseurs mondiaux de réponse aux incidents. Les organisations contactent BugSec lorsqu’il y a un compromis, mais l’entreprise (et leurs fournisseurs de sécurité actuels) ne peuvent pas comprendre précisément quel est le problème.

Peut-être que l’entreprise a été infectée par un ransomware, mais ne peut pas comprendre comment elle a été déployée et si l’adversaire a accès au réseau. Peut-être que l’entreprise a pris connaissance de la propriété intellectuelle volée et ne savait pas comment l’information avait été exfiltrée.

Le premier objectif de l’équipe BugSec est de déterminer quelles actions malveillantes se sont produites et comment l’adversaire a pu compromettre l’organisation. Une fois que BugSec peut identifier et contenir l’incident, il peut éliminer complètement tous les composants et artefacts d’attaque, puis restaurer complètement les opérations.

Comment BugSec accomplit-il la tâche difficile d’identifier, de contenir et de remédier à toute l’étendue d’une cyberattaque?

Le seul outil sur lequel BugSec s’appuie pour pratiquement tous les engagements IR est Cynet 360. Cynet propose sa plate-forme pour les fournisseurs IR gratuitement. L’agent Cynet peut être déployé sur des milliers de points de terminaison en quelques heures et fournir immédiatement une visibilité sur les points de terminaison, les processus, les fichiers, le trafic réseau, les comptes d’utilisateurs, etc.

La plateforme détecte automatiquement les anomalies et peut rapidement identifier la cause première d’une attaque et en exposer toute l’étendue.

De plus, Cynet supprime les menaces actives «à la volée» et peut être utilisé pour des remédiations plus complexes dans tout l’environnement. Des playbooks de correction personnalisés peuvent être facilement configurés et déployés pour éradiquer complètement les composants d’attaque complexes dans l’environnement afin de restaurer rapidement les opérations. Plus d’informations sur le fonctionnement de BugSec avec Cynet peut être trouvé ici.

Un jour, vous pourriez être frappé à la bouche par un cybercriminel très compétent. N’oubliez pas que les spécialistes sont prêts à vous aider à récupérer lorsque votre plan IR semble s’effondrer.

Voir aussi :

septembre 2, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)