Nous avons couvert les concepts et outils de base et essentiels en matière d'investigation numérique et de réponse aux incidents. Cela faisait partie de EssayezHackMe DFIR.

Obtenez des notes de terrain en matière d'investigation informatique

Le cours complet de tests d'intrusion avec Backbox Linux

Qu’est-ce que le DFIR ?

Comme déjà mentionné, DFIR signifie Digital Forensics and Incident Response. Ce domaine couvre la collecte d'artefacts médico-légaux provenant d'appareils numériques tels que des ordinateurs, des appareils multimédias et des smartphones pour enquêter sur un incident. Ce champ aide les professionnels de la sécurité à identifier les empreintes laissées par un attaquant lorsqu'un incident de sécurité se produit, à les utiliser pour déterminer l'étendue de la compromission dans un environnement et à restaurer l'environnement dans l'état où il se trouvait avant l'incident.

La nécessité du DFIR

DFIR aide les professionnels de la sécurité de diverses manières, dont certaines sont résumées ci-dessous :

  • Trouver des preuves de l'activité des attaquants sur le réseau et filtrer les fausses alarmes des incidents réels.
  • Supprimer de manière robuste l'attaquant, afin que son emprise sur le réseau ne soit plus maintenue.
  • Identifier l’étendue et la durée d’une violation. Cela facilite la communication avec les parties prenantes concernées.
  • Trouver les failles qui ont conduit à la brèche. Que faut-il changer pour éviter une telle violation à l’avenir ?
  • Comprendre le comportement de l'attaquant pour bloquer de manière préventive toute nouvelle tentative d'intrusion de l'attaquant.
  • Partager des informations sur l'attaquant avec la communauté.

Qui réalise le DFIR ?

Comme son nom l'indique, DFIR nécessite une expertise à la fois en criminalistique numérique et en réponse aux incidents. En divisant ainsi ces deux domaines, les compétences suivantes sont nécessaires pour devenir un professionnel DFIR :

  • Médecine légale numérique: Ces professionnels sont experts dans l’identification d’artefacts médico-légaux ou de preuves d’activité humaine dans des appareils numériques.
  • Réponse aux incidents : Les intervenants en cas d'incident sont des experts en cybersécurité et exploitent les informations médico-légales pour identifier l'activité qui les intéresse du point de vue de la sécurité. 

Les professionnels du DFIR connaissent la criminalistique numérique et la cybersécurité et combinent ces domaines pour atteindre leurs objectifs. Les domaines de la criminalistique numérique et de la réponse aux incidents sont souvent combinés car ils sont fortement interdépendants. La réponse aux incidents exploite les connaissances acquises grâce à la criminalistique numérique. De même, la criminalistique numérique tire ses objectifs et sa portée du processus de réponse aux incidents, et le processus IR définit l'étendue de l'enquête médico-légale.

Dans les opérations de sécurité, la criminalistique numérique est principalement utilisée pour répondre aux incidents. Nous apprendrons le processus de réponse aux incidents et observerons comment la criminalistique numérique aide le processus IR dans cette tâche.

Différentes organisations ont publié des méthodes standardisées pour effectuer une réponse aux incidents. Le NIST a défini un processus dans son Guide de gestion des incidents SP-800-61, qui comporte les étapes suivantes :

  1. Préparation
  2. Détection et analyse
  3. Confinement, éradication et rétablissement
  4. Activité post-incident

De même, SANS a publié un Manuel du gestionnaire d'incidents. Le manuel définit les étapes comme suit :

  1. Préparation
  2. Identification
  3. Endiguement
  4. Éradication
  5. Récupération
  6. Leçons apprises

Les étapes définies par SANS sont souvent résumées sous l’acronyme PICERL, ce qui les rend faciles à retenir. Nous pouvons voir que les étapes spécifiées par le SANS et le NIST sont identiques. Alors que le NIST combine confinement, éradication et récupération, le SANS les sépare en différentes étapes. Activité post-incident et Leçons apprises peut être comparable, tandis que Identification et Détection et analyse ont les mêmes implications.

Maintenant que nous comprenons que les deux processus sont similaires, apprenons brièvement ce que signifient les différentes étapes. Nous expliquons les étapes PICERL car elles sont plus faciles à retenir grâce à l'acronyme, mais comme décrit ci-dessus, elles sont identiques aux étapes définies par le NIST.

  1. Préparation: Avant qu’un incident ne se produise, une préparation doit être effectuée afin que tout le monde soit prêt en cas d’incident. La préparation implique de disposer des personnes, des processus et de la technologie nécessaires pour prévenir et répondre aux incidents.
  2. Identification: Un incident est identifié grâce à certains indicateurs lors de la phase d’identification. Ces indicateurs sont ensuite analysés pour détecter les faux positifs, documentés et communiqués aux parties prenantes concernées.
  3. Endiguement: Dans cette phase, l'incident est contenu et des efforts sont faits pour limiter ses effets. Il peut y avoir des solutions à court et à long terme pour contenir la menace, sur la base d'une analyse médico-légale de l'incident qui fera partie de cette phase.
  4. Éradication: Ensuite, la menace est éradiquée du réseau. Il faut s'assurer qu'une analyse médico-légale appropriée est effectuée et que la menace est efficacement contenue avant son éradication. Par exemple, si le point d’entrée de l’acteur menaçant dans le réseau n’est pas bloqué, la menace ne sera pas efficacement éradiquée et l’acteur pourra à nouveau prendre pied.
  5. Récupération: Une fois la menace supprimée du réseau, les services qui avaient été perturbés sont rétablis tels qu'ils étaient avant l'incident.
  6. Leçons apprises: Enfin, un examen de l'incident est effectué, l'incident est documenté et des mesures sont prises en fonction des conclusions de l'incident pour s'assurer que l'équipe est mieux préparée pour la prochaine fois qu'un incident se produira.

Réponses de la salle

Que signifie DFIR ?
Complétez l'exercice de création de chronologie sur le site statique ci-joint. Quel est le drapeau que vous obtenez une fois terminé ?

DFIR nécessite une expertise dans deux domaines. L'un des domaines est la criminalistique numérique. Quel est l'autre domaine ?

À quelle étape du processus d’IR les services perturbés sont-ils remis en ligne comme ils l’étaient avant l’incident ?

À quelle étape du processus IR la menace est-elle expulsée du réseau après avoir effectué l’analyse médico-légale ?

Quel est l'équivalent NIST de l'étape appelée « Leçons apprises » dans le processus SANS ?

Vidéo pas à pas

, ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles