Un modèle de plan d’intervention en cas d’incident exploitable
Un guide de démarrage rapide pour la création d’un plan de réponse aux incidents robuste, conçu spécifiquement pour les entreprises disposant de déploiements basés sur le cloud.
Qu’est-ce que la réponse aux incidents (Incident Response)? Un guide accéléré pour les SOC
La réponse aux incidents est une approche stratégique de détection et de réponse aux cyberattaques dans le but de minimiser leur impact sur vos systèmes informatiques et votre entreprise dans son ensemble.
Équipe d'experts Wiz
12 minutes lues
Qu’est-ce que la réponse aux incidents ?
La réponse aux incidents est une approche stratégique de détection et de réponse aux cyberattaques. Il comprend une série coordonnée de procédures pour vous aider à détecter, éliminer et récupérer de l’impact d’une menace de manière organisée, efficace et rapide. De plus, il couvre les mesures de préparation et de mise au point, telles que les plans et les manuels documentés, les outils et les technologies, les tests et les examens, pour s’assurer qu’il atteint ces objectifs.
La réponse aux incidents fait partie de Gestion des incidents, qui fait référence à la manière plus large dont vous géreriez une attaque, impliquant Direction générale, Équipes juridiques, RH, communications, et le Département informatique.
Ce guide se concentre essentiellement sur la réponse aux incidents. Mais il aborde brièvement d’autres aspects de la gestion des incidents, comme'Il est important qu’une organisation adopte une approche holistique pour gérer les incidents futurs.
Laisser'commencent par passer en revue quelques concepts de base.
Les équipes d’intervention en cas d’incident doivent agir rapidement en cas de'sont appelés à l’action. Ils ne peuvent donc pas se permettre des malentendus chronophages qui peuvent survenir en raison d’une utilisation incorrecte de la terminologie. Cela'pourquoi ils doivent comprendre exactement ce qui constitue un incident de sécurité et en quoi il diffère de termes similaires tels que Événement de sécurité et attaquer.
Un Événement de sécurité est la présence d’un comportement inhabituel sur le réseau, tel qu’un pic soudain de trafic ou une élévation de privilèges, qui pourrait être l’indicateur d’une violation de la sécurité. Cependant, ce n’est pas le cas'Cela signifie nécessairement que vous avez un problème de sécurité. Après une enquête plus approfondie, il peut s’avérer qu’il s’agit d’une activité parfaitement légitime.
Un Incident de sécurité est un ou plusieurs événements de sécurité corrélés avec un impact négatif potentiel confirmé, tel que la perte ou l’accès non autorisé à des données, qu’il soit délibéré ou accidentel.
Unattaquerest une violation préméditée de la sécurité avec une intention malveillante.
Types d’incidents de sécurité
Vous devez être adéquatement préparé aux différents types d’incidents, quelle que soit leur nature. Alors vous'Nous devons envisager une série de scénarios. Il s’agit notamment de différents types d’applications et d’infrastructures sous-jacentes, mais surtout de différents types d’attaques.
Les plus courants d’entre eux sont :
Déni de service (DoS) : Une tentative d’inonder un service avec de fausses requêtes, le rendant ainsi indisponible pour les utilisateurs légitimes.
Compromission de l’application : Une application qui'à l’aide de techniques telles que Injection SQL, Script intersite (XSS)et Empoisonnement du cache, dans le but de corrompre, de supprimer ou d’exfiltrer des données, ou d’exécuter d’autres formes de code malveillant.
Ransomware : Type de logiciel malveillant qui utilise le chiffrement pour bloquer l’accès à vos données. L’attaquant exige ensuite une rançon en échange des clés de chiffrement.
Violation de données : Une faille de sécurité qui implique spécifiquement un accès non autorisé à des données sensibles ou confidentielles.
L’homme du milieu (MitM): Il s’agit d’une forme moderne d’écoute électronique où un adversaire intercepte secrètement l’échange de données entre deux parties et manipule la communication entre elles.
En conséquence, vous devez développer une compréhension approfondie des différents types d’attaques et des vulnérabilités potentielles de vos systèmes. Cela vous aidera à formuler des procédures d’intervention et à identifier les exigences en matière d’outillage et de technologie. Dans le même temps, cela vous aidera à améliorer vos défenses de sécurité et à réduire le risque qu’un incident majeur survienne en premier lieu.
Face à l’adoption généralisée du cloud, la réponse aux incidents évolue pour répondre aux défis posés par les nouveaux types de menaces et les différents modèles de déploiement d’applications.
Cependant, de nombreuses organisations s’appuient encore sur des procédures de réponse aux incidents obsolètes. Elles doivent donc rester suffisamment préparées en adaptant leurs stratégies de réponse à la nouvelle surface d’attaque. Par exemple, en :
S’assurer que l’équipe d’intervention en cas d’incident reçoit une formation suffisante pour comprendre votre environnement informatique basé sur le cloud
Mettre en œuvre des outils qui'spécialement conçus pour la nature complexe et dynamique du cloud
Utilisation des données de télémétrie disponibles auprès de leur fournisseur de services cloud (CSP)
Documentation sur l’intervention en cas d’incident
Un plan d’action formellement documenté est un élément essentiel de toute stratégie de réponse aux incidents solide, car il fournit une feuille de route claire pour la gestion des incidents et vous assure'être équipés de manière appropriée pour le faire.
En règle générale, le matériel d’intervention en cas d’incident se compose de trois types de documents, comme suit.
Politique de réponse aux incidents
Le politique Le document ouvre le bal de votre initiative et sert de plan directeur général pour votre stratégie de réponse aux incidents.
Il vise à obtenir l’adhésion des décideurs de haut niveau en présentant l’analyse de rentabilisation de la réponse aux incidents. Il exige la création d’une équipe d’intervention en cas d’incident et d’un programme d’intervention en cas d’incident à part entière. Il doit être approuvé par l’équipe de direction, ce qui vous donne l’autorité de faire avancer votre mission.
Il s’agit d’un document unique qui constitue le tremplin vers une documentation plus détaillée axée sur les aspects pratiques du processus de réponse aux incidents.
Le Plan d’intervention en cas d’incident développe votre document de politique en expliquant plus en détail les mesures que vous devriez mettre en place pour gérer les incidents de cybersécurité. Il couvre l’ensemble du cycle de vie de l’intervention et comprend des plans généraux sur la façon de :
Détecter et classifier un incident de sécurité
Déterminer le fonctionnement complet de l’attaque
Limitez l’impact sur vos systèmes informatiques et vos opérations commerciales
Éliminez la menace
Se remettre de l’incident
En outre, il définit :
Préparations vous'll faire en prévision d’une attaque
Propositions d’activités post-incidents pour analyse et examens
Un plan de réponse aux incidents est également un document unique, qui jette les bases de vos playbooks de réponse aux incidents.
D’une manière générale, un playbook de réponse aux incidents est un document qui fournit un ensemble très détaillé de procédures pour gérer un type spécifique d’incident.
Chaque manuel est adapté à différentes circonstances. Par exemple, vous'd créent généralement une série de playbooks pour différents vecteurs d’attaque. Toutefois, vous pouvez également utiliser un playbook pour fournir des instructions pour un rôle spécifique dans l’équipe de réponse aux incidents. C’est courant dans le processus plus large de gestion des incidents. Par exemple, vous'd créent généralement des playbooks pour les équipes juridiques et de relations publiques afin de les aider à répondre aux exigences de conformité et à gérer les communications, respectivement.
L’équipe d’intervention en cas d’incident
L’équipe de réponse aux incidents est un groupe interfonctionnel de personnes chargées d’orchestrer l’opération de réponse aux incidents.
Il est composé d’un large éventail de postes dans l’ensemble de l’organisation et comprend généralement les éléments suivants :
Sponsor exécutif.Un membre de la haute direction, tel que le directeur de la sécurité (CSO) ou le responsable de la sécurité des systèmes d’information (CISO), qui défend votre initiative de réponse aux incidents. Ils assument souvent la responsabilité de rendre compte des progrès à votre entreprise'.
Responsable de la réponse aux incidents : Le chef d’équipe, qui élabore et peaufine la stratégie d’intervention en cas d’incident et coordonne les activités. Ils assument la responsabilité et l’autorité globales tout au long du processus d’intervention.
Équipe des communications : Des représentants de vos services de relations publiques, de médias sociaux et de ressources humaines, ainsi que des porte-parole et des blogueurs de l’entreprise, qui seraient chargés de tenir le personnel, les clients, le public et les autres parties prenantes informés des développements.
Équipe juridique : Représentants juridiques désignés, qui s’occupent de la conformité et des répercussions criminelles d’un incident, ainsi que des violations potentielles de contrat.
Équipe technique.Des membres de vos équipes informatiques et d’opérations de sécurité, qui sont dûment qualifiés pour effectuer les tâches techniques liées à la détection, à l’analyse, au confinement et à l’élimination de la menace.
Cycle de vie de la réponse aux incidents
Un cycle de vie de réponse aux incidents bien structuré et systématique est essentiel à une gestion efficace des incidents, fournissant un processus étape par étape pour faire face à une attaque. Cependant, vous ne'Il est nécessaire de partir de zéro pour développer votre propre cycle de vie de réponse, car un certain nombre de cadres sont disponibles pour vous guider tout au long du processus.
Il s’agit notamment de :
NIST 800-61 : Guide de gestion des incidents de sécurité informatique
Cycle de réponse aux incidents SANS 504-B
Série ISO/IEC 27035 : Technologies de l’information — Gestion des incidents de sécurité de l’information
Dans le même ordre d’idées, Wiz a récemment publié un Modèle de plan d’intervention en cas d’incident cela'visant spécifiquement les personnes chargées de protéger Cloud public, Cloud hybride et multicloud Déploiements.
Bien que chaque cadre de réponse aux incidents adopte une approche légèrement différente, ils décomposent tous le cycle de vie en phases suivantes.
Préparation
Le pire moment pour commencer à travailler sur une stratégie d’intervention est juste lorsqu’un incident se produit, car vous devez agir rapidement pour minimiser les dommages et réduire les perturbations de votre entreprise. Cela'raison pour laquelle la préparation est si importante.
La phase de préparation de la réponse aux incidents vous permet de tout mettre en place à l’avance afin de pouvoir répondre à un incident sans délai. Il comprendra des dispositions telles que :
La formation de l’équipe d’intervention en cas d’incident
Un inventaire des actifs à jour pour vous assurer que toutes les bases sont couvertes
Capture des données de journal pour soutenir l’analyse chronologique après un incident
Acquisition d’outillage pour la détection et le confinement rapides
Mise en place d’un système de suivi des problèmes pour faire remonter les cas et suivre les progrès
Mesures d’urgence pour minimiser les perturbations des activités commerciales
Formation à la réponse aux incidents
Exercices de test de réponse aux incidents
Couverture d’assurance cyber
Détection
La phase de détection adopte une approche méthodique pour identifier si un incident de sécurité s’est produit ou est sur le point de se produire. Les premiers signes d’une crise sont les suivants :
un nombre élevé de tentatives de connexion infructueuses
Demandes d’accès inhabituelles au service
Élévations de privilèges
Blocage de l’accès aux comptes ou aux ressources
Actifs de données manquants
systèmes à fonctionnement lent
une panne du système
Cependant, la détection est l’un des aspects les plus difficiles de la réponse aux incidents, car elle implique de corréler des informations provenant de diverses sources pour confirmer que ces événements représentent un incident de sécurité réel. Les sources peuvent inclure :
Télémétrie de la charge de travail
Télémétrie disponible auprès d’un fournisseur de services cloud
Renseignements sur les menaces de tiers
Commentaires des utilisateurs finaux
Autres parties de votre chaîne d’approvisionnement logicielle
Enquête/Analyse
La phase d’investigation d’un incident comprend une série systématique d’étapes visant à déterminer la cause profonde de l’attaque, l’impact probable sur vos déploiements et les actions correctives appropriées.
Comme pour la phase de détection, il s’agit de rassembler des données d’événement provenant de différentes sources de journaux pour dresser un tableau complet de l’incident.
Confinement
La phase de confinement a pour but de :
Minimiser le rayon d’explosion d’une attaque
Limitez l’impact sur vos systèmes informatiques et vos opérations commerciales
Gagner du temps avant de prendre des mesures correctives plus complètes
Les méthodes varient selon le type d’incident. Par exemple, pour contenir une attaque par déni de service (DoS), vous devez'd mettre en œuvre des mesures de réseau, telles que le filtrage des adresses IP. Mais, dans bien d’autres cas, vous'd Isoler les ressources pour empêcher tout mouvement latéral de l’attaque. La façon dont vous'Cela dépend du type d’infrastructure. Dans un environnement informatique traditionnel, un outil de sécurité tel que la détection et la réponse aux points de terminaison (EDR) serait la méthode la plus efficace. Mais dans un environnement basé sur le cloud, l’informatique'Il est généralement plus simple de modifier les paramètres du groupe de sécurité de la ressource via le plan de contrôle.
Conseil pro
Did you know? Gartner recognizes cloud investigation and response automation (CIRA) as an indispensable technology in the cybersecurity landscape. Gartner views CIRA as a strategic investment for organizations looking to fortify their security posture in the cloud. Simply put, the shift to cloud computing brings unprecedented opportunities but also introduces new risks.
Éradication
L’éradication est la phase au cours de laquelle vous éliminez complètement la menace afin qu’elle'n’est plus présent quelque part au sein du réseau de votre organisation.
Voici quelques exemples de solutions pour débarrasser vos systèmes d’une menace :
Suppression du code malveillant
Réinstallation d’applications
Rotation des secrets tels que les identifiants de connexion et les jetons API
Blocage des points d’entrée
Correction des vulnérabilités
Mise à jour des modèles d’infrastructure en tant que code (IaC)
Restauration des fichiers à leur état d’avant l’infection
Il'Il est également essentiel d’analyser les systèmes affectés et non affectés après la correction, afin de s’assurer qu’aucune trace de l’intrusion n’a été laissée derrière.
Examen post-incident
La phase d’examen est l’occasion d’affiner votre stratégie d’intervention afin que vous'sont mieux équipés pour faire face à d’éventuels incidents à l’avenir. Il doit tenir compte de la manière dont vous avez réagi à l’incident, des commentaires de l’équipe d’intervention et de l’impact de l’incident sur vos activités commerciales.
Voici les types de questions que vous devriez soulever lors de votre examen :
Les membres de l’équipe d’intervention en cas d’incident ont-ils compris leurs rôles et responsabilités ?
Combien de temps a-t-il fallu pour accomplir différentes tâches ?
Avons-nous besoin de mesures supplémentaires pour éviter que des incidents similaires ne se reproduisent à l’avenir ?
Y avait-il des lacunes dans nos outils de sécurité ?
Avons-nous fait des erreurs qui ont retardé le temps de récupération ?
L’incident a-t-il révélé une violation des exigences de conformité ?
Continuité d’activité et reprise après sinistre (BCDR)
Continuité des activités (C.-B.) est l’ensemble des mesures d’urgence que votre organisation devrait avoir mises en place pour assurer le bon fonctionnement des opérations essentielles à la mission pendant une période de perturbation, comme un incident de sécurité. Reprise après sinistre (DR), quant à lui, est l’ensemble des dispositions que vous prenez pour restaurer les systèmes à la normale, avec un minimum de temps d’arrêt et d’impact sur votre entreprise.
Les deux disciplines font donc partie intégrante du succès de votre réponse. Cependant, ils doivent se coordonner avec votre stratégie de gestion des incidents pour :
Assurez-vous de déclencher les procédures BCDR au moment le plus approprié du cycle de vie de la réponse
Minimiser le risque de persistance de la menace
Pour atteindre ces objectifs, vous devez prendre en compte les éléments suivants :
La sécurité de tout système de basculement
Pratiques d’hygiène de secours pour prévenir les infections
Priorités de rétablissement
Dépendances système
Outils et technologies
Le bon outillage est une aubaine lorsque vous êtes confronté à un incident de sécurité en direct et que vous devez faire face à la menace le plus rapidement possible. Donc, pour conclure, nous'ont énuméré quelques-uns des outils et technologies que vous avez'Nous avons besoin d’une réponse efficace aux incidents, ainsi que du rôle qu’ils jouent dans le cycle de vie de la réponse.
Technology
Description
Role in response lifecycle
Threat detection and response (TDR)
A category of security tools that monitor environments for signs of suspicious activity and provide remediation capabilities to contain and eradicate threats. Examples of TDR technology include endpoint detection and response (EDR) and cloud detection and response (CDR).
Detection, investigation, containment, and eradication
Security information and event management (SIEM)
An aggregation platform that enriches logs, alert, and event data from disparate sources with contextual information, thereby enhancing visibility and understanding for better incident detection and analysis.
Detection and investigation
Security orchestration, automation and response (SOAR)
A security orchestration platform that integrates different security tools, providing streamlined security management through a unified interface. Allows you to create playbooks to perform predefined automated responses.
Detection, investigation, containment, and eradication
Intrusion detection and prevention system (IDPS)
A traditional defense system that detects and blocks network-level threats before they reach endpoints.
Detection and investigation
Threat intelligence platform (TIP)
An emerging technology that collects and rationalizes external information about known malware and other threats. TIP helps security teams quickly identify the signs of an incident and prioritize their efforts through insights into the latest attack methods adversaries are using.
Detection, investigation, containment, and eradication
Risk-based vulnerability management (RBVM)
A security solution that scans your IT environment for known vulnerabilities and helps you prioritize remediation activity based on the risk such vulnerabilities pose to your organization.
Containment and eradication
Wiz pour l’IR cloud-native
Wiz propose une gamme complète de Solution de détection et de réponse dans le cloud (CDR) Aider les organisations à détecter, enquêter et répondre efficacement aux incidents de sécurité dans les environnements cloud. Voici les principaux aspects de Wiz'en matière de réponse aux incidents dans le cloud :
Détection contextualisée des menaces : Wiz corrèle les menaces entre les signaux en temps réel et l’activité du cloud dans une vue unifiée, ce qui permet aux défenseurs de découvrir rapidement les mouvements des attaquants dans le cloud. Cette contextualisation permet de hiérarchiser les alertes et de réduire les faux positifs, ce qui résout le problème de la fatigue des alertes à laquelle de nombreuses équipes de sécurité sont confrontées.
Surveillance cloud-native : La plateforme surveille les événements de charge de travail et l’activité du cloud pour détecter les menaces connues et inconnues et les comportements malveillants. Cette approche cloud native est cruciale, car les solutions de sécurité traditionnelles ont souvent du mal à s’adapter à la nature dynamique des environnements cloud.
Playbooks de réponse automatisée : Wiz fournit des playbooks de réponse prêts à l’emploi conçus pour examiner et isoler les ressources affectées à l’aide de fonctionnalités natives du cloud. Il automatise également la collecte de preuves, ce qui permet aux équipes de sécurité de passer rapidement aux phases de confinement, d’éradication et de récupération.
Graphique de sécurité pour l’analyse des causes profondes : Wiz'Security Graph offre une analyse automatisée des causes profondes et du rayon d’explosion, ce qui est essentiel pour la réponse aux incidents. Il permet de répondre à des questions cruciales telles que la façon dont une ressource a été compromise et les chemins potentiels qu’un attaquant pourrait emprunter dans l’environnement. Pour en savoir plus->
Cloud Forensics : Wiz améliore ses capacités d’investigation en fournissant un moyen automatisé de collecter des preuves importantes lorsqu’une ressource a pu être compromise. Cela inclut la copie de volumes de machines virtuelles, le téléchargement de packages d’analyse avec des journaux et des artefacts, et l’utilisation de capteurs d’exécution pour afficher les processus sur des conteneurs ou des machines virtuelles.
Évaluation du rayon d’explosion : Le Security Graph permet aux équipes IR d’identifier rapidement l’étendue de l’impact, de tracer les chemins d’attaque et de repérer la cause profonde des incidents. Ceci est particulièrement utile pour comprendre l’impact commercial potentiel d’une ressource compromise. Pour en savoir plus->
Surveillance de l’exécution : Wiz surveille en permanence les charges de travail pour détecter toute activité suspecte en temps d’exécution, ajoutant du contexte à l’analyse du rayon d’explosion. Cela inclut la détection des événements suspects effectués par des comptes de service machine ou des utilisateurs spécifiques.
Data detection and response (DDR) is a cybersecurity solution that uses real-time data monitoring, analysis, and automated response to protect sensitive data from sophisticated attacks that traditional security measures might miss, such as insider threats, advanced persistent threats (APTs), and supply chain attacks.
Enterprise cloud security is the comprehensive set of practices, policies, and controls used by enterprises to protect their data, applications, and infrastructure in the cloud.
A data risk assessment is a full evaluation of the risks that an organization’s data poses. The process involves identifying, classifying, and triaging threats, vulnerabilities, and risks associated with all your data.
In this guide, we’ll break down why AI governance has become so crucial for organizations, highlight the key principles and regulations shaping this space, and provide actionable steps for building your own governance framework.