Outils de réponse à incident : quand, comment et pourquoi les utiliser

Les outils de réponse à incidents

Face aux menaces actuelles, les entreprises ont besoin de technologies susceptibles de les aider à assurer la visibilité et le contrôle de manière automatisée et reproductible, pour garantir que le réseau reste résilient et que tous les aspects de la sécurité soient préservés. Cela vaut aussi bien pour les mesures de sécurité préventives, comme l’authentification à facteurs multiples et les contrôles d’accès granulaires, que pour des aspects plus réactifs de la sécurité, comme la surveillance, l’alerte et l’isolation de systèmes.

La plupart des outils relèvent de l’une des catégories suivantes, et certains peuvent s’avérer utiles dans plusieurs phases de la boucle Ooda :

• analyse des flux et du trafic réseau;
• gestion des vulnérabilités;
• gestion des informations et des événements de sécurité (SIEM) ;
• détection et réponse sur les hôtes (EDR) ;
• orchestration et automatisation ;
• pare-feu, prévention des intrusions (IPS) et atténuation des dénis de service (DoS) ;
• l’analyse post-mortem; et
• sensibilisation et formation.

Dans la perspective de l’intégration de ces technologies dans les procédures de réponse à incident, il peut être intéressant de voir comment elles s’intègrent dans la boucle Ooda et ses différentes phases.

Observation

Dans cette partie de la boucle OODA, les outils de sécurité et de réponse à incident sont utilisés pour créer une base de référence, établir à quoi ressemble la « normale » et rechercher les anomalies. Compte tenu de ce qui est en jeu, cette catégorie englobe le plus grand nombre d’outils :

• Classification des données, prévention des pertes de données et passerelle d’accès cloud sécurisé (CASB), avec par exemple les offres de McAfee, Symantec Corp. et TITUS.
• EDR et outils de protection des hôtes de nouvelle génération (EPP), dont les offres de Carbon Black, Crowdstrike ou encore
• Systèmes de prévention des intrusions (IPS), avec par exemple les offres de Cisco, McAfee et Palo Alto Networks, sans compter les systèmes basés sur Suricata ou encore Zeek.
• Les logiciels Netflow, dont les offres de ManageEngine, Nagios et Paessler AG
• Outils d’analyse du trafic réseau, avec par exemple les offres d’Awake Security, LiveAction et SolarWinds.
• Systèmes de gestion des informations et des événements de sécurité (SIEM), notamment les offres d’IBM, Elastic, Exabeam, LogRhythm, ou encore Splunk, LogPoint et iTrust.
• Des outils d’analyse et de gestion des vulnérabilités, dont ceux proposés par Tenable, Qualys et Rapid7.

Comme pour la plupart des aspects de la sécurité, plus l’on dispose d’informations, mieux c’est. C’est pourquoi ces outils sont si essentiels. Ils permettent de se familiariser avec son réseau et de déterminer ce qui pourrait être à risque avant qu’il ne se passe quoi que ce soit.

Orientation

Dans cette partie de la boucle OODA, les outils de réponse aux incidents peuvent aider à fournir des informations et un contexte concernant la gravité des événements de sécurité qui se sont produits. Cela peut aider à déterminer l’étendue et l’impact, pour conduire à une prise de décision plus judicieuse. Ces outils peuvent être répartis dans les groupes suivants :

• Recherche et renseignement sur les menaces, y compris les offres d’AT&T Cybersécurité, d’IBM et de Recorded Future, mais également avec des outils tels que ceux d’Anomali ou ThreatQuotient, QuoLab, EclecticIQ, OpenCTI, voire MISP et Yeti.
• Investigation et réponse, avec les offres de FireEye, RSA Security et Uplevel Security, mais aussi un projet tel the TheHive.

Décider et agir

Bien que les outils de réponse aux incidents puissent aider à atteindre ce point, cette phase de la boucle de l’OODA implique finalement des personnes, dont la direction générale et le service juridique. Des décisions cruciales devront être prises. Et l’élément le plus important en revient aux deux phases d’observation et d’orientation pour s’assurer de disposer de toutes les informations nécessaires.

Selon la situation, il peut être judicieux de revenir en arrière et d’échanger avec l’équipe technique afin d’obtenir des éclairages additionnels.

Vient ensuite le passage à l’action. C’est la phase de la boucle d’Ooda où l’on fait bouger les choses. Là encore, des outils sont impliqués, à commencer par ceux de protection des hôtes (EDR/EPP), de sauvegarde et de restauration, de collecte et préservation d’indices – avec notamment les offres d’AccessData, EnCase et The Sleuth Kit –, mais également les systèmes de gestion des identités et des accès (IAM), des correctifs, etc. Pour coordonner tout cela, une offre spécifique s’est développée : les outils d’orchestration et d’automatisation de la sécurité (SOAR), proposés notamment par Splunk, Palo Alto Networks, CyberSponse, mais aussi IBM. Et sans compter les projets open source tels que Shuffle.

Qu’est-ce qui est normal ?

L’un des aspects les plus importants de la gestion des systèmes d’information et de la sécurité est de comprendre le réseau et ce qui est normal. Cela peut paraître évident de prime abord, mais en pratique, c’est une chose qui n’est presque jamais maîtrisée.

Beaucoup d’organisations n’ont pas de cartographie à jour de leur système d’information, et comprennent encore moins ce qui se passe sur le réseau et ce qui pourrait être considéré comme normal ou anormal. Il est également impératif que l’équipe de sécurité entende parfaitement les besoins de l’entreprise, afin qu’elle puisse commencer à collecter des données de référence et établir cette base critique de ce qui est normal.