Préserver une Scène de Cybercrime

Retour de conférence par Jérémy MOUNIER

4 juillet 2024 par

Ambre MARZA

| Aucun commentaire pour l'instant

Introduction

La préservation d'une scène de cybercrime nécessite des réflexes appropriés et une compréhension claire du cadre réglementaire. Depuis 2004, diverses réglementations ont été instaurées pour définir les pratiques en matière de gestion et de notification des incidents, notamment NISv2, la loi PCI DSS, la loi de programmation militaire et le RGPD. Les référentiels principaux incluent l'ANSSI, l'ISO 27035, le NIST SP 800-61 rev2, l'Enisa et le SANS.

Méthodologie stratégie & enjeux psychologique

Préparer le terrain

Il est important de comprendre et de faire comprendre aux parties prenantes que l'identification de la vulnérabilité est l'objectif de l'équipe de sécurité et que cet objectif répond aux intérêts de l'entreprise. En effet, restaurer un système sans identifier la faille peut entraîner des réattaques, nuisant à la crédibilité de toutes les parties prenantes.
La gendarmerie, elle, par exemple, sera plus encline à trouver l'auteur des faits et impose souvent le timing lors de son intervention.

Ainsi, une préparation adéquate et une communication claire avec la direction de l'entreprise sont essentielles pour une gestion efficace de la crise.

Les 5 Phases de la réponse à un Incident

Préparation : Se préparer à d'éventuels incidents.
Détection et Signalement : Identifier et signaler l'incident.
Analyse et Endiguement : Analyser l'incident et contenir ses effets.
Éradication et Remédiation : Supprimer la menace et restaurer les systèmes.
⚠️ La remédiation peut s'étendre sur plusieurs semaines. Il est important de préparer mentalement les équipes à cette réalité et afin de gérer les attentes de manière adéquate lorsque l'incident survient.
Apprentissage : Tirer des leçons de l'incident pour améliorer les processus futurs.

Les preuves doivent être collectées principalement lors des phases de détection et de signalement, ainsi que d'analyse et d'endiguement.

Les 4 Règles d'Or

Figer l'état du système : Il est essentiel de stopper toute activité sur le système affecté pour éviter la modification ou la suppression des preuves.

Documenter : Prendre des notes détaillées de toutes les actions effectuées et observations faites permet de créer une chronologie précise de l'incident.

Collecter les informations techniques : Recueillir les données pertinentes comme les logs, les fichiers de configuration et les snapshots de mémoire pour une analyse approfondie.

Préserver l'intégrité des systèmes et des preuves : Utiliser des outils et des méthodes appropriées pour garantir que les données collectées restent inchangées et fiables.

Les Acteurs de la Réponse Initiale

L'Utilisateur : Premier Maillon de la Chaîne de Preuve

L'utilisateur, en tant que premier maillon de la chaîne de preuve, doit arrêter immédiatement toute action sur le système pour éviter toute altération des preuves. Ensuite, il doit impérativement signaler l'incident rapidement aux équipes appropriées pour une prise en charge immédiate. Il peut également permettre d'horodater et de consigner les actions effectuées afin de créer une chronologie précise des événements en prenant des captures d'écran ou des photos des anomalies observées pour fournir des preuves visuelles utiles qui serviront à l'analyse ultérieure.

Équipes IT / Sécurité Infra : Premiers Secours

Une fois interpellées, les équipes IT et de sécurité infra doivent enregistrer et consigner l'événement dans le système dédié pour assurer une documentation précise. Identifier les premiers impacts sur les données et l'infrastructure permet de comprendre l'ampleur de l'incident. Elles doivent signaler rapidement aux équipes de sécurité (RSSI) avec un rapport initial détaillé. Sécuriser le périmètre et entamer les actions d'endiguement afin de contenir la menace. Enfin, collecter les premiers éléments techniques pour une analyse approfondie et une réponse efficace à l'incident.

⚠️ Fausses Bonnes Idées

Chercher à redevenir opérationnel immédiatement : peut entraîner une perte de preuves cruciales.
Éteindre les machines ou les systèmes : peut effacer des informations en mémoire vive qui sont essentielles pour l'analyse.
Restaurer les sauvegardes précipitamment : sans une analyse préalable peut réintroduire des vulnérabilités ou des logiciels malveillants.
Utiliser des analyses anti-virus sans précaution : sur un système compromis peut altérer ou supprimer des preuves essentielles.
Réaliser des recherches depuis le poste victime : peut entraîner une contamination des métadonnées et fausser les résultats.
Appliquer toutes les mises à jour immédiatement : sur un système compromis peut supprimer des indices sur les vulnérabilités exploitées par les attaquants.

Ces actions peuvent polluer les systèmes et entraîner une perte de données cruciales.

Stratégie et Périmètre de Collecte

Systèmes Vivants vs Post-Mortem

L'investigation sur les systèmes vivants implique la collecte d'informations sur des systèmes actifs, tels que des postes utilisateurs et des serveurs, tandis que l'investigation post-mortem se concentre sur l'analyse a posteriori des supports de stockage, comme les disques durs.

Echelle d'investigation

L'échelle de l'investigation peut varier d'un périmètre restreint, où l'enquête est limitée à une zone spécifique, à un périmètre large nécessitant une investigation à grande échelle. Il est crucial d'assurer la chaîne de preuve en utilisant des bloqueurs en écriture et des logiciels spécialisés, garantissant ainsi l'intégrité des données collectées tout au long du processus d'investigation

Pour assurer la chaîne de preuve et préserver l'intégrité des données collectées, il est recommandé d'utiliser des bloqueurs en écriture et des logiciels spécialisés.

🛠️ Boîte à Outils

Des outils comme Guymager sont recommandés pour la collecte de preuves. Ils intègrent des mécanismes de blocage logique pour empêcher toute modification des données. Les formats de fichiers forensiques couramment utilisés sont EWF, RAW et AFF, permettant de préserver les éléments de preuve avec des empreintes cryptographiques à chaque étape.

DFIR ORC, initialement interne depuis 2011 et rendu open source en 2019, est utilisé pour la copie de données sur systèmes actifs et la recherche de compromissions. Bien qu'il n'ait pas d'interface graphique et soit modulaire, il nécessite une configuration minutieuse pour être efficace.

L'ANSSI recommande également des outils comme AD Timeline et DFIR4vSPHERE pour la collecte de preuves. Des organisations comme l'ANSSI, l'armée et le CERT peuvent fournir une assistance en fonction de la nature de l'incident. Les CSIRT régionaux et le centre de ressources cyber en Polynésie (en cours de développement) sont également des ressources précieuses.

Conclusion

Préserver une scène de cybercrime est un processus complexe nécessitant des réflexes adéquats, une documentation rigoureuse et l'utilisation d'outils spécialisés. La collaboration entre les utilisateurs, les équipes IT et les experts en sécurité est essentielle pour une gestion efficace des incidents. La préparation psychologique et la compréhension des enjeux stratégiques sont également cruciales pour minimiser l'impact des cyberattaques et assurer une réponse appropriée. En s'appuyant sur les bonnes pratiques et les ressources disponibles, les organisations peuvent mieux se protéger et réagir de manière adéquate en cas d'incident.

Présentation du conférencier à retrouver ici ➡️

dans Le blog du CLUSIR Tahiti

Ambre MARZA 4 juillet 2024