Gestion des incidents de sécurité – Perficient Blogs

Gestion des incidents de sécurité

La gestion des incidents peut être définie comme «la gestion efficace des événements perturbateurs imprévus dans le but de minimiser les impacts et de rétablir les opérations normales» (1). Pour les incidents liés à la sécurité, toutes les étapes avant, pendant et après un incident de sécurité des informations sont impliquées. Cela peut avoir des conséquences bien au-delà du rétablissement d'un service normal. Par exemple, l'inclusion de l'application des lois, de la notification des clients / clients et des efforts de gestion des relations publiques. Le but de la mise en place de la gestion des incidents est de garantir que l'organisation anticipe et prépare à l'avance la capacité de réagir rapidement et efficacement aux pannes, attaques, intrusions et autres événements liés à la sécurité.

Équipe de réponse aux incidents

Incident Les équipes d'intervention (IRT) sont généralement bien formées pour identifier une situation en cours, prendre des mesures de protection immédiates pour limiter / contenir les dommages et assurer la capture des preuves médico-légales pour faciliter les recherches et les enquêtes ultérieures. Ces équipes peuvent être des unités commerciales à temps plein (par exemple, des institutions financières, des organisations de soins de santé, des organisations gouvernementales, etc.) ou partager d'autres responsabilités en matière de sécurité informatique (par exemple, conception / examen du système, éducation aux politiques, automatisation sécurisée du système, pratiques de codage sécurisées, fonctionnement renforcé). systèmes, etc.). Par analogie, considérons l'événement inattendu d'un incendie de maison. Il y a un temps entre l'allumage et la détection, la notification de l'urgence, l'arrivée de la «première réponse» sous forme de pompiers, et l'atténuation de l'incident initial en éteignant les flammes. Cependant, une fois l'incendie éteint, il reste un grand nombre d'activités qui suivent souvent, comme le nettoyage des dommages pour rétablir une utilisation normale du ménage, potentiellement une enquête sur la cause de l'incendie (accidentelle, naturelle, ou artificiel), et une certaine forme de remédiation pour la prévention (jusqu'à et y compris l'application de la loi!).

De même, IT Security IRT aura une approche bien définie pour gérer un événement commercial exceptionnel qui altère ou perturbe l'informatique normale comportement du système.

Détection

La première partie de toute gestion d'incident est basée sur la détection d'une condition ou d'un événement exceptionnel. Cela peut être via un système de détection d'intrusion automatisé (IDS), l'observation d'un comportement anormal du système ou de l'utilisation des ressources (par exemple une utilisation excessive du processeur), des rapports des clients sur une panne du système ou d'autres mécanismes de détection. La surveillance et le contrôle proactifs du système comprennent plusieurs approches pour garantir l'intégrité et la résilience de toute approche de «défense en profondeur» de la sensibilisation à la sécurité. L'une de ces approches consiste à effectuer des tests de pénétration réguliers sur les systèmes de production et hors production pour rechercher les faiblesses du pare-feu, des applications, de la protection des données ou d'autres fonctionnalités de sécurité de l'organisation informatique.

Une fois qu'un événement possible a été détecté, le L'IRT est avisé de commencer immédiatement une détermination de validité (pour exclure les événements «faux positifs»), de capturer et de protéger les données de journal et d'audit pour l'analyse médico-légale, l'utilisation d'applications anti-malware / de correction de vulnérabilité et le déploiement d'autres systèmes de prévention des intrusions ( IPS).

Triage

Une fois qu'un incident de sécurité est détecté et vérifié, il est important de déterminer la nature de la menace et la réponse appropriée. Ce «triage» de sécurité est similaire au traitement de plusieurs patients blessés lorsque les ressources médicales sont limitées; les blessures les plus graves sont traitées en premier. Dans le cas d'un événement de sécurité informatique, l'intention est de contenir les dommages systématiques ou les fuites d'informations pour éviter que les systèmes non affectés ne soient compromis. Il y a généralement une période de temps pendant laquelle l'IRT détermine ce que l'attaque / l'incident exact implique, ce qui rend la pré-planification avec un ensemble de contingences préparées absolument critique. Ces plans doivent être considérés bien avant tout incident potentiel et inclure une hiérarchie de points de notification (voir Escalade ci-dessous), établir un ensemble de procédures d'intervention d'urgence visant à minimiser l'exposition et prévoir un plan de continuité des activités qui peut être exécuté tandis que le principal

Escalade

La gestion des incidents de sécurité implique généralement la détermination du besoin de compétences et / ou de connaissances supplémentaires pour la résolution. Compte tenu de la nature hautement technique de la gestion des systèmes informatiques, il est courant d'établir plusieurs niveaux de réponse à un incident. Pour la plupart des organisations, une structure de réponse à trois niveaux avec des points d'escalade définis est considérée comme suffisante:

Niveau 1 – Centre d'appel / Service Desk – Cette fonction permet aux utilisateurs du système informatique de signaler les incidents, les failles du système et les pannes et d'autres événements informatiques anormaux. Un centre d'appels est généralement doté d'un ensemble de procédures standard pour diagnostiquer et évaluer la gravité de tout incident signalé. Ceux-ci peuvent inclure des solutions de contournement pour les défauts de comportement du système, une assistance pour la récupération après une condition d'erreur donnée ou une autre assistance de routine. Pour les situations qui ont un plus grand impact, comme une panne, l'incident est transmis à l'équipe de niveau 2.

Niveau 2 – Équipe d'intervention en cas d'incident (IRT) – Comme indiqué ci-dessus, l'IRT est un groupe à temps partiel ou à temps plein qui est amené à gérer des incidents de sécurité informatique plus graves. Il est important que l'équipe de niveau 1 soit bien formée pour savoir quand faire appel à l'équipe de réponse de niveau 2 étant donné la nature perturbatrice de ces demandes. Cette formation devrait inclure la capacité de reconnaître un incident de sécurité potentiel (intrusion, attaque par déni de service, violation de données, etc.) et de connaître le bon point de contact pour l'escalade.

Tier 3 – Support technique et développement de systèmes – L'équipe de réponse finale est généralement constituée des équipes techniques informatiques qui ont une connaissance approfondie du réseau, des logiciels, des données et d'autres aspects de l'environnement informatique. Ces groupes sont contactés et amenés à un événement de sécurité informatique par l'IRT pour aider à identifier la menace, à contenir les pertes et à remédier à la prévention future.

Analyse des causes profondes

Une fois la situation immédiate autour d'un incident de sécurité informatique est résolu, l'étape suivante consiste à mener une enquête sur la cause première de l'incident. Cela peut être un exercice simple pour des causes facilement identifiables (par exemple, une faille de conception du système), ou peut impliquer une analyse approfondie des fichiers journaux, des enregistrements d'audit, des modifications de la base de données et d'autres preuves médico-légales. Dans certains cas, il sera nécessaire d'impliquer les forces de l'ordre et le service juridique des entreprises dans le cadre de l'enquête globale.

• Collecter des données – les sources d'informations se trouvent souvent dans les journaux système, les enregistrements d'audit, les enregistrements de modification des données , modifications de fichiers ou autres enregistrements persistants d'une modification du système. Par exemple, si les informations d'identification d'un utilisateur ont été subverties, tous les enregistrements d'audit générés après ce point peuvent être utilisés pour rechercher les modifications apportées sous ces informations d'identification.
• Construct Causal Factor Chart – cet exercice consiste à créer une liste connectée des possibles causes de l'événement de sécurité. Un tel modèle est le graphique «en arête de poisson» qui a une série de causes connectées qui mènent directement à un événement spécifique. Alternativement, les arbres de risque / menace peuvent être utilisés pour enquêter sur toutes les causes possibles d'un événement.
• Identifier la cause première – L'identification de la cause réelle d'un événement de sécurité peut prendre beaucoup de temps et enquête. Cependant, prendre des mesures avant de comprendre la cause première peut entraîner des complications commerciales inutiles et des pertes de revenus.
• Générer une approche de correction – En tant qu'étape finale de l'analyse des causes profondes, une approche de correction est créée et appliquée. Ces «contrôles» peuvent concerner la détection et la surveillance supplémentaires, la restriction d'un segment de réseau, l'installation de pare-feu supplémentaires / mis à niveau, etc.

Prévention

Comme dernier aspect de la gestion des incidents de sécurité, une action préventive doit être envisagée pour tous. risques connus. Bien que tous les risques ne puissent pas être atténués à un coût raisonnable, de nombreuses erreurs système courantes peuvent être évitées. Garantir un calendrier régulier de correction du système d'exploitation, garantir que les applications utilisent une version sécurisée de composants tiers, les journaux d'audit sont examinés pour les irrégularités, le système de détection et de prévention des intrusions est déployé, sont parmi les nombreuses mesures qui peuvent être prises pour réduire ou éliminer le système inattendu événements de sécurité.

Référence

1. Gestion des incidents et réponse (WhitePaper)
2. Homeland Security – Ensemble de connaissances essentielles en sécurité informatique
3. SEI Ensemble de connaissances en gestion des incidents