Les organisations s’appuient sur la réponse aux incidents pour s’assurer qu’elles sont immédiatement informées des incidents de sécurité, ce qui permet une action rapide pour minimiser les dommages. Ils visent également à éviter de suivre des attaques ou de futurs incidents connexes.
L’Institut SANS propose des activités de recherche et d’éducation sur la sécurité de l’information. Dans le prochain webinaire, nous décrironsen détail, six composants d’un plan d’intervention en cas d’incident SANS, y compris des éléments tels que la préparation, l’identification, le confinement et l’éradication.
Les 6 étapes d’une RI complète
- Préparation: Il s’agit de la première phase et implique l’examen des mesures et politiques de sécurité existantes ; effectuer des évaluations des risques pour trouver les vulnérabilités potentielles ; et établir un plan de communication qui définit les protocoles et alerte le personnel des risques de sécurité potentiels. Pendant les vacances, l’étape de préparation de votre plan IR est cruciale car elle vous donne la possibilité de communiquer les menaces spécifiques aux vacances et de mettre les roues en mouvement pour faire face à ces menaces dès qu’elles sont identifiées.
- Identification: L’étape d’identification correspond au moment où un incident a été identifié, qu’il soit survenu ou en cours. Cela peut se produire de plusieurs manières : par une équipe interne, un consultant tiers ou un fournisseur de services gérés, ou, dans le pire des cas, parce que l’incident a entraîné une violation de données ou une infiltration de votre réseau. Étant donné que de nombreux hacks de cybersécurité de vacances impliquent des informations d’identification d’utilisateur final, il vaut la peine de composer des mécanismes de sécurité qui surveillent la façon dont vos réseaux sont accessibles.
- Endiguement: L’objectif de l’étape de confinement est de minimiser les dommages causés par un incident de sécurité. Cette étape varie en fonction de l’incident et peut inclure des protocoles tels que l’isolement d’un appareil, la désactivation des comptes de messagerie ou la déconnexion des systèmes vulnérables du réseau principal. Étant donné que les actions de confinement ont souvent de graves implications commerciales, il est impératif que les décisions à court et à long terme soient déterminées à l’avance afin qu’il n’y ait pas de bousculade de dernière minute pour résoudre le problème de sécurité.
- Éradication: Une fois que vous avez maîtrisé l’incident de sécurité, l’étape suivante consiste à vous assurer que la menace a été complètement supprimée. Cela peut également impliquer des mesures d’enquête pour savoir qui, quoi, quand, où et pourquoi l’incident s’est produit. L’éradication peut impliquer des procédures de nettoyage de disque, la restauration des systèmes vers une version de sauvegarde propre ou une réimage complète du disque. L’étape d’éradication peut également inclure la suppression des fichiers malveillants, la modification des clés de registre et éventuellement la réinstallation des systèmes d’exploitation.
- Récupération: L’étape de récupération est la lumière au bout du tunnel, permettant à votre organisation de reprendre ses activités comme d’habitude. Comme pour le confinement, il est préférable d’établir des protocoles de récupération à l’avance afin que des mesures appropriées soient prises pour garantir la sécurité des systèmes.
- Leçons apprises: Au cours de la phase des enseignements tirés, vous devrez documenter ce qui s’est passé et noter comment votre stratégie de RI a fonctionné à chaque étape. C’est un moment clé pour examiner des détails tels que le temps qu’il a fallu pour détecter et contenir l’incident. Y avait-il des signes de logiciels malveillants persistants ou de systèmes compromis après l’éradication ? Était-ce une arnaque liée à un programme de piratage de vacances ? Et si oui, que pouvez-vous faire pour l’empêcher l’année prochaine ?
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
Comment les équipes de sécurité allégées peuvent moins stresser
Intégrer les meilleures pratiques dans votre stratégie de RI est une chose. Mais la création et la mise en œuvre de ces meilleures pratiques sont plus faciles à dire qu’à faire lorsque vous n’avez ni le temps ni les ressources.
Les dirigeants d’équipes de sécurité plus petites sont confrontés à des défis supplémentaires déclenchés par ce manque de ressources. Les budgets rudimentaires, aggravés par le manque de personnel pour gérer les opérations de sécurité, laissent de nombreuses équipes de sécurité se sentir résignées à l’idée qu’elles ne seront pas en mesure de protéger leur organisation contre les assauts trop courants d’attaques. Heureusement, il existe des ressources pour les équipes de sécurité dans cette situation difficile. Services de réponse aux incidents Cynet offre une combinaison unique de l’expérience de sécurité de Cynet avec une technologie propriétaire permettant une réponse rapide et précise aux incidents.
