Quand la Threat Intel rencontre le DFIR – 2ème partie

Magazine
Marque
MISC
Numéro
86
Mois de parution
juillet 2016
Domaines


Résumé

Dans la première partie de cet article (MISC n°85) nous avons présenté la Threat Intelligence, ses concepts, ses outils. Dans cette seconde et dernière partie, nous passons à la pratique. Nous allons voir comment la Threat Intelligence opérationnelle peut aider et comment elle s'insère dans les activités de réponse aux incidents et d'investigation numérique (DFIR).


1. Et le DFIR dans tout ça ?

Les plus intello-sceptiques d’entre vous doivent être en train de se dire : « c’est bien beau, toutes ces notions, mais concrètement, comment je m’en sers pour améliorer ma réponse aux incidents ? ». Ce qui suit est un florilège d’exemples qui répondent très précisément à cette question, en s’aidant assez souvent de quelques modèles : la « Pyramid of Pain », le modèle F3EAD, ou encore la boucle OODA.

1.1 Le process IR classique

Cela ne fait jamais de mal de se rafraîchir les idées. Le processus de réponse aux incidents de sécurité informatique le plus connu est celui de la US Navy (encore ces militaires !), décrit en détail dans leur document « Computer Incident Response Guidebook ». C’est ce même modèle qui sera repris par l’institut SANS ou le NIST quelques années plus tard. Si ces reprises possèdent quelques différences sémantiques avec l’original, l’idée transmise est globalement la...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Doper votre SIEM pour la réponse sur incident

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Quand on doit s'occuper de protéger un réseau, on se voit proposer une pléthore de stratégies, allant de l'analyse locale (par machine) à l'analyse globale (orientée sur la donnée). La première est largement couverte par des outils comme les antivirus et les EDR, la seconde va nous permettre de mettre en évidence des menaces plus avancées.

L’analyse de disques durs

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

L’analyse forensique de disques durs a toujours présenté des défis quotidiens, mais le problème actuel est la taille grandissante des supports de stockage. Quelles conséquences pour les experts et comment s’adapter ?

Introduction au dossier : Les fondamentaux de l'analyse forensique

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

La sécurité informatique est morte : vive la cybersécurité !

Les pirates des années 90 ont laissé place aux cybercriminels et aux APT, les attaques contre la chaîne logistique numérique (Supply Chain Attack) font la Une des journaux grand public. Des rançongiciels paralysent des hôpitaux en pleine pandémie de la Covid-19, des cyberespions chinois, russes, iraniens ou nord-coréens – bizarrement rarement indiens, et pourtant… – pillent les laboratoires pharmaceutiques de leurs recettes de vaccin.

DFIR : hier, aujourd’hui et demain

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

La réponse aux incidents et son alter ego l’investigation numérique sont des activités plus que trentenaires qui restent ô combien d’actualité – rançongiciels par-ci, APT par-là. Au-delà des (r)évolutions des technologies et des usages – dont le Cloud – leurs fondations ont résisté au temps.

Collecte d'artefacts en environnement Windows avec DFIR-ORC

Magazine
Marque
MISC
HS n°
Numéro
23
Mois de parution
février 2021
Domaines
Résumé

Dès le début de la réponse à incident se pose la question de la collecte de preuves afin de mener à bien les investigations numériques. Rapidement, les problématiques techniques d'échelle, d'hétérogénéité du parc ou de confidentialité font leur apparition. DFIR-ORC tente d'adresser ces sujets en permettant la capture forensique à un instant T d'une machine Windows.