Les articles de MISC Hors-Série N°10

Article mis en avant

Définir « l'incident de sécurité »

ISO 27035, page 7, paragraphes 4 et 5. Merci, bonne journée. Qu'il serait pratique de pouvoir s'arrêter à la définition de l'ISO de « l'incident de sécurité ». L'auteur n'aurait pas à se fatiguer davantage à écrire et, cher (chère) lecteur (trice), avec les idées enfin claires, nous pourrions passer à ce pour quoi nous tenons réellement ce recueil entre nos mains : les articles techniques. Pourtant, la question mérite sans doute d'être posée, car le gestionnaire de la sécurité vit dans la peur de cet incident de sécurité et ce même incident est ce qui justifie l'existence d'investigateurs, d'équipes de CERT, CSIRT et autres « analystes forensic ». C'est, pour utiliser les termes à la mode, l'élément précurseur de tout APT qui se respecte et définir convenablement un incident de sécurité est ce qui permet de lancer proprement la démarche de réponse sur incident.

Qu’elle soit faite dans le cadre d’une prestation de service ou dans un contexte interne à une organisation, les équipes de réponse à incident sont souvent confrontées à différentes problématiques au rang desquelles figure l'épineuse question de la conformité légale et réglementaire des actions entreprises. En effet, quelle gouvernance faut-il mettre en place en amont ? Quels sont les standards et bonnes pratiques à appliquer ? Il s'agit, par ailleurs, pour ces équipes d'être en mesure de fournir des preuves admissibles en justice dans l'éventualité de poursuites judiciaires. Quelles sont les conditions pour une telle admissibilité dans un contexte, par définition immatériel et quel cadre juridique s'applique plus généralement aux activités de réponse à incident ? Autant de questions que nous allons tenter de démystifier ici, à la lumière des textes et référentiels juridiques applicables.
Cet article a pour objectif de proposer une démarche d'analyse de malware dans le cadre d'une réponse à un incident. L'analyste doit adopter une approche rigoureuse afin de qualifier la menace inhérente à cet incident tout en agissant dans un temps limité. Son objectif est de produire une analyse exhaustive du malware comprenant les marqueurs nécessaires pour contenir et éradiquer l'incident remonté.
Cet article présente, à travers l'analyse de la vulnérabilité CVE-2014-0322 affectant Internet Explorer, le cheminement suivi pour parvenir à la détermination de signatures permettant de détecter les codes exploitant cette vulnérabilité.
Cet article est une introduction à l’investigation numérique de terminaux Apple iOS. L'objectif est d’infirmer ou confirmer la compromission du terminal par un programme malveillant. Dans les différents exemples, nous partons du principe que le terminal à analyser est fourni volontairement par la victime et donc que l'éventuel mot de passe protégeant le terminal est connu. D’autre part, les thèmes relatifs à l’analyse des éléments de la chaîne de démarrage du terminal (BootRom, LLB, iBoot, etc.) ainsi que le code exécuté sur la puce radio (Baseband) ne seront pas abordés, leur complexité d’analyse nécessitant un article à eux seuls.
Les terminaux mobiles sous Android sont aujourd'hui autant ciblés par les attaquants que les postes de travail ou serveurs pour tenter de s'introduire sur les systèmes d'information des entreprises. Ces dernières doivent donc s'organiser pour prendre en compte dans leur processus de réponse à incident ces nouveaux vecteurs d'attaque. Quelle est la complexité d'un tel sujet ? Les outils existants suffisent-ils ? Comment agir sur une flotte d'entreprise ? Ce sont autant de questions auxquelles nous allons essayer de répondre.
« Exfiltration de données », « APT », « compromission » ,  pourquoi tant d’affaires ? Quelles en sont les causes ? Comment gérer une telle situation ?
Comment détecter un attaquant à l'intérieur de votre réseau ? Cet article couvre l'examen des points terminaux, c’est-à-dire les serveurs et les stations de travail.
Cet article présente une introduction à l’analyse des logs et des flux réseau dans le contexte d’un incident, de type APT ou SPT (Simple Persistent Threat pour les intimes), sur un grand parc client. Ce domaine étant vaste, cet article d’introduction s'attachera à comprendre et analyser les besoins et les aspects pratiques de l'analyse des logs et du réseau. Il se poursuivra sur des exemples, idées et axes de réflexion utiles sur le terrain d'une réponse sur incident.
L’une des premières tâches de l’attaquant, lorsqu’il dispose d’un accès à un réseau d’entreprise, est la compromission de l’Active Directory. Pourquoi ne pas utiliser BTA pour rechercher des backdoors au sein de l'AD ? Les « mauvaises pratiques d'admins » découvertes donneront encore plus de sueurs froides aux équipes de réponse à incident :)