Les entreprises et les organisations sont soumises à une énorme pression en cas de cyberattaque, car la réaction correcte à un incident prend du temps, mais nécessite en même temps une action rapide.
Les experts Sophos en réponse aux incidents ont donc développé un guide pour aider les entreprises à s'attaquer à cette tâche difficile. Ces quatre conseils sont basés sur l'expérience concrète d'équipes gérées de réponse aux menaces et d'intervention rapide qui ont travaillé ensemble pour répondre à des milliers d'incidents de cybersécurité.
1. Répondez le plus rapidement possible
Lorsque les entreprises sont attaquées, chaque seconde compte. Cependant, les équipes de sécurité internes à l'entreprise ont souvent besoin de trop de temps pour réagir assez rapidement. La raison la plus courante en est qu'ils ne reconnaissent pas la gravité de la situation et l'urgence dans le temps. En outre, de nombreuses attaques se produisent les jours fériés, les week-ends et la nuit. Étant donné que la plupart des équipes informatiques et de sécurité manquent considérablement de personnel, la réponse à une attaque à ces moments-là est souvent trop tardive pour contenir l'impact de l'attaque à temps.
Attention alarme fatigue
De plus, une certaine fatigue d'alarme réduit la rapidité d'action. Et même avec la bonne réaction en temps opportun, les équipes de sécurité n'ont souvent pas l'expérience nécessaire pour prendre les bonnes mesures. Par conséquent, les incidents éventuels et la réaction à ceux-ci doivent être planifiés en détail à l'avance. Sophos a répertorié les dix étapes les plus importantes d'un tel plan de crise cyber dans le Guide de réponse aux incidents.
2. Ne soyez pas trop hâtif en déclarant les actions comme "mission accomplie".
En cas de cyberincident, il ne suffit pas de traiter les symptômes. Les causes doivent également être recherchées. Par exemple, la suppression réussie d'un logiciel malveillant et l'effacement d'une alerte ne signifient pas que l'attaquant a été chassé de l'environnement. Parce qu'il pourrait s'agir simplement d'un test effectué par l'attaquant pour déterminer à quelles défenses il est confronté. Si l'attaquant a toujours accès à l'infrastructure, il est susceptible de frapper à nouveau, mais avec une plus grande puissance destructrice. L'attaquant a-t-il encore un pied dans la surface ? Envisage-t-il de lancer une deuxième vague ? Les professionnels expérimentés de la réponse aux incidents savent quand et où mener une enquête plus approfondie. Ils recherchent tout ce que les attaquants font, ont fait ou envisagent de faire sur le réseau et neutralisent également ces activités.
3. Une visibilité totale est essentielle
Lors d'une attaque, il est important d'avoir accès à des données précises et de haute qualité. Seules ces informations permettent d'identifier avec précision les indicateurs potentiels d'une attaque et d'en déterminer la cause. Des équipes spécialisées collectent les données pertinentes pour détecter les signaux et elles savent les hiérarchiser. Ce faisant, notez les points suivants :
collecter des signaux
La visibilité limitée d'un environnement est un moyen infaillible de rater des attaques. Les outils Big Data peuvent aider ici. Ceux-ci collectent suffisamment de données pour fournir des informations utiles pour enquêter et répondre aux attaques. La collecte des bonnes données de haute qualité à partir d'une variété de sources garantit un aperçu complet des outils, des tactiques et des procédures d'un attaquant.
réduire le bruit de fond
Craignant de ne pas disposer des données qui pourraient fournir une image complète d'une attaque, certaines entreprises et certains outils de sécurité collectent généralement toutes les informations disponibles. Cependant, cette approche rend plus difficile la recherche des attaques et génère plus de données que nécessaire. Non seulement cela augmente le coût de la collecte et du stockage des données, mais cela crée également un bruit de fond élevé d'incidents potentiels, entraînant une fatigue des alarmes et une perte de temps à rechercher de vraies fausses alarmes.
appliquer le contexte
Afin de pouvoir mener à bien un programme efficace de réponse aux incidents, le contexte est nécessaire en plus du contenu (données). En appliquant des métadonnées significatives associées aux signaux, les analystes de sécurité peuvent déterminer si ces signaux sont malveillants ou bénins. L'un des composants les plus importants d'une détection et d'une réponse efficaces aux menaces est la hiérarchisation des signaux. La meilleure façon d'identifier les alertes les plus importantes est une combinaison du contexte fourni par les outils de sécurité (c'est-à-dire les solutions de détection et de réponse des terminaux), l'intelligence artificielle, les renseignements sur les menaces et la base de connaissances de l'opérateur humain. Le contexte permet de déterminer l'origine d'un signal, l'étape actuelle de l'attaque, les événements associés et l'impact potentiel sur l'entreprise.
4. Vous pouvez demander de l'aide
Le manque de ressources qualifiées pour enquêter sur les incidents et y répondre est l'un des plus gros problèmes auxquels est confronté le secteur de la cybersécurité aujourd'hui. De nombreuses équipes informatiques et de sécurité, sous haute pression lors de cyberattaques, se retrouvent dans des situations qu'elles n'ont pas l'expérience et les compétences pour gérer. Ce dilemme a cédé la place à une alternative : les services de sécurité gérés. Plus précisément, les services de détection et de réponse gérés (MDR). Les services MDR sont des opérations de sécurité externalisées fournies par une équipe de spécialistes et sont une extension de l'équipe de sécurité interne de l'entreprise.Ces services combinent des enquêtes menées par l'homme, une surveillance en temps réel et une réponse aux incidents avec des technologies de collecte et d'analyse de renseignements.
Services spécialisés de réponse aux incidents
Pour les organisations qui n'ont pas encore engagé de service MDR et qui doivent répondre à une attaque active, les services spécialisés de réponse aux incidents sont une bonne option. Les intervenants en cas d'incident sont appelés lorsque l'équipe de sécurité est débordée et des experts externes sont nécessaires pour évaluer l'attaque et s'assurer que l'attaquant est neutralisé. Même les entreprises qui disposent d'une équipe d'analystes de sécurité qualifiés peuvent bénéficier d'un service de réponse aux incidents. Par exemple, les lacunes dans la couverture (par exemple, les nuits, les week-ends et les jours fériés) peuvent être comblées ou des tâches spécialisées nécessaires à la réponse aux incidents peuvent être attribuées.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.