Investigation forensique

Les experts du CSIRT de Synetis ont étés formés pour intervenir rapidement lorsqu’un système d’information a été compromis. L’investigation forensique est une étape clé et surtout nécessaire pour essayer de comprendre comment un tel événement a pu se produire mais également afin d’avoir une analyse la plus précise possible sur ce que les attaquants ont pu être en capacité de réaliser au sein même du SI.

L’analyse forensique a pour but de construire une chronologie des événements en partant de quelques jours avant la date de la compromission jusqu’à quelques jours après la détection de celle-ci. Connaître le vecteur d’attaque et l’étendue des préjudices permet par la suite de cibler plus rapidement le plan de remédiation à suivre.

Qu’il s’agisse d’un simple poste de travail ou bien d’un système d’information dans sa globalité, une reprise d’activité ne peut se faire en toute sécurité que lorsque l’ensemble des éléments liés à la compromission ont pu être analysés et identifiés.

« Aucun Système d’Information n’est infaillible, trouver la source d’intrusion est primordial. » C’est sur cette règle que Synetis a bâti son offre de post-investigation (Forensic) et avec cette logique qu’elle mène depuis des années des investigations fructueuses auprès de ses clients de toute taille.

L’approche Forensic réactive des experts Synetis aide à isoler l’attaque et répond notamment à ces interrogations :

  • Qui attaque ?
  • Quelles en sont les conséquences ?
  • Comment est-il entré dans le SI ? Quels sont les vecteurs utilisés ?
  • Quels sont ses objectifs
  • Quand l’infection a-t-elle débuté ? Comment se propage-t-elle ?
  • Quels sont les systèmes touchés ?

Les équipes de Forensic de Synetis sont en mesure de rechercher des informations post-intrusion concernant une attaque ayant touchée le SI d’un client, d’analyser un incident survenu en production. Ci-après est donnée une liste non exhaustive de prestations possibles pour les missions de Forensic par les experts de Synetis :

  • Assistance dans la gestion de la menace et de l’incident de sécurité, apport de l’expertise
  • Détection de l’étendue de l’infection
  • Identification de la menace
  • Construction de la Timeline d’infection
  • Analyse de l’incident, de la menace, examens physiques des systèmes et réponse à l’incident
  • Identification des points d’entrée, des vecteurs d’infections
  • Analyse post-mortem de l’incident, des menaces et vulnérabilités
  • Utilisation d’outils de Reverse Engineering et de décompilation pour de l’analyse statique
  • Utilisation de machines virtuelles pour de l’analyse dynamique
  • Identification d’IOC et de vulnérabilités
  • Comparaison avec notre base d’IOC ou de bases disponibles publiquement
  • Identification des CVE utilisées ou de 0day
Construisez votre
Cybersécurité
avec Synetis !