Investigation forensique
Les experts du CERT de Synetis ont étés formés pour intervenir rapidement lorsqu’un système d’information a été compromis. L’investigation forensique est une étape clé et surtout nécessaire pour essayer de comprendre comment un tel événement a pu se produire mais également afin d’avoir une analyse la plus précise possible sur ce que les attaquants ont pu être en capacité de réaliser au sein même du SI.
L’analyse forensique a pour but de construire une chronologie des événements en partant de quelques jours avant la date de la compromission jusqu’à quelques jours après la détection de celle-ci. Connaître le vecteur d’attaque et l’étendue des préjudices permet par la suite de cibler plus rapidement le plan de remédiation à suivre.
Qu’il s’agisse d’un simple poste de travail ou bien d’un système d’information dans sa globalité, une reprise d’activité ne peut se faire en toute sécurité que lorsque l’ensemble des éléments liés à la compromission ont pu être analysés et identifiés.
« Aucun Système d’Information n’est infaillible, trouver la source d’intrusion est primordial. » C’est sur cette règle que Synetis a bâti son offre de post-investigation (Forensic) et avec cette logique qu’elle mène depuis des années des investigations fructueuses auprès de ses clients de toute taille.
L’approche Forensic réactive des experts Synetis aide à isoler l’attaque et répond notamment à ces interrogations :
- Qui attaque ?
- Quelles en sont les conséquences ?
- Comment est-il entré dans le SI ? Quels sont les vecteurs utilisés ?
- Quels sont ses objectifs ?
- Quand l’infection a-t-elle débuté ? Comment se propage-t-elle ?
- Quels sont les systèmes touchés ?
Les équipes de Forensic de Synetis sont en mesure de rechercher des informations post-intrusion concernant une attaque ayant touchée le SI d’un client, d’analyser un incident survenu en production. Ci-après est donnée une liste non exhaustive de prestations possibles pour les missions de Forensic par les experts de Synetis :
- Assistance dans la gestion de la menace et de l’incident de sécurité, apport de l’expertise
- Détection de l’étendue de l’infection
- Identification de la menace
- Construction de la Timeline d’infection
- Analyse de l’incident, de la menace, examens physiques des systèmes et réponse à l’incident
- Identification des points d’entrée, des vecteurs d’infections
- Analyse post-mortem de l’incident, des menaces et vulnérabilités
- Utilisation d’outils de Reverse Engineering et de décompilation pour de l’analyse statique
- Utilisation de machines virtuelles pour de l’analyse dynamique
- Identification d’IOC et de vulnérabilités
- Comparaison avec notre base d’IOC ou de bases disponibles publiquement
- Identification des CVE utilisées ou de 0day