| Sécurité Opérationnelle

Outil de réponse à incident : pourquoi choisir SentinelOne ?

Ce n’est un mystère pour aucun acteur du monde de la sécurité informatique, les attaques se multiplient et deviennent de plus en plus complexes à prévenir. Qu’elles soient sous la forme d’attaques coordonnées, d’une attaque 0day ou d’un APT, les cyber menaces deviennent difficilement détectables par les techniques de détection traditionnelles.

Le front du cyberespace a évolué en quelques années passant d’attaques visant prioritairement les grandes entreprises à des entreprises de toutes tailles, services de l’État et collectivités locales.

Dans cet article, nous analysons avec vous quels sont les objectifs d’une réponse à incident et pourquoi faire appel aux solutions Endpoints Detection & Response de l’éditeur de cyber sécurité SentinelOne.

La réponse à incident permet d’endiguer la menace.

Le paradigme de conception de la politique de sécurité des entreprises a changé. Les campagnes de rançongiciel (ou ransomware en anglais) de 2019 (Wannacry, NotPetya) et plus récemment avec la faille Log4j ont démontré que toute entreprise pouvait être victime d’une cyberattaque, en étant ciblée directement ou de manière collatérale. Pour faire face à un déplacement latéral des charges malicieuses, à la compromission d’une machine ou au chiffrement des infrastructures et postes de travail, l’utilisation d’outils dédiés à la réponse aux incidents est primordiale.

Même si des variations peuvent exister selon le contexte client, les objectifs d’une réponse à incident sont généralement les suivants :

  • Détecter la portée de la compromission du système d’information (système, site, application). Le but étant de mesurer ici l’impact de l’attaque ;
  • Contenir l’attaquant (désigné dans la presse comme le “pirate” ou le “hacker”) ou l’élément malveillant, et si possible bloquer son effet ;
  • Identifier précisément les étapes du cheminement de l’attaque et les possibles failles de sécurité et vulnérabilités (techniques ou humaines) qui ont été utilisées ;
  • Si nécessaire, remettre en état de fonctionnement le système d’information (dans le cas d’un ransomware, cela se traduit par une remise en service des services critiques dont les serveurs auraient été chiffrés) ;
  • Proposer dans le rapport d’intervention une démarche d’amélioration de la sécurité au travers de recommandations afin d’éviter des nouvelles intrusions ou incidents de sécurité.

Le processus entier peut prendre de plusieurs semaines à plusieurs mois selon l’ampleur de la compromission et la taille des infrastructures touchées, notamment car il est complexe de s’assurer qu’aucune backdoor n’ait été laissée. C’est notamment dans ce cadre que l’utilisation de la solution SentinelOne peut s’avérer judicieuse.

SentinelOne, un acteur majeur de la cybersécurité.

SentinelOne est un éditeur de solutions de sécurité israélien connu notamment pour sa solution EDR (Endpoint Detection and Response). Celle-ci est reconnue comme étant parmi les leaders du marché selon le Gartner Magic Quadrant, et des organismes comme le MITRE l’ont classé comme meilleur outil de sécurité sur les terminaux (poste de travail, téléphone portable, serveur) en termes de capacité de détection et de pertinence dans la remontée de données. Les principales forces de SentinelOne sont sa simplicité d’utilisation, la grande quantité d’information qu’il va pouvoir fournir et ses capacités de réponse assez avancées (comme le rollback sur des fichiers chiffrés).

Besoin de conseils pour sécuriser votre entreprise ?

SentinelOne, une solution pensée pour les réponses à incident.

Dans un contexte de réponse à incident, la solution logicielle SentinelOne permet de :

  • Scanner les postes et serveurs où elle est déployée pour y détecter des présences de compromission, les traiter et remettre les serveurs en production.
  • Investiguer en détail dans les logs des machines pour vérifier qu’aucun comportement anormal pouvant indiquer la présence d’un cybercriminel n’est repéré.
  • Assurer un niveau de sécurité fort sur les machines en attendant la fin de la phase de remédiation de l’ensemble du système d’information.

Un autre avantage de la solution logicielle SentinelOne est la simplicité à être déployée rapidement sur un parc très étendu. En effet, durant la phase de réponse à incident, nous parvenons généralement à couvrir plus de 80% du parc en quelques heures. Les méthodes de déploiement sont multiples et varient selon le contexte, pouvant aller de déploiement par GPO ou outil de télédistribution (SCCM, Intune, Ansible…) jusqu’à l’exécution d’un script « custom » créé par Synetis pour les postes avec des contraintes plus fortes.

Les étapes d’une réponse à incident avec cet outil de gestion des incidents sont les suivantes :

  • Première prise de contact avec l’entreprise victime de piratage et prise d’informations sur l’attaque : périmètre de l’entreprise, définition de la surface d’attaque, symptômes observés, identification des services critiques, impact sur la production… C’est également à cette étape que Synetis détermine un mode opératoire en collaboration avec l’entreprise victime.
  • Connexion au système informatique, évaluation rapide de l’état et du périmètre cible du déploiement de la solution SentinelOne. Selon le périmètre (notamment les systèmes d’exploitation) une méthode de déploiement est choisie.
  • Test de déploiement rapide sur un périmètre restreint (quelques postes de travail / serveurs).
  • Déploiement en masse sur le reste du parc. En général, quelques cas particuliers de serveurs (OS Windows Serveur avant 2008 R2, serveurs non à jour…) nécessitent un déploiement manuel, mais ils représentent rarement plus de 10% du parc informatique.

Scannez l’intégralité de votre infrastructure à partir d’une console SaaS.

Dès que les agents sont déployés et communiquent avec la console SaaS de SentinelOne, il est possible de les scanner entièrement afin de vérifier leur état de compromission. Les menaces découvertes sont qualifiées et traitées automatiquement par Synetis.

Selon ce qui est découvert sur les machines, la reconstruction du SI peut maintenant commencée sur les machines qui sont complètement protégées et considérées comme « saines ».

En suivant cette méthodologie de déploiement en « urgence », il est normal de rencontrer parfois des faux positifs (une application légitime qui est détectée comme une menace). C’est pourquoi les équipes Synetis surveillent constamment la console afin de pouvoir mettre en place les exclusions au fil de l’eau et assurer qu’il n’y ait pas de blocage applicatif.

Un point positif est que ce déploiement ne coûte aucune licence SentinelOne, celles-ci sont gratuites pour la durée de l’intervention SentinelOne (jusqu’à 30 jours). A la fin de cette période, le client peut choisir de garder SentinelOne (et donc d’acheter les licences) ou de le désinstaller. S’il choisit de garder la solution, Synetis peut évidemment l’accompagner dans la fin du déploiement et la configuration plus fine de la console. Pour des entreprises qui n’ont pas les ressources en interne pour gérer l’outil, Synetis propose également un service managé à hauteur de quelques jours par mois. 

En conclusion

Comme nous l’avons vu, la phase de réponse à incident requiert des outils d’analyse et de détection de la menace technologiquement agnostique et devant être déployée de manière agile (GPO, SCMM, Ansible, scripting). C’est en ce sens que la solution logicielle développée par SentinelOne répond parfaitement à ce besoin.

Notez cependant que l’intervention décrite dans cet article ne se substitue pas à un travail d’investigation forensique directement sur les machines compromises. C’est pourquoi chez Synetis, les équipes CERT (Computer Emergency Response Team) et Sécurité Opérationnelle travaillent de concert sur les cas de réponses à incident afin d’assurer la gestion de crise et une remise en état du système d’information dans des temps records.

  • Post published:9 mars 2022
  • Auteur/autrice de la publication :

Pierre_T

Consultant Cybersécurité - Sécurité Opérationnelle