La seule chose pire que de se faire frapper par une cyberattaque est de se faire frapper avec une cyberattaque et de ne pas avoir de plan de réponse aux incidents de sécurité solide en place.
Les attaques sophistiquées à menace persistante avancée (APT) visent généralement des cibles de grande valeur telles que les sociétés de cartes de crédit, les banques, les détaillants, les établissements de santé et les chaînes hôtelières qui stockent de gros volumes de données de cartes de crédit et d’autres informations personnelles, mais aucune entreprise, peu importe la quelle que soit l’industrie, est à l’abri des attaques internes ou des logiciels malveillants aléatoires, du phishing, des ransomwares et des attaques par déni de service.
[Ecoledesécurité:[Securityschool: Les abonnés Insider Pro s’inscrivent gratuitement]
La manière dont une entreprise réagit à une violation peut faire la différence entre la maîtrise de l’incident et le retour rapide au statu quo; ou de porter atteinte à la réputation de l’entreprise pendant des années.
Selon le rapport 2019 du coût d’une violation de données du Ponemon Institute, le coût moyen d’un incident est de 3,9 millions de dollars dans le monde et de 8,2 millions de dollars pour les entreprises américaines. La mise en place d’une équipe de réponse aux incidents réduit le coût d’une violation de 360 000 $, selon le rapport.
En outre, selon le rapport, les entreprises qui terminent l’ensemble du cycle de vie de la réponse aux incidents (IR) de détection, de confinement, d’éradication, de remédiation et de récupération en moins de 200 jours économisent 1,2 million de dollars, par rapport aux entreprises qui prennent plus de 200 jours, selon le rapport.
[ Related: The trouble with 2fa ]
Les organisations doivent également garder à l’esprit que seulement 67% des coûts associés à une violation surviennent au cours de la première année; 22% des coûts s’accumulent au cours de la deuxième année, les entreprises s’efforçant de reconstruire leur réputation, de ralentir le taux de défections des clients et d’essayer d’attirer de nouveaux clients. Et l’effet à longue queue d’une brèche se fait sentir dans les années trois et au-delà, selon Ponemon.
[ Related: How to protect remote workers from the coronavirus crime wave ]
La création d’un plan de réponse aux incidents peut sembler une tâche ardue, mais il existe des moyens de décomposer le processus en plusieurs parties gérables. Considérez la réponse aux incidents comme une boucle de rétroaction complète qui commence par identifier les menaces avant qu’elles ne causent des dommages, arrêter rapidement les saignements en cas de violation, réparer les trous dans vos défenses de sécurité qui ont permis à l’attaque de se produire, puis tirer les leçons de l’incident qui peut être appliqué aux activités de prévention et de détection des violations de l’entreprise. En d’autres termes, les plans doivent couvrir les activités antérieures, postérieures et postérieures à la violation.
1. Constituer une équipe de réponse aux incidents
Si vous êtes victime d’une brèche, la dernière chose que vous voulez faire est d’essayer de constituer une équipe de réponse aux incidents à la volée. Il est essentiel que les organisations disposent d’une équipe de réponse aux incidents qui comprend vos professionnels de la sécurité informatique les plus compétents, mais qui inclut également une large participation au sein de l’entreprise.
Le soutien de la haute direction est important. Le soutien du leadership d’entreprise permet aux responsables informatiques de recruter les personnes qualifiées dont vous avez besoin pour faire fonctionner le plan. Et ces personnes doivent être formées pour comprendre leurs rôles et leurs responsabilités.
Selon la taille et la portée mondiale de l’organisation, vous devrez peut-être créer plusieurs équipes, par exemple, une pour l’Amérique du Nord et une pour l’Asie-Pacifique, pour s’adapter à différentes langues, aux exigences réglementaires et de reporting, etc.
En plus des analystes de la sécurité, vous aurez besoin de quelqu’un capable de gérer la communication interne entre les techniciens de réponse aux incidents et les principales parties prenantes, y compris la haute direction, le conseil d’administration et les employés non techniques. Les partenaires, fournisseurs et autres tiers impliqués dans la chaîne d’approvisionnement doivent également être immédiatement informés.
Connectez-vous ou inscrivez-vous à Insider Pro pour lire l’article complet de 2 126 mots.
La seule chose pire que de se faire frapper par une cyberattaque est de se faire frapper avec une cyberattaque et de ne pas avoir de plan de réponse aux incidents de sécurité solide en place.
Les attaques sophistiquées à menace persistante avancée (APT) visent généralement des cibles de grande valeur telles que les sociétés de cartes de crédit, les banques, les détaillants, les établissements de santé et les chaînes hôtelières qui stockent de gros volumes de données de cartes de crédit et d’autres informations personnelles, mais aucune entreprise, peu importe la quelle que soit l’industrie, est à l’abri des attaques internes ou des logiciels malveillants aléatoires, du phishing, des ransomwares et des attaques par déni de service.
[Ecoledesécurité:[Securityschool: Les abonnés Insider Pro s’inscrivent gratuitement]
La manière dont une entreprise réagit à une violation peut faire la différence entre la maîtrise de l’incident et le retour rapide au statu quo; ou de porter atteinte à la réputation de l’entreprise pendant des années.
Selon le rapport 2019 du coût d’une violation de données du Ponemon Institute, le coût moyen d’un incident est de 3,9 millions de dollars dans le monde et de 8,2 millions de dollars pour les entreprises américaines. La mise en place d’une équipe de réponse aux incidents réduit le coût d’une violation de 360 000 $, selon le rapport.
En outre, selon le rapport, les entreprises qui terminent l’ensemble du cycle de vie de la réponse aux incidents (IR) de détection, de confinement, d’éradication, de remédiation et de récupération en moins de 200 jours économisent 1,2 million de dollars, par rapport aux entreprises qui prennent plus de 200 jours, selon le rapport.
Les organisations doivent également garder à l’esprit que seulement 67% des coûts associés à une violation surviennent au cours de la première année; 22% des coûts s’accumulent au cours de la deuxième année, les entreprises s’efforçant de reconstruire leur réputation, de ralentir le taux de défections des clients et d’essayer d’attirer de nouveaux clients. Et l’effet à longue queue d’une brèche se fait sentir dans les années trois et au-delà, selon Ponemon.
[ Related: How to protect remote workers from the coronavirus crime wave ]
La création d’un plan de réponse aux incidents peut sembler une tâche ardue, mais il existe des moyens de décomposer le processus en plusieurs parties gérables. Considérez la réponse aux incidents comme une boucle de rétroaction complète qui commence par identifier les menaces avant qu’elles ne causent des dommages, arrêter rapidement les saignements en cas de violation, réparer les trous dans vos défenses de sécurité qui ont permis à l’attaque de se produire, puis tirer les leçons de l’incident qui peut être appliqué aux activités de prévention et de détection des violations de l’entreprise. En d’autres termes, les plans doivent couvrir les activités antérieures, postérieures et postérieures à la violation.
1. Constituer une équipe de réponse aux incidents
Si vous êtes victime d’une brèche, la dernière chose que vous voulez faire est d’essayer de constituer une équipe de réponse aux incidents à la volée. Il est essentiel que les organisations disposent d’une équipe de réponse aux incidents qui comprend vos professionnels de la sécurité informatique les plus compétents, mais qui inclut également une large participation au sein de l’entreprise.
Le soutien de la haute direction est important. Le soutien du leadership d’entreprise permet aux responsables informatiques de recruter les personnes qualifiées dont vous avez besoin pour faire fonctionner le plan. Et ces personnes doivent être formées pour comprendre leurs rôles et leurs responsabilités.
Selon la taille et la portée mondiale de l’organisation, vous devrez peut-être créer plusieurs équipes, par exemple, une pour l’Amérique du Nord et une pour l’Asie-Pacifique, pour s’adapter à différentes langues, aux exigences réglementaires et de reporting, etc.
En plus des analystes de la sécurité, vous aurez besoin de quelqu’un capable de gérer la communication interne entre les techniciens de réponse aux incidents et les principales parties prenantes, y compris la haute direction, le conseil d’administration et les employés non techniques. Les partenaires, fournisseurs et autres tiers impliqués dans la chaîne d’approvisionnement doivent également être immédiatement informés.
[ Related: The trouble with 2fa ]
Les avocats et les auditeurs doivent être au courant pour gérer une variété de questions, y compris la conformité aux réglementations, la responsabilité légale et le traitement de l’application des lois. Il doit y avoir une équipe de gestion de crise du côté des relations publiques pour essayer de gérer les retombées négatives d’une violation. Les clients doivent être informés. Et le marketing doit être inclus à un moment donné pour développer une stratégie de relations publiques visant à rétablir la confiance des clients.
L’équipe doit également avoir un chef de file, le responsable de la réponse aux incidents, et il doit avoir une personne spécifiquement affectée à la capture de la documentation. Il est également essentiel d’avoir des lignes de communication claires, d’avoir les informations de contact à portée de main de chacun et d’avoir des sauvegardes ou des alternatives dans le cas où un membre clé de l’équipe est en vacances ou n’est pas disponible en cas de catastrophe.
Il devrait y avoir des directives claires sur le niveau de détail à communiquer à la direction informatique, à la direction générale, aux services concernés, aux clients concernés et à la presse.
D’autres problèmes de communication doivent être pris en compte: si l’attaque vient d’être identifiée, l’attaquant peut toujours écouter les communications internes, il peut donc être judicieux de rester à l’écart des applications de messagerie, de messagerie ou de collaboration, mettez tout le monde dans une pièce et communiquer en face à face. Il se peut que l’équipe doive se déplacer du siège social de l’entreprise vers le site d’une brèche, de sorte que ces types de logistique doivent être pris en compte.
Une équipe de réponse aux incidents doit exister non seulement sur papier. Les entreprises doivent se donner le temps de mener des exercices d’incendie significatifs afin de s’assurer que tout le monde sait quoi faire lorsqu’un incident réel se produit.
[ Related: Don’t let the coronavirus make you a home office security risk ]
2. Créez un playbook
Les organisations doivent créer un manuel play un guide complet et détaillé pour répondre à un incident de sécurité. Sans manuel, il n’y a pas de plan de réponse aux incidents.
Le manuel de jeu devrait couvrir la préparation, la détection, l’analyse, le confinement, l’éradication, la récupération et la gestion post-incident. Un point clé du manuel est qu’il doit être suffisamment détaillé pour que les rôles, les responsabilités et les procédures soient clairement définis. D’un autre côté, puisque personne ne peut prédire le type et la gravité de la violation, le manuel de jeu doit permettre une certaine flexibilité, pour que les gens aient la liberté et l’autorité de prendre des décisions importantes à la volée, si la situation le justifie.
Par exemple, le livre de jeu développé par l’Université Carnegie-Mellon compte 11 pages. Le plan de réponse aux incidents du Département de technologie de l’État de Californie comprend quatre pages et comprend une liste de contrôle en 17 étapes que les membres de l’équipe doivent suivre.
Il est également important que les organisations mettent continuellement à jour le manuel à mesure que les circonstances changent et que les menaces évoluent. Le manuel de jeu doit être affiné en permanence, sur la base des enseignements tirés par l’équipe de réponse aux incidents lorsqu’elle répond aux menaces. Des informations provenant de sources externes, telles que les associations de l’industrie, les analystes et les groupes de pairs, devraient également être intégrées dans le manuel.
Bien sûr, aucune pratique ne peut préparer une équipe de réponse aux incidents à la réalité, où les membres du personnel de réponse aux incidents peuvent travailler 18 heures par jour, sept jours par semaine, peut-être pendant des semaines à la fois. Mais avoir un manuel de réponse aux incidents qui définit les rôles et les responsabilités est certainement utile.
[ Related: COVID-19 and tech: New collaboration tools mean new security risks ]
3. Prévenir et préparer
De toute évidence, le meilleur plan de réponse aux incidents est celui qui prévient les violations en premier lieu. Les organisations doivent effectuer des évaluations de vulnérabilité et d’autres types d’analyses conçues pour identifier et combler les failles de sécurité. Les entreprises doivent également former leurs employés aux meilleures pratiques de sécurité dans des domaines tels que la création de mots de passe forts et le non-clic sur les tentatives de phishing. La phase de prévention devrait également inclure la vérification de la disponibilité des outils et des ressources nécessaires en cas de violation.
Les entreprises doivent également procéder à une évaluation sérieuse de la valeur commerciale des données et des applications. Cette étape permet aux équipes de sécurité de consolider les défenses qui protègent les joyaux de la société en vue d’identifier d’abord les types de données précieuses qui pourraient être attrayantes pour un attaquant et de s’assurer que des mesures de sécurité supplémentaires sont en place pour protéger ces données.
L’une des conclusions les plus surprenantes du rapport Ponemon est que le temps moyen nécessaire pour identifier une violation de données est de 197 jours et que le temps moyen nécessaire pour contenir une violation de données une fois qu’elle est identifiée n’est que de 69 jours. Cela signifie que dans de nombreux cas, les attaquants s’enracinent dans vos systèmes pendant plus de six mois avant d’être découverts.
[ Related: Next-generation endpoint security goes beyond the endpoint ]
Comment cela se produit-il? Seulement 40% des entreprises dans une récente enquête IDC sponsorisée par Splunk ont un vaste plan de réponse aux incidents en place, et seulement 14% ont une plateforme de gestion des réponses aux incidents qui automatise le processus.
Ce qui finit par arriver, c’est que les analystes de la sécurité sont enterrés par une avalanche d’alertes qu’ils ne sont pas en mesure de trier avec précision pour déterminer quels sont les faux positifs et lesquels constituent une menace immédiate. Les deux tiers des entreprises interrogées par IDC ont indiqué qu’elles subissent une attaque une fois par semaine, 30% sont attaquées au moins quotidiennement et 10% subissent des attaques toutes les heures.
Dans cet environnement d’attaques constantes, seulement 27% des entreprises interrogées ont déclaré qu’elles géraient confortablement le volume d’attaques, tandis que 28% ont déclaré qu’elles se débattaient et 5% ont déclaré qu’elles éteignaient constamment les incendies. Les équipes de sécurité sont dépassées par le nombre d’attaques et n’ont pas les outils, les processus et les plans en place pour gérer efficacement leurs activités de réponse aux incidents.
Cette conclusion est étayée par une enquête de recherche d’Imperva qui a révélé qu’en moyenne, un analyste travaillant dans un centre des opérations de sécurité (SOC) enquête sur 20 à 26 incidents par jour. Sous ce déluge d’alertes, les professionnels de la sécurité finissent par ignorer certaines alertes ou modifier leurs politiques afin de recevoir moins d’alertes.
Une majorité de professionnels de l’informatique (53%) dans le sondage Imperva a déclaré que le SOC de leur organisation avait du mal à identifier les incidents de sécurité critiques par rapport à ceux qui ne sont que du bruit.
La meilleure façon de réduire efficacement le bruit de fond est l’automatisation et l’orchestration de la réponse aux incidents. Selon le rapport Ponemon, l’automatisation réduit le coût moyen d’une violation de données de 1,55 million de dollars et améliore la prévention, la détection, la réponse et le confinement des cyberattaques. Grâce à l’automatisation, les analystes de la sécurité peuvent devenir plus efficaces et prendre des mesures basées sur de meilleures informations. L’orchestration peut rendre la réponse aux incidents jusqu’à 40 fois plus rapide, a déclaré Ponemon.
4. Identifier et contenir
Lorsqu’un incident potentiel est identifié, l’équipe technique de réponse aux incidents doit immédiatement entrer en action, alerter les membres de l’équipe de réponse aux incidents à l’échelle de l’entreprise, commencer à collecter des preuves, décider du type et de la gravité de l’incident et documenter tout ce qu’ils sont. Faire.
L’objectif immédiat est de contenir l’incident et d’éviter que de nouveaux dommages ne se produisent. Cela peut impliquer diverses pratiques de sécurité standard, telles que l’isolement d’un segment de réseau attaqué, la suppression de serveurs de production qui ont été compromis ou la mise en quarantaine de tout autre actif compromis.
À plus long terme, l’objectif est de remettre les systèmes concernés en production afin que l’entreprise puisse reprendre ses activités normales. Cela peut être une tâche complexe car les analystes de la réponse aux incidents tentent probablement encore de comprendre comment l’attaquant est entré, ce qu’ils auraient pu s’en tirer et si l’attaque se poursuit. La prochaine étape consiste à identifier la cause profonde de l’attaque, à l’éradiquer, puis à consolider vos systèmes pour empêcher des attaques similaires à l’avenir.
Au cours de la phase de récupération, les organisations remettent en ligne les systèmes de production concernés dans un processus méthodique et minutieux qui implique de tester les systèmes, de vérifier qu’ils fonctionnent normalement et de les surveiller pour s’assurer que tout est de retour à la normale.
Après la restauration vient la correction. Par exemple, si l’attaquant est entré via un terminal de point de vente (POS), l’entreprise doit alors revoir toutes ses politiques et procédures de sécurité autour du POS. Si l’attaque impliquait un mot de passe compromis, l’organisation devrait revoir sa politique de mot de passe et envisager d’adopter une authentification à deux facteurs.
5. Effectuer une analyse post-incident
Une fois l’incident terminé, les organisations doivent prendre le temps de mener une enquête approfondie, d’identifier la cause de l’incident, de calculer les coûts et d’élaborer une stratégie pour prévenir des incidents similaires à l’avenir.
Il peut être quelque peu difficile de revenir en arrière et d’identifier les erreurs que les équipes de sécurité ont pu commettre, une erreur de configuration, par exemple, qui a conduit à la violation. Il peut également s’agir d’un utilisateur final qui clique sur un lien de phishing. Ou une attaque d’initié. Quelle que soit la cause première, la collecte d’informations peut aider les entreprises à déterminer où concentrer leur attention afin de prévenir les violations à l’avenir. Et toutes ces leçons apprises doivent être réintégrées dans le manuel.
