Réponse à incident


Lors de l'identification d'un incident il est primordial de répondre rapidement et efficacement à celui-ci pour retrouver un Système d'Information sain.

Malgré ce contexte, il est important de structurer la mission autant au niveau technique qu'humain. Ses multiples aspects nécessitant un panel de profils extrêmement large, nous travaillons régulièrement avec des partenaires afin de vous proposer une équipe capable de résoudre l'incident le plus efficacement possible.
Fort de l'expérience de nombreux incidents traités, à géométries très variables, nous avons développé une expertise rare ainsi que des outils internes dédiés. Ceux-ci nous permettent de faire preuve d'une grande adaptabilité quant au contexte et aux situations particulières de chaque incident. De plus notre expertise en recherche de compromission nous permet d'analyser rapidement et efficacement des systèmes d'information à grande échelle.
L'association de notre expertise à la contextualisation des événements apportée par nos partenaires nous permet d'avoir une vision à 360° autour de votre incident de sécurité. En effet, l'incident n'est plus seulement une problématique technique isolée, il est évalué avec l'ensemble des événements gravitant autour de l'entreprise.

Office 365

Office 365




Office 365 est une cible de choix pour de nombreuses attaques. Comme nous l'avons fréquemment constaté, le but de l'attaquant peut aller du simple phishing à l'espionnage , en passant par les détournements monétaires.
Nous sommes en mesure de contextualiser l'activité de chaque boîte mail pour identifier des mouvements suspects et ainsi mettre en évidence une compromission. Ces comportements peuvent ensuite être étendus sur l'ensemble des emails, permettant d'obtenir la vision la plus exhaustive possible sur le périmètre de l'incident.

Active Directory

Forensics




Qu'il s'agisse d'une machine ou d'un dump mémoire, nous sommes en mesure d'effectuer une analyse forensic approfondie du support.
Pour ce faire nous avons développé des méthodes capables d'extraire des informations à partir d'artefacts, parfois partiellement corrompus. Cette capacité à traiter des données corrompues est une volonté majeure d'ExaTrack : notre objectif est de pouvoir extraire un maximum d'informations possible depuis le support dans le cas où une nouvelle acquisition serait impossible.
Une fois les informations extraites, nous procédons à une corrélation et une contextualisation de celles-ci, nous pouvons alors avoir une vision tangible des événements et identifier des anomalies.

Déroulement

Déroulement d'une réponse à incident


  • Déterminer la zone d'investigation
    Cette première phase va permettre de structurer la réponse à incident, le périmètre d'analyse et les éléments potentiellement compromis.

  • Collecte des informations
    Nous assisterons les administrateurs pour procéder au mieux à l'extraction des éléments demandés.
    L'objectif étant de sanctuariser au plus vite les preuves les plus volatiles et de commencer leur exploitation au plus tôt.

  • Analyse des artefacts
    Les artefacts extraits sont analysés, contextualisés et corrélés pour en obtenir un maximum d'éléments relatifs à l'incident. À ce stade les objectifs principaux sont : l'estimation de la zone de compromission, l'identification du vecteur d'intrusion et l'évaluation des objectifs de l'attaquant.

  • Établissement d'un plan de remédiation
    À partir des éléments techniques analysés et contextualisés, un plan de remédiation peut être mis en place ; ce plan a pour but de résorber l'attaque en cours.

  • Augmenter le niveau de sécurité
    Suite à la proposition de remédiation, des conseils de durcissement en profondeur sont évoqués afin de limiter au mieux les risques de nouveaux incidents similaires sur le parc.


Nos innovations


Outils internes

Une grande partie de nos outils d'analyse sont développés en interne. Chacun d'eux possède des innovations significatives permettant d'identifier des anomalies complexes. Certains font d'ailleurs l'objet de conférences pour leurs innovations.

Analyse en profondeur

Nos experts effectuent une analyse manuelle et en profondeur des données. Ceci permet de contextualiser les anomalies et d'approfondir les signaux faibles.

Sans signatures/IOCs

Nos outils sont suffisamment performants pour avoir détecté tous les codes malveillants testés, et ce sans avoir recours aux signatures ou IOCs.

Analyse de RAM

Nous sommes capables d'analyser des dumps de RAM en utilisant une méthodologie unique sur le marché. Notre outil identifie dynamiquement les structures internes du système et est capable d'aller jusqu'à analyser des zones non documentées pour y débusquer des rootkits.

Contactez nous !


Pour plus d'informations sur la réponse à incident n'hésitez pas à nous contacter.

contact [at] exatrack [dot] com