Réponse à incident


Lors de l'identification d'un incident il est primordial de répondre rapidement et efficacement à celui-ci pour retrouver un état sain de son Système d'Information.

Malgré ce contexte il est important de structurer la mission autant au niveau technique que humain. Ces multiples compétences nécessitant un panel de profils extrêmement large, nous travaillons régulièrement avec des partenaires afin de vous proposer une équipe capable de résoudre l'incident le plus efficacement possible.
Fort de nombreux incidents traités, à géométrie très variable, nous avons développé une expertise rare ainsi que des outils internes. Ceux-ci nous permettent de faire preuve d'une grande adaptabilité quant au contexte et aux situations particulières de chaque incident. De plus notre expertise en recherche de compromission nous permet d'analyser rapidement et efficacement des systèmes d'informations à grande échelle.
L'association de notre expertise à la contextualisation des événements apportée par nos partenaires nous permet d'avoir une vision à 360° autour de votre incident de sécurité. En effet, l'incident n'est plus seulement une problématique technique isolée, il est évalué avec l'ensemble des événements gravitant autours de l'entreprise.

Office 365

Office 365




Office 365 est une cible de choix pour de nombreuses attaques. Comme nous l'avons fréquemment constaté, le but de l'attaquant peut aller du simple phising à l'espionnage en passant par les détournements monétaires.
Nous sommes en mesure de contextualiser l'activité de chaque boîte mail pour identifier des mouvements suspects et ainsi mettre en évidence une compromission. Ces comportements peuvent ensuite être étendu sur l'ensemble des emails, permettant d'obtenir la vision la plus exhaustive possible du périmètre de l'incident.

Active Directory

Forensics




Qu'il s'agisse d'une machine ou d'un dump mémoire nous sommes en mesure d'effectuer une analyse approfondie du support.
Pour ce faire nous avons développés des méthodes capables d'extraire des informations à partir d'artefacts, parfois partiellement corrompus. Cette capacité à traiter des données corrompues est une volonté majeure d'ExaTrack. Notre objectif est de pouvoir extraire un maximum d'informations possibles depuis le support dans le cas où une nouvelle acquisition est impossible.
Une fois les informations extraites nous procédons à une correllation et une contextualisation de celles-ci, nous pouvons alors avoir une vision tangible des événements et identifier des anomalies.

Déroulement

Déroulement d'une réponse à incident


  • Déterminer la zone d'investigation
    Cette première phase va permettre de structurer la réponse à incident, le périmètre d'analyse et les éléments potentiellement compromis.

  • Collecte des informations
    Nous assisterons les administrateurs à procéder au mieux à l'extraction des éléments demandés.
    L'objectif étant de sanctuariser au plus vite les preuves les plus volatiles et de commencer leur exploitation au plus tôt.

  • Analyse des artefacts
    Les artefacts extraits sont analysés, contextualisés et corrélés pour en obtenir un maximum d'informations relatives à l'incident. A ce stade les objectifs principaux sont d'estimer la zone de compromission, identifier le vecteur d'intrusion et évaluer ce que cherche l'attaquant.

  • Établissement d'un plan de remédiation
    A partir des éléments techniques analysés et contextualisés, un plan de remédiation peut être mis en place, ce plan a pour but résorber l'attaque en cours.

  • Augmenter le niveau de sécurité
    Suite à la proposition de remédiation des conseils de durcissements en profondeurs sont évoqués afin de limiter au mieux les risques de nouveaux incidents similaires sur le parc.


Supervision du SI


Suite à un incident il est important de s'assurer que l'attaquant ne se réintroduise pas dans le SI. Nous proposons une solution de suivit de l'activité des machines Windows afin d'identifier au plus tôt une sur-compromission et y répondre. Ce suivit peut durer plusieurs mois et permet de limiter les zones d'ombres présentes sur les systèmes d'exploitations.

Nos innovations


Outils internes

Une grande partie de nos outils d'analyse, sont développés en interne. Chacun d'eux possède des innovations significatives permettant d'identifier des anomalies complexes. Certains font d'ailleurs l'objet de conférences pour leurs innovations.

Analyse en profondeur

Nos experts Windows effectuent une analyse manuelle et en profondeur des données. Ceci permet de contextualiser les anomalies et approfondir les signaux faibles.

Sans signatures/IOCs

Nos outils sont suffisamment performants pour avoir détecté tous les codes malveillants testés, et ce sans avoir recours aux signatures ou IOCs.

Analyse de RAM

Nous sommes capables d'analyser des dumps de RAM que les autres outils du marché n'arrivent pas à traiter. Notre outil identifie dynamiquement les structures internes du système et est capable d'aller jusqu'à analyser des zones non documentés pour y dévoiler des rootkits.

Contactez nous !


Pour plus d'informations sur la réponse à incident n'hésitez pas à nous contacter.

contact [at] exatrack [dot] com