Lors de l'identification d'un incident il est primordial de répondre rapidement et efficacement à celui-ci pour retrouver un Système d'Information sain.
Malgré ce contexte, il est important de structurer la mission autant au niveau technique qu'humain. Ses multiples aspects nécessitant un panel de profils extrêmement large, nous travaillons régulièrement avec des partenaires afin de vous proposer une équipe capable de résoudre l'incident le plus efficacement possible.
Fort de l'expérience de nombreux incidents traités, à géométries très variables, nous avons développé une expertise rare ainsi que des outils internes dédiés. Ceux-ci nous permettent de faire preuve d'une grande adaptabilité quant au contexte et aux situations particulières de chaque incident. De plus notre expertise en recherche de compromission nous permet d'analyser rapidement et efficacement des systèmes d'information à grande échelle.
L'association de notre expertise à la contextualisation des événements apportée par nos partenaires nous permet d'avoir une vision à 360° autour de votre incident de sécurité. En effet, l'incident n'est plus seulement une problématique technique isolée, il est évalué avec l'ensemble des événements gravitant autour de l'entreprise.
Office 365 est une cible de choix pour de nombreuses attaques. Comme nous l'avons fréquemment constaté, le but de l'attaquant peut aller du simple phishing
à l'espionnage , en passant par les détournements monétaires.
Nous sommes en mesure de contextualiser l'activité de chaque boîte mail pour identifier des mouvements suspects et ainsi mettre en évidence une compromission. Ces comportements peuvent ensuite être étendus sur l'ensemble des emails, permettant d'obtenir la vision la plus exhaustive possible sur le périmètre de l'incident.
Active Directory est un composant essentiel du Système d'Information. Il est donc impératif d'identifier sa potentielle compromission.
L'analyse de ce dernier permet d'identifier non seulement des portes dérobées laissées par un attaquant, mais également d'estimer les zones à risques du SI. De par sa nature centrale, les éléments fournis par Active Directory sont primordiaux dans l'évaluation d'un incident, même dans un simple cas de phishing, puisque le serveur mail est souvent (pour le cas d'Exchange) intégré à cette base. Ce composant critique du SI est malheureusement trop souvent écarté lors des réponses à incident, mais il devient incontournable lors de la remédiation et du durcissement. La prise en compte de cette architecture en amont permet donc de gagner un temps précieux sur les opérations à mener.
Qu'il s'agisse d'une machine ou d'un dump mémoire, nous sommes en mesure d'effectuer une analyse forensic approfondie du support.
Pour ce faire nous avons développé des méthodes capables d'extraire des informations à partir d'artefacts, parfois partiellement corrompus. Cette capacité à traiter des données corrompues est une volonté majeure d'ExaTrack : notre objectif est de pouvoir extraire un maximum d'informations possible depuis le support dans le cas où une nouvelle acquisition serait impossible.
Une fois les informations extraites, nous procédons à une corrélation et une contextualisation de celles-ci, nous pouvons alors avoir une vision tangible des événements et identifier des anomalies.
Une grande partie de nos outils d'analyse sont développés en interne. Chacun d'eux possède des innovations significatives permettant d'identifier des anomalies complexes. Certains font d'ailleurs l'objet de conférences pour leurs innovations.
Nos experts effectuent une analyse manuelle et en profondeur des données. Ceci permet de contextualiser les anomalies et d'approfondir les signaux faibles.
Nos outils sont suffisamment performants pour avoir détecté tous les codes malveillants testés, et ce sans avoir recours aux signatures ou IOCs.
Nous sommes capables d'analyser des dumps de RAM en utilisant une méthodologie unique sur le marché. Notre outil identifie dynamiquement les structures internes du système et est capable d'aller jusqu'à analyser des zones non documentées pour y débusquer des rootkits.
Pour plus d'informations sur la réponse à incident n'hésitez pas à nous contacter.
