Forensique avec le cloud : Scalabilité et Réponse à incident collaborative
TLDR
Ceux ayant déjà participé à un DFIR (Digital Forensic and Incident Response) le savent, les réponses sont souvent apportées au travers du triage et de l’analyse des artefacts. Cet article explore l’utilisation du cloud afin de bénéficier de la scalabilité, rapidité et de l’automatisation en réponse à incident. Il est également question des outils et moyens qui peuvent être mis en place afin de faciliter le processus de triage et d’analyse, le tout couplé à une approche proactive et collaborative.
Introduction
En DFIR se posent les questions de la mise à l’échelle de la capture des éléments forensique, du triage et d’analyse des artefacts. Traditionnellement en réponse à incident, les outils à disposition sont propices à l’analyse d’un nombre réduit de systèmes, mais sur des périmètres de plus en plus larges, ces différentes phases peuvent être difficiles et particulièrement chronophages.
Un système d’information évolue et se complexifie continuellement tout au long de sa vie, ainsi que les données qui le composent avec le volume et la typologie. Il s’agit donc de répondre de manière efficace et rapide afin d’apporter des éléments de réponse dans un brouillard et accompagner à la prise de décision.
À noter que la face a une menace, il faut s’assurer de ne pas seulement agir en réaction. Il est impératif d’incorporer les informations en provenance de l’environnement et d’inclure cette intelligence, à l’établissement de plan d’action, en application du principe de la boucle OODA – Observe, Orient, Decide and Act (Observer, Orienter, Décider, Agir).
En qualité d’intervenant DFIR, il est primordial de s’adapter et d’apporter une réponse aux besoins d’acquisition, de traitement et d’analyse dans des contextes variés. Pour cela, l’utilisation du cloud apporte des solutions et plus de souplesse, que nous aborderons dans la suite de cet article.
Les challenges en DFIR
L’analyse forensique requiert des compétences et de l’expérience, mais la recherche et le hunting nécessite des heures pour le traitement et les investigations de manière traditionnelles. Pour trouver une aiguille dans un botnet, on peut résumer les grandes étapes du pilotage des investigations :
- Identifier le périmètre
- Réaliser les acquisitions forensiques
- Traiter les collectes
- Analyser les données
Ces quatre étapes nécessitent plusieurs minutes, voir plusieurs heures par source. L’exécution de tâches répétitives est sujette à erreurs et entraine une fatigue et une charge non négligeable en situation de crise.
De plus, les outils de traitement et d’analyse traditionnellement ne permettent pas des traitements multiples en parallèle, sauf en multipliant les ETP sur l’incident. Il est donc souhaitable d’explorer les vecteurs d’automatisation et les actions à optimiser grâce au cloud.
En élargissant les périmètres de recherche et de collecte, la réponse à incident ne peut se limiter à un analyste et son travail sur un ordinateur. Nous restons humains et nous avons nos limites sur la quantité d’information que nous pouvons ingérer et l’attention que nous pouvons porter à une tâche ou conversation. Il est impératif d’assurer la collaboration, corréler les indicateurs et partager une timeline des événements.
Une timeline en forensique permet de retracer à partir d’une acquisition de données. On vient donc analyser différents éléments comme des journaux de fichiers ou encore des métadonnées d’un système de fichiers. Ce sont aussi autant d’éléments de réponses qui seront apportés afin de qualifier la menace et le déroulement de l’incident.
LE CLOUD ET L’AUTOMATISATION POUR CHANGER LA DONNE
Ne serait-ce que pour le besoin de ressources informatique en réponse à incident, l’usage du cloud met à disposition :
- Des ressources taillées sur mesure (CPU, RAM & stockage)
- Une mise à l’échelle de l’infrastructure permettant d’augmenter les capacités de triage par exemple
- Un stockage dédié et taillé sur mesure
C’est un véritable levier qui est offert aux équipes de réponse à incident tant sur :
- La scalabilité et la fléxibilité : Déployer en quelques minutes une infrastructure et la tailler au besoin. On permet aux équipes de s’affranchir des contraintes d’une infrastructure onpremise, qui sera plus difficile à faire évoluer selon les contraintes de chacun.
- Coûts et gestion des ressources : On réduit les investissements lourds pour la mise en place d’une infrastructure et on adapte une approche de facturation à l’usage. Un suivi plus simple grâce aux notions de groupes ou de tag.
En plus de la mise à disposition de ressources aisément, l’approche du DFIR avec le cloud offre :
- L’automatisation et parallélisation des traitements : Il s’agit d’un axe majeur d’amélioration dans le traitement et les réponses apportées dans le cadre d’un incident. Des orchestrateurs, n8n, ou encore du PaaS comme Azure Logic App, permettent de gérer et exécuter parallèlement le triage des traces collectées.De cette façon, nous éliminons une grande partie du fardeau lié au traitement des artefacts et à la mise en forme des résultats. Plutôt que de lancer manuellement des outils comme Hayabusa ou Zircolite (scanner Sigma), les analystes peuvent se concentrer directement sur la revue des résultats et l’identification des points de pivot.
Sur les traitements plus lourds, tels que la création d’une timeline initiale avec plaso/log2timeline, on standardise le traitement et l’intégration de la sortie pour une intégration à une plateforme d’analyse dédiée ou un SIEM.
- Une simplification des analyses : En automatisant l’exploitation des outils de triage et de traitements des artefacts, on vient libérer un temps précieux pour certaines étapes comme l’identification du périmètre et la revue des indicateurs initiaux (EDR, SIEM, etc.).
Cela favorise une approche collaborative pour le DFIR, indépendamment de la localisation géographique, en permettant un travail et un suivi simultané sur les données à analyser. Cela facilite également l’archivage et les revues post-incident, contribuant ainsi à l’amélioration continue des processus DFIR.
Ce changement d’échelle apporté par l’automatisation et l’infrastructure cloud permet de combiner l’outillage et en résulte le workflow sur lequel une infrastructure.
A titre d’exemple et pour ordre de grandeur, le temps d’execution est de :
- 10 à 20 minutes pour l’acquisition des artefacts par machine (selon la taille du disque et l’usage de la machine)
- 20 à 30 minutes pour le triage et le hunting sigma (MFT incluse pour Windows), pour 10 à 15 millions d’événements par machine
- ~1h d’ingestion et d’indexation avec elasticsearch
Alors qu’un triage manuel pourrait prendre plusieurs heures par appareil, nous optimisons et accélérons le processus grâce à la parallélisation. Cela apporte un gain de confort significatif pour les équipes de réponse à incident EET améliore nettement l’efficacité des actions à mener pour progresser.
Conclusion
Face à l’explosion des volumes de données et à la complexité croissante des systèmes d’information, le cloud offre des solutions scalables, flexibles et adaptées aux défis actuels. En permettant un déploiement rapide des environnements d’analyse, une collecte de données plus efficace, et en simplifiant la collaboration entre équipes, le cloud accompagne les analystes dans les pratiques DFIR, offrant flexibilité et réactivité.
L’automatisation, quant à elle, réduit les délais de réponse et libère les analystes des tâches répétitives, leur permettant de se concentrer sur les enquêtes les plus complexes. Ensemble, la scalabilité du cloud et l’automatisation grâce aux microservices et à l’orchestration permettent de relever les réponses à incident avec efficacité.
En somme, il ne faut pas craindre le cloud, c’est sa raison d’être et son exploitation qui permet de transformer les défis en opportunités en ouvrant la voie à une réponse à incident à la hauteur des enjeux de demain.
N’hésitez pas à nous contacter pour un accompagnement rapide et efficace.