Utilisation du NIST SP 800-61 pour se préparer au prochain incident de sécurité impliquant un tiers

L'écosystème tiers de votre organisation est probablement plus vaste que jamais, ce qui accroît sa vulnérabilité aux ransomwares, à l'exposition des informations d'identification et des données, aux pannes technologiques, aux attaques par déni de service et à d'autres menaces. Si vous avez lu les derniers titres relatifs aux failles de sécurité, vous ne serez pas surpris d'apprendre que les attaques contre vos partenaires, fournisseurs et prestataires de services peuvent avoir des conséquences dévastatrices sur votre réputation et vos résultats. Heureusement, le National Institute of Standards and Technology (NIST) propose des conseils pratiques sur la manière de gérer les cyberattaques qui touchent votre organisation et ses tiers.

Application du cadre de traitement des incidents NIST SP 800-61 au risque lié aux tiers

Le guide de traitement des incidents de sécurité informatique du NIST, SP 800-61, prescrit quatre phases fondamentales que les équipes de sécurité devraient prendre en compte dans leurs programmes de traitement des incidents. Vous trouverez ci-dessous des résumés de chaque phase, ainsi que des notes supplémentaires sur la manière dont la gestion des risques liés aux tiers entre en jeu. N'oubliez pas de consulter la publication du NIST pour obtenir des conseils complets et détaillés.

Préparation

• Plans de communication : Commencez par établir des listes de contacts, des plans de communication et des procédures d'escalade. Veillez à inclure les tiers clés dans vos plans de communication et à recueillir des informations sur leurs contacts d'urgence et leurs voies d'escalade. Ces informations seront également utiles lors de la phase 2 : Détection et analyse.
• Installations : Établir des salles de guerre internes et des installations de stockage sécurisées.
• Technologie : Veillez à ce que les équipes d'intervention aient accès au matériel d'analyse des incidents (ordinateurs portables, serveurs, dispositifs de sauvegarde) et aux logiciels (par exemple, renifleurs de paquets, analyseurs de protocoles, logiciels d'expertise, suivi des problèmes et images d'installations propres pour la restauration et la récupération).
• Documentation : Documentez les ressources d'analyse des incidents, notamment les listes de ports, la technologie (par exemple, les systèmes d'exploitation et les applications utilisés), les diagrammes de réseau, les lignes de base de l'activité réseau prévue, etc.
• Prévention : Mettre en œuvre des logiciels de sécurité pour les hôtes, les réseaux et les logiciels malveillants. Effectuez des évaluations des risques internes et externes et mettez en place un programme de formation à la sensibilisation à la sécurité.

Détection et analyse

• Vecteurs d'attaque : Tenez compte de tous les chemins que les attaquants peuvent emprunter pour atteindre votre organisation (par exemple, les attaques d'applications Web, le phishing, l'usurpation d'identité, l'utilisation abusive, la perte ou le vol d'équipements, etc.) ). Dans le cadre de ce processus, veillez à cartographier vos connexions et vos relations avec des tiers et des quatrièmes parties.
• Signes d'un incident : Recherchez les précurseurs de futurs incidents potentiels et les indicateurs d'incidents qui se sont produits. C'est là que les services tiers de surveillance des risques sont utiles pour analyser les sources publiques et privées de renseignements sur les menaces.
• Analyse des incidents : Tenter de déterminer si un incident a effectivementeu lieu en incident s'est effectivement produit en examinant l'exactitude des précurseurs et des indicateurs décrits à l'étape précédente. Le NIST SP 800-61 formule plusieurs recommandations pour rendre l'analyse plus facile et plus efficace.
• Documentation des incidents : Mettez en place un système de suivi des problèmes pour enregistrer toutes les informations pertinentes sur chaque incident. Les plateformes tierces de gestion des risques offrent généralement des capacités de gestion des documents pour le suivi des incidents des fournisseurs.
• Hiérarchisation des incidents : En raison des inévitables limitations de ressources, le NIST recommande de hiérarchiser les incidents en fonction de leur impact fonctionnel, de l'impact sur les informations et de la possibilité de les récupérer. Le fait de classer vos vendeurs et fournisseurs par ordre de priorité pour la surveillance et l'évaluation en amont peut vous aider à être prêt à répondre de manière appropriée lorsque des incidents se produisent.

Confinement, éradication et récupération

• Le confinement : C'est là que les équipes de sécurité tentent de "stopper l'hémorragie" et de minimiser l'impact d'un incident. Les tactiques de confinement varient selon le type d'incident et peuvent impliquer la suspension d'un compte utilisateur errant, le blocage du trafic réseau, la mise en quarantaine des systèmes, la redirection des attaquants vers un bac à sable, et d'autres actions. Pour décider de la marche à suivre, il faut évaluer plusieurs critères, notamment les dommages potentiels, la nécessité de préserver les preuves, la disponibilité du service, les ressources disponibles, etc.
• Collecte de preuves : Bien qu'elle soit nécessaire pour résoudre l'incident, la collecte de preuves est également essentielle pour étayer toute procédure judiciaire ultérieure. Il est important d'obtenir l'avis d'un juriste sur la collecte des preuves et les exigences en matière d'archivage afin de s'assurer que les preuves seront admissibles devant un tribunal.
• Identification des attaquants : Bien que le NIST SP 800-61 insiste sur la nécessité de se concentrer sur le confinement, l'éradication et la récupération, le guide indique quelques moyens d'identifier potentiellement les hôtes attaquants. Ces moyens comprennent la validation des adresses IP des hôtes attaquants, la recherche dans les moteurs de recherche, les bases de données d'incidents et la surveillance des canaux de communication des attaquants. Des solutions tierces de surveillance des risques peuvent contribuer à ces efforts.
• Éradication et récupération : L'éradication est le processus de suppression des logiciels malveillants, de désactivation des comptes compromis et d'atténuation des vulnérabilités exploitées, tandis que la récupération est le processus de rétablissement du fonctionnement normal des systèmes. Les prestataires de services de gestion des risques tiers proposent souvent des services d'éradication pour aider à résoudre les problèmes de sécurité.

Activité post-incident

• Identifier les leçons apprises : Organisez une séance de débriefing pour examiner l'incident, la manière dont il a été traité et la façon d'améliorer le traitement des incidents à l'avenir. Les rapports qui en résultent peuvent être utilisés pour la communication interne et la formation, ainsi que pour la mise à jour des processus documentés.
• Exploiter les données relatives aux incidents : Les données telles que le nombre d'incidents, le temps passé à traiter les incidents et les évaluations objectives et subjectives des incidents peuvent être utilisées à plusieurs fins, notamment pour identifier les faiblesses systémiques de la sécurité et justifier des investissements supplémentaires. Une application de la gestion des risques des tiers consiste à identifier les contrôles supplémentaires à demander dans les évaluations des risques de vos fournisseurs.
• Création d'une politique de conservation des preuves : L'étape finale consiste à définir une politique de conservation des preuves de l'incident en fonction de leur utilisation potentielle dans des affaires juridiques, des politiques plus larges de conservation des données et des contraintes de coût. Une plateforme de gestion des risques pour les tiers peut aider à stocker, étiqueter et cataloguer les preuves et la documentation relatives à des tiers spécifiques.