Laboratoire d'analyse forensique - Direction des Systèmes d'Information
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Sommaire 01. Présentation d’Inria 02. Un contexte d’investigation contraint 03. Architecture technique 04. Le laboratoire forensique au cœur de l’investigation 05. Limites de la plateforme 06. Conclusion 2 18/05/2022
01. Présentation d’Inria Lille Nord Europe 4565 Paris Saclay Île-de-France Nancy collaborateurs Grand Est Strasbourg Rennes 3900 Bretagne Atlantique Inria Nantes 2670 scientifiques Lyon Bordeaux Grenoble Partenaires 665 Rhône-Alpes Sud-Ouest 1680 appuis Pau Sophia Antipolis Méditerranée Montpellier Centres Antennes 3 18/05/2022
02. Un contexte d’investigation contraint ● Le SOC, un service intégré à la DSI d’Inria – Un des 8 services composant la DSI – Cinq membres (4 permanents et 1 apprenti) – Missions menées : ● Détection des incidents ● Prévention ● Réaction aux incidents – Objectif du laboratoire forensique : ● Industrialiser l’analyse forensique ● Faciliter l’identification de la chaîne d’attaque ● Adapter la posture cybersécurité de l’institut 4 18/05/2022
02. Un contexte d’investigation contraint ● Périmètre d’intervention large – 7000 postes clients – 850 machines virtualisées dans le centre de données ● Sans compter les machines des centres ● Richesse technique – 3 OS proposés sur les postes clients – Multiples expérimentations et plateformes spécifiques ● Travail en distanciel – 9 centres de recherche – Recours au télétravail 5 18/05/2022
03. Architecture technique ● Dépôt d’artefacts ● Centre d’analyses – Reçoit les artefacts forensique – Présente les outils d’investigations et d’analyse – Accès depuis réseau Inria – Accès par bastion d’administration – Espace de stockage commun – Données sensibles car enrichies 6 18/05/2022
03. Architecture technique ● Phase de collecte d’artefacts – Données sur disque – Réseau (Tcpdump) ● dd, outils vmware ● Capture réseau locale – Journaux (FastIR Artifacts) ● Détection avec suricata ● Peu de configuration – Mémoire (Lime, WinPmem) ● Base de connaissances opensource ● Analyse avec volatility ● Multiplateforme 7 18/05/2022
03. Architecture technique ● Phase de traitement des artefacts – Réception d’un artefact – Initiation du traitement – Extraction des évènements de sécurité et génération de la chronologie (plaso) ● Détection de malware ● Comparaison des empreintes avec base NIST – Insertion de la chronologie dans timesketch pour investigation 8 18/05/2022
03. Architecture technique ● Phase d’analyse de la chronologie – Exploration de la chronologie avec timesketch – Étude de chronologies en parallèle – Plugins d’analyses ● Accès à des domaines malveillants ● À des heures inhabituelles ● Traces d’attaques sophistiquées (Sigma) ● Brute force ... – Langage de requête adapté – Travail collaboratif ● Journal d’investigation, commentaires, partage d’IoC 9 18/05/2022
04. Le laboratoire forensique au cœur de l’investigation ● Des bénéfices constatés à l’utilisation – Polyvalence : ● Adaptation à l’OS étudié ● Amélioration des capacités d’intervention – Modularité : ● Schéma de données extensible et opensource ● Développement de ses propres règles de détection – Performance : ● Automatisation d’actions ● Efficacité de l’indexation 10 18/05/2022
04. Le laboratoire forensique au cœur de l’investigation ● Cas d’utilisation pratique – Détection par RENATER de flux anormaux – Levée de doute : ● Extraction de journaux ● Investigation en direct – Identification d’un processus employant log4j (v2.13) – → Isolation immédiate de la machine, extraction du support 11 18/05/2022
04. Le laboratoire forensique au cœur de l’investigation ● Cas d’utilisation pratique – Détection de fichiers UPX avec Yara – Intégration de données – Détection d’évènements suspects complémentaires (oom-kill) avec règles sigma ● Copie de la machine (vmdk) – Identification de l’exploitation de la ● Données réseau (netflow) vulnérabilité log4shell ● Données applicatives – Soumission de la souche virale au bac – Total de 2,3M d’évènements à sable du COSSIM 12 18/05/2022
04. Le laboratoire forensique au cœur de l’investigation 13 18/05/2022
05. Limites de la plateforme ● Plusieurs inconvénients identifiés – Artefacts à la syntaxe spécifique ● Peut nécessiter un pré-traitement ● Nuit à l’automatisation – Collecte peu discrète ● Outils plus furtifs disponibles (DFIR Orc notamment) – Pas d’interconnexion avec un bac à sable ● Mais modules d’analyse disponibles (virustotal, viper) ● Perspective d’évolution – Interfaçage avec des agents logiciels sur poste 14 18/05/2022
06. Conclusion ● Besoins couverts – Support d’environnement hétérogène – Adapté au travail en équipe – Facilite la phase de levée de doute – Vue d’ensemble au moyen de la chronologie – Permet de capitaliser sur ses connaissances acquises – Difficulté à automatiser le traitement ● Evolution des outils et du contexte d’investigation 15 18/05/2022
Vous pouvez aussi lire