Laboratoire d'analyse forensique - Direction des Systèmes d'Information
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Direction
des Systèmes
d’Information
Laboratoire d'analyse
forensique
Alexandre Compastié
Sommaire 01. Présentation d’Inria
02. Un contexte d’investigation contraint
03. Architecture technique
04. Le laboratoire forensique au cœur de
l’investigation
05. Limites de la plateforme
06. Conclusion
2 18/05/2022
01. Présentation d’Inria
Lille
Nord Europe
4565
Paris
Saclay
Île-de-France
Nancy
collaborateurs Grand Est
Strasbourg
Rennes
3900
Bretagne Atlantique
Inria Nantes
2670 scientifiques Lyon
Bordeaux Grenoble
Partenaires
665
Rhône-Alpes
Sud-Ouest
1680 appuis
Pau
Sophia Antipolis
Méditerranée
Montpellier
Centres
Antennes
3 18/05/2022
02. Un contexte d’investigation contraint
●
Le SOC, un service intégré à la DSI d’Inria
– Un des 8 services composant la DSI
– Cinq membres (4 permanents et 1 apprenti)
– Missions menées :
●
Détection des incidents
●
Prévention
●
Réaction aux incidents
– Objectif du laboratoire forensique :
●
Industrialiser l’analyse forensique
●
Faciliter l’identification de la chaîne d’attaque
●
Adapter la posture cybersécurité de l’institut
4 18/05/202202. Un contexte d’investigation contraint
●
Périmètre d’intervention large
– 7000 postes clients
– 850 machines virtualisées dans le centre de données
●
Sans compter les machines des centres
●
Richesse technique
– 3 OS proposés sur les postes clients
– Multiples expérimentations et plateformes spécifiques
●
Travail en distanciel
– 9 centres de recherche
– Recours au télétravail
5 18/05/202203. Architecture technique
●
Dépôt d’artefacts ●
Centre d’analyses
– Reçoit les artefacts forensique – Présente les outils d’investigations
et d’analyse
– Accès depuis réseau Inria
– Accès par bastion d’administration
– Espace de stockage commun
– Données sensibles car enrichies
6 18/05/202203. Architecture technique
●
Phase de collecte d’artefacts
– Données sur disque – Réseau (Tcpdump)
●
dd, outils vmware ●
Capture réseau locale
– Journaux (FastIR Artifacts)
●
Détection avec suricata
●
Peu de configuration – Mémoire (Lime, WinPmem)
●
Base de connaissances opensource ●
Analyse avec volatility
●
Multiplateforme
7 18/05/202203. Architecture technique
●
Phase de traitement
des artefacts
– Réception d’un artefact
– Initiation du traitement
– Extraction des évènements de
sécurité et génération de la
chronologie (plaso)
●
Détection de malware
●
Comparaison des
empreintes avec base NIST
– Insertion de la chronologie dans
timesketch pour investigation
8 18/05/202203. Architecture technique
●
Phase d’analyse de la chronologie
– Exploration de la chronologie avec timesketch
– Étude de chronologies en parallèle
– Plugins d’analyses
●
Accès à des domaines malveillants
●
À des heures inhabituelles
●
Traces d’attaques sophistiquées (Sigma)
●
Brute force ...
– Langage de requête adapté
– Travail collaboratif
●
Journal d’investigation, commentaires, partage d’IoC
9 18/05/202204. Le laboratoire forensique au cœur de l’investigation
●
Des bénéfices constatés à l’utilisation
– Polyvalence :
●
Adaptation à l’OS étudié
●
Amélioration des capacités d’intervention
– Modularité :
●
Schéma de données extensible et opensource
●
Développement de ses propres règles de détection
– Performance :
●
Automatisation d’actions
●
Efficacité de l’indexation
10 18/05/202204. Le laboratoire forensique au cœur de l’investigation
●
Cas d’utilisation pratique
– Détection par RENATER de flux anormaux
– Levée de doute :
●
Extraction de journaux
●
Investigation en direct
– Identification d’un processus employant log4j (v2.13)
– → Isolation immédiate de la machine, extraction du support
11 18/05/202204. Le laboratoire forensique au cœur de l’investigation
●
Cas d’utilisation pratique – Détection de fichiers UPX avec Yara
– Intégration de données – Détection d’évènements suspects
complémentaires
(oom-kill) avec règles sigma
●
Copie de la machine (vmdk)
– Identification de l’exploitation de la
●
Données réseau (netflow) vulnérabilité log4shell
●
Données applicatives
– Soumission de la souche virale au bac
– Total de 2,3M d’évènements à sable du COSSIM
12 18/05/202204. Le laboratoire forensique au cœur de l’investigation 13 18/05/2022
05. Limites de la plateforme
●
Plusieurs inconvénients identifiés
– Artefacts à la syntaxe spécifique
●
Peut nécessiter un pré-traitement
●
Nuit à l’automatisation
– Collecte peu discrète
●
Outils plus furtifs disponibles (DFIR Orc notamment)
– Pas d’interconnexion avec un bac à sable
●
Mais modules d’analyse disponibles (virustotal, viper)
●
Perspective d’évolution
– Interfaçage avec des agents logiciels sur poste
14 18/05/202206. Conclusion
●
Besoins couverts
– Support d’environnement hétérogène
– Adapté au travail en équipe
– Facilite la phase de levée de doute
– Vue d’ensemble au moyen de la chronologie
– Permet de capitaliser sur ses connaissances acquises
– Difficulté à automatiser le traitement
●
Evolution des outils et du contexte d’investigation
15 18/05/2022Vous pouvez aussi lire
