24 Avril 2024

Comment GLIMPS Malware renforce la capacité d’investigation des prestataires de réponse aux incidents de sécurité (PRIS)

Articles

Les prestataires de réponse aux incidents de sécurité (PRIS) ont la mission d’intervenir auprès des opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE) en cas d’incident de sécurité.

Identification de la source et de l’étendue de l’attaque, isolation des systèmes affectées, dépollution et restauration des actifs informatiques, analyses post-incident sont autant d’actions que les MSSP (Managed Security Service Provider) qualifiés PRIS par l’ANSSI doivent être en mesure de délivrer dans les meilleurs délais.

Dans ce contexte, GLIMPS Malware renforce les capacités d’investigation grâce à des fonctionnalités avancées d’automatisation de la chaîne d’investigation, de qualification des menaces et de dépollution. Explications.

L’importance de l’automatisation de la chaîne d’investigation

Lors d’une cyberattaque, les prestataires qualifiés PRIS doivent réagir rapidement afin d’identifier et d’isoler la menace dans le but d’éviter tout risque de compromission des actifs encore sains. C’est pourquoi GLIMPS Malware est particulièrement efficace dans l’étape d’analyse du mode opératoire de l’attaquant, tout comme dans la définition du périmètre compromis.

En automatisant la chaîne d’investigation, GLIMPS Malware offre ici un gain de temps notable, comme l’explique Timothée Billet, Directeur commercial chez GLIMPS : « Dans une situation où un prestataire intervient dans un environnement sans solution de détection et de réponse aux incidents, il peut par exemple déployer un EDR, et l’intégrer avec GLIMPS Malware. Cela permet à l’EDR de capter tous les fichiers sur les postes de travail, les analysant et normalisant les comportements, tandis que GLIMPS Malware effectue une analyse approfondie des fichiers. »

Une approche plus manuelle consiste à rassembler les fichiers suspects ou ceux provenant de périmètres compromis dans un dossier ou un serveur spécifique. GLIMPS Malware, connecté à ce dossier, analyse en temps réel tous les fichiers qui y sont ajoutés. Cette méthode semi-manuelle permet également d’automatiser l’investigation, offrant ainsi une réactivité accrue aux équipes.

L’utilisation de GLIMPS Malware s’étend aussi aux environnements de messagerie. En envoyant des e-mails contenant des pièces jointes de différents formats (PDF, Texte, Word, Excel, PowerPoint …), ces derniers sont automatiquement récupérés et analysés, facilitant le travail de l’équipe d’investigation. Ils peuvent ainsi se concentrer uniquement sur les résultats fournis par l’interface, identifiant rapidement les fichiers malveillants, les techniques utilisées par les attaquants et tout autre élément pertinent à la prise de décision. Comme l’explique Timothée Billet : « L’utilisation de GLIMPS Malware permet un gain de temps considérable. On estime que la mise en place d’une automatisation de la chaîne d’investigation à l’aide de notre outil permet de diviser par trois le temps passé sur un incident. »

Qualifiez les menaces avancées ou inconnues grâce à l’analyse par concept-code

Au vu de la sophistication des cyberattaques, l’identification des menaces connues ou inconnues peut s’avérer difficile. Il est donc nécessaire de s’appuyer sur une analyse ayant la capacité de relever des éléments de similarité comme le rappelle Timothée Billet : « Il faut être capable d’identifier la menace, les techniques, tactiques et procédures utilisées permettant d’associer le mode opératoire à un groupe d’attaquant. C’est en ayant toutes ces informations, que l’on sait exactement ce qu’il s’est passé, quel a été le cheminement de l’attaque dans le système d’information infecté et comment l’endiguer. C’est dans ce cas de figure que les modèles d’intelligence artificielle de GLIMPS Malware interviennent dans l’identification de ces menaces avancées ».

Comment fonctionne l’analyse par concept-code ?

Le principe de l’analyse statique automatisée par concept-code est simple. Au lieu d’analyser le comportement d’un fichier malveillant en action comme le ferait une sandbox, la conceptualisation du code se base sur la capacité à comparer des points communs dans la structuration des fichiers exécutables en interprétant les fonctionnalités compilées ou non. Cette méthode agnostique à tout type de langage de programmation, crée une description et un concept-code du fichier, facilitant la mise en évidence de points communs avec des modes opératoires et menaces connues. Avec des milliers d’analyses quotidiennes enrichissant une base de données de millions de malwares, les modèles d’intelligence artificielle de GLIMPS s’améliorent continuellement, réduisant ainsi le temps nécessaire à l’analyse en comparaison des méthodes traditionnelles des solutions EDR.

L’épineuse question de la dépollution des machines virtuelles

Une fois la menace neutralisée, la dernière étape consiste à dépolluer les fichiers et à redémarrer le système d’information. Une phase importante qui doit se dérouler dans un environnement sain et sécurisé, débarrassé de tout élément malveillant avant un retour à la normale.

C’est ici que GLIMPS Malware joue un rôle majeur en permettant de filtrer toutes les données comme le souligne Timothée Billet : « GLIMPS Malware va agir comme un sas de décontamination permettant de passer d’un périmètre isolé à un périmètre opérationnel. En faisant transiter toutes les données dans le sas, toutes les données malveillantes vont être détectées et vont être mises en quarantaine laissant passer uniquement les fichiers qui sont légitimes. »

À noter que GLIMPS Malware permet également la décontamination des sauvegardes. Il est donc possible de transmettre l’ensemble des fichiers d’un ISO ou d’une archive à la plateforme tout-en-un de GLIMPS pour vérifier s’ils ne sont pas malveillants.

Une fois ces fichiers analysés par GLIMPS Malware, il faudra alors reconstruire la sauvegarde originelle.

Le Shuttle, un format idoine en réponse à incident

La spécificité de GLIMPS Malware est de pouvoir être embarqué dans un shuttle ce qui le rend particulièrement pratique pour un prestataire PRIS. En effet, en cas d’intervention dans un environnement contraint sans connexion réseau externe, le MSSP pourra embarquer avec lui la solution GLIMPS Malware et la déployer dans un réseau d’investigation respectant les contraintes des interventions PRIS. Le prestataire dispose alors de la puissance de GLIMPS Malware pour accélérer la résolution des incidents de sécurité tout en étant autonome pour “formater” et réinstaller la solution sur son shuttle pour ses prochaines interventions chez d’autres clients.

En conclusion

GLIMPS Malware se présente comme un atout pour les Prestataires de Réponse aux Incidents de sécurité (PRIS). Face à des menaces toujours plus sophistiquées, GLIMPS facilite cette tâche en automatisant la chaîne d’investigation et en permettant une qualification approfondie des menaces grâce à son analyse statique par concept-code.

 

N’hésitez pas à nous contacter pour en savoir plus : contact@glimps.re