Summary

This document provides an overview of forensic analysis methods. It details different aspects of forensic investigations, including incident response plans, data analysis, and regulatory frameworks.

Full Transcript

Analyse Forensique CCI – ERIS LEBON Guillaume CCI - LEBON 1 Présentation LEBON Guillaume Ingénieur diplômé 20 ans exp pro 15 ans peda 40+ UE SSII / ESN Secteur public 35H 2 Objectifs Ana...

Analyse Forensique CCI – ERIS LEBON Guillaume CCI - LEBON 1 Présentation LEBON Guillaume Ingénieur diplômé 20 ans exp pro 15 ans peda 40+ UE SSII / ESN Secteur public 35H 2 Objectifs Analyse des causes après incident d’un SI via une méthodologie et des outils adaptés CCI - LEBON 3 Contexte et terminologie Méthodologie Réglementation Plan Collecte Analyse Rédaction d’un rapport CCI - LEBON 4 Contexte de la menace CCI - LEBON 5 Contexte de la menace CCI - LEBON 6 CCI - LEBON Moyens de défense / terminologie EPP / EDR / SIEM SOC NDR / MDR CSIRT CERT PRA / PCA 7 Réponse à incident et Réponse à incident - NIST CCI - LEBON investigation numérique 8 Réponse à incident et CCI - LEBON investigation numérique 9 Réponse à incident - SANS CCI - LEBON 10 Réponse à incident - PRIS CCI - LEBON 11 Plan de réponse à incident CCI - LEBON 12 Investigation numérique - Manifestation de la vérité Découverte et preuve de ce qui s'est passé. Collecte, analyse objective et présentation des résultats. CCI - LEBON 13 Digital Forensic Research Workshop identification, préservation, collecte, examen, analyse, présentation, décision. CCI - LEBON 14 Abstract Digital Forensics Model Identification : identification de la nature de l’incident en s’appuyant sur des IoC. Préparation : concerne les outils, les méthodologies, les autorisations et les accès. Stratégie d’approche : procédure assurant un impact minimum lors du prélèvement. Préservation : ensemble d’actions assurant l’intégrité, la sécurisation et le stockage des prélèvements. Prélèvement : copie et enregistrement des prélèvements. Examen : recherche d’artefacts/preuves relatives à l’incident en cours. Analyse : analyse des éléments après réduction de la quantité de données. Présentation : présentation des conclusions. Restitution des preuves : s’assure que les éléments sur lesquels les prélèvements ont été effectués sont retournés au propriétaire. CCI - LEBON 15 Integrated Digital Investigation Process préparation (readiness) ; déploiement (deployment) ; Sous-phase Scène de crime physique Scène de crime numérique Préservation Préservation du lieu de Préservation du lieu de l’incident afin de permettre l’incident afin de permettre les une identification et une analyses dans les meilleures collecte dans les meilleures conditions. conditions. investigation des crimes Enquête (survey) Identification physiques. des preuves Déplacement des preuves identifiées vers une zone physiques (physical crime Documentation contrôlée. Obtention des informations de Correspond à la chaîne de investigation) ; contexte (vidéos, contrôle (chain of custody). photographies) relatives à l’incident. Recherche et collecte (search Complète la phase de survey Analyse des prélèvements, and collection) avec une vision plus large de génération de la timeline. investigation des crimes l’incident et du nombre de postes impactés. numériques (digital crime Reconstruction Ensemble d’hypothèses sur Hypothèse éléments précédents. d’après précédentes phases. les l’instant en s’appuyant sur les éléments obtenus durant les investigation) ; Présentation Présentation des selon la cible. résultats Présentation des selon la cible. résultats examen (review). CCI - LEBON 16 Méthode retenue identification ; collecte ; examen ; analyse ; présentation. CCI - LEBON 17 Terminologie Artefacts Triage CCI - LEBON 18 Terminologie Chain of custody – Who – What – When – Where – How – Why CCI - LEBON 19 Chain of custody CCI - LEBON 20 Documenté ! CCI - LEBON 21 Documentation CCI - LEBON 22 Réglementation Importance de la connaissance des lois et régulations. Conformité aux standards. Normes: – ISO/CEI 27037:2012(fr) – ISO/IEC 17025 – NIST SP 800-86 – NIST 800-34 CCI - LEBON 23 Lois et régulations pertinentes RGPD HIPAA Lois nationales sur la cybersécurité et les données ! CCI - LEBON 24 Standardisation des échanges Unified Cybersecurity Ontology (UCO) Cyber-investigation Analysis Standard Expression (CASE) CCI - LEBON 25 Déontologie et Éthique Importance de l'éthique, protection de la vie privée et intégrité des données. Formalisé ! Respect de la vie privée, intégrité, impartialité, confidentialité. CCI - LEBON 26 Confidentialité et intégrité des données Protection des informations sensibles, prévention de l'altération des preuves. CCI - LEBON 27 Types d'incidents nécessitant une analyse forensique Exemple pratique ? CCI - LEBON 28

Use Quizgecko on...
Browser
Browser