Comprendre la phase 3 de réponse aux incidents de Microsoft Online Services : confinement, éradication et récupération
Sur la base de l’analyse coordonnée par l’équipe de réponse de sécurité, un plan d’endiguement et de récupération approprié est développé pour réduire l’impact de l’incident de sécurité, préserver les preuves et supprimer la menace de l’environnement. Les équipes de service appropriées implémentent le plan avec le support de l’équipe de réponse de sécurité pour s’assurer que la menace est correctement éliminée et que les services concernés font l’objet d’une récupération complète.
Confinement
L'objectif principal du confinement est de limiter les dommages causés aux systèmes, aux applications, aux clients et aux données client de Microsoft. Au cours de cette phase, l’équipe de réponse de sécurité travaille avec les équipes de service concernées pour limiter l’impact de l’incident de sécurité et éviter d’autres dommages. Les stratégies d’endiguement dépendent du type d’incident, mais peuvent inclure la reconstruction du système affecté, la séparation et l’isolation des hôtes infectés, ou le contrôle de l’accès aux ressources critiques. Pour les incidents à impact plus important, les plans sont déterminés au cas par cas en raison de leur complexité. Diverses réponses automatisées au sein de Microsoft Online Services peuvent également aider l’équipe à contenir l’incident.
La collecte et l'analyse des données se poursuivent tout au long de la phase de confinement afin de s'assurer que la cause première de l'incident a été correctement identifiée et que tous les services et locataires touchés sont inclus dans le plan d'éradication et de récupération. Le suivi réussi de tous les services touchés rend possible l’éradication et la récupération.
Eradication
L’éradication est le processus d’élimination de la cause initiale de l’incident de sécurité avec un niveau de confiance élevé. L'objectif de l'éradication est double : expulser complètement l'adversaire de l'environnement et atténuer les vulnérabilités qui ont contribué à l'incident ou qui pourraient permettre à l'adversaire de réintégrer l'environnement.
Les étapes d'éradication pour expulser l'adversaire et atténuer les vulnérabilités sont basées sur l'analyse effectuée dans le cadre des phases de réponse aux incidents précédents. En fonction de l’impact des incidents, les activités peuvent inclure la suppression d’artefacts adversaires, l’arrêt des processus malveillants, la réinitialisation des secrets ou, dans certains cas, une reconstruction complète du système. Tout au long de ce processus, l’équipe de réponse de sécurité continue de suivre et de surveiller l’activité de l’adversaire à l’aide de stratégies telles que la surveillance du réseau et des processus. L’équipe de réponse de sécurité se coordonne avec les équipes de service concernées pour s’assurer que le plan est exécuté comme prévu et que la menace est correctement supprimée de l’environnement. La récupération n’est pas possible tant que la menace n’a pas été supprimée et que ses causes sous-jacentes n’ont pas été résolues.
Récupération
Lorsque l’équipe de réponse de sécurité est convaincue que l’adversaire a été supprimé de l’environnement et que des vulnérabilités connues ont été corrigées, elle collabore avec les équipes de service concernées pour lancer la récupération. La récupération offre aux services affectés une configuration sécurisée connue. Le processus de récupération comprend l’identification du dernier état correct connu du service, la restauration à partir des sauvegardes à cet état et la confirmation que l’état restauré atténue les vulnérabilités qui ont contribué à l’incident.
Un des aspects clés du processus de récupération est le renforcement des contrôles de détection pour valider que le plan de récupération a été exécuté avec succès et qu'aucun signe d'infraction ne subsiste au sein de l'environnement. Parmi les exemples de contrôles de détection supplémentaires figurent une surveillance accrue au niveau du réseau, des alertes ciblées pour les vecteurs d'attaque identifiés au cours du processus de réponse aux incidents, et une vigilance accrue des équipes de sécurité pour les ressources critiques. Une surveillance améliorée permet de s'assurer que l'éradication a réussi et que l'ennemi est incapable de réintégrer l'environnement.