La collecte manuelle de preuves est débordée ! L’avenir est le DFIR (Digital Forensics and Incident Response) automatisé

Pendant des décennies, les travaux de criminalistique numérique ont continué à se développer dans différentes branches de l'enquête judiciaire et sont devenus une partie très importante des activités mondiales d'application de la loi. Dans le même temps, en raison du développement d'Internet et de la mondialisation, les formes de criminalité se sont diversifiées et les responsables de l'application des lois doivent également utiliser des outils automatisés de collecte de preuves numériques pour obtenir des preuves numériques clés et envoyer les criminels en prison.

Récemment, l'équipe de recherche médico-légale de Magnet a publié le dernier rapport de recherche "Enterprise Digital Forensics and Incident Investigation (DFIR) Application Status". Les recherches du rapport estiment que le marché de la criminalistique numérique a subi de grands changements, qui peuvent être résumés en deux mots : rapidité et précision. Il est essentiel de fournir aux enquêteurs les preuves des violations le plus rapidement possible pour traduire les cybercriminels en justice. Cependant, cela n’est pas facile à réaliser et certains praticiens du domaine de la criminalistique numérique sont déjà débordés. Par conséquent, davantage de technologies d’automatisation doivent être intégrées aux flux de travail d’investigation numérique pour obtenir des analyses plus rapides tout en conservant une chaîne de preuves plus complète.

Incidents et défis DFIR courants

Selon les données de recherche du rapport, les violations de données et les vols de comptes représentaient 35 % de l'ensemble des activités médico-légales en 2022 et sont les incidents DFIR les plus courants, suivis par les fuites d'e-mails électroniques commerciaux ( 34 %). 14 % des personnes interrogées ont déclaré que leur organisation était fréquemment confrontée à des escroqueries BEC. D'autres incidents DFIR courants incluent la mauvaise conduite des employés (33 %), l'utilisation abusive d'actifs ou les violations de politiques (30 %), la fraude interne (29 %) et les points finaux infectés par un ransomware (28 %).

Proportion d'incidents DFIR

Les fuites de données, les vols de compte et les ransomwares auront un impact énorme sur le développement commercial d'une organisation. Les enquêteurs du DFIR ont du mal à y parvenir, car enquêter rapidement sur les ransomwares et les violations de données nécessite de l'expérience et des outils, et les cybercriminels tentent de rendre ces enquêtes encore plus difficiles.

45 % des personnes interrogées estiment que « les besoins croissants en matière de criminalistique numérique et les volumes de données » sont les plus grands défis qui affectent les enquêtes du DFIR, dont 13 % pensent qu'il s'agit d'un problème très grave et 32 ​​% pensent qu'il s'agit d'un problème relativement grave. problème.

D'un autre côté, à mesure que l'ampleur et la complexité des attaques continuent d'évoluer, les acteurs de la menace utilisent davantage de techniques pour rendre la détection plus difficile. 42 % du personnel du DFIR interrogé a déclaré que l'évolution de la technologie d'attaque des réseaux constitue un problème sérieux pour. leurs organisations à gérer. Suivre l'évolution des nouvelles cyberattaques constitue sans aucun doute un défi de taille, et les entreprises devront s'appuyer davantage sur des experts en recherche et développement chargés d'équiper les organisations de tactiques, techniques et procédures nouvelles et évolutives.

Les autres défis clés incluent les outils qui ne peuvent pas s'intégrer les uns aux autres (37 %), les tâches chronophages et répétitives (37 %), le manque de mécanismes d'autorisation conformes lors de l'acquisition de données (34 %) et la prolifération des modèles de travail hybrides ( 31 %), difficulté à obtenir des données à partir de réseaux distants (31 %) et manque d'experts (30 %).

Proportion de facteurs difficiles affectant les enquêtes du DFIR

Difficultés et défis rencontrés par le DFIR

Il existe un grand nombre de tâches répétitives dans le travail du DFIR, et il existe un besoin urgent d'outils automatisés pour mener à bien ces tâches d’enquête. De nombreux centres d’opérations de sécurité d’entreprise utilisent déjà largement la technologie d’automatisation car ils doivent traiter d’énormes quantités de données de surveillance de la sécurité. Cependant, les capacités d'automatisation requises par DFIR sont très différentes des opérations de sécurité, car elles nécessitent principalement l'acquisition et le traitement de données via l'orchestration, l'exécution et la surveillance de flux de travail médico-légaux.

Plus de 50 % du personnel du DFIR interrogé ont déclaré qu'il existe encore un grand nombre de tâches manuelles répétitives dans le flux de travail actuel de la criminalistique numérique, et que l'investissement des entreprises dans l'automatisation sera très utile pour optimiser le travail du DFIR ; a exprimé la valeur de l'automatisation dans l'acquisition à distance des points de terminaison cibles, la classification des points de terminaison cibles, le traitement des preuves numériques et l'enregistrement, la synthèse et le reporting des incidents.

64 % des praticiens du DFIR en entreprise estiment que la « lassitude liée aux enquêtes » est un problème réel et objectif (29 % tout à fait d'accord et 35 % plutôt d'accord), tandis que 21 % des personnes interrogées ont fortement déclaré qu'elles se sentaient déjà épuisées. Le stress provoqué par le volume d’enquêtes et de données, ainsi que la nécessité de réagir rapidement aux incidents, font qu’il est difficile pour ces professionnels de se détendre. En outre, 64 % des personnes interrogées ont déclaré que le recrutement de talents appropriés en criminalistique numérique constitue également un défi majeur (30 % tout à fait d'accord, 30 % plutôt d'accord), car le travail de criminalistique numérique présente certains attributs du secteur et les exigences dépendront également de l'entreprise. caractéristiques commerciales différentes et différentes.

Problèmes d'épuisement professionnel et de recrutement du DFIR

La recherche du rapport montre également que dans le domaine du DFIR en développement rapide, des dirigeants expérimentés et décisifs sont nécessaires pour formuler efficacement des stratégies médico-légales et allouer rationnellement les ressources. Plus de 33 % des personnes interrogées ont déclaré qu'un leadership fort aide le personnel du DFIR à obtenir les sources de données complètes dont il a besoin, ce qui est souvent difficile à obtenir.

Les données du rapport montrent que les principales raisons du gaspillage des ressources du DFIR sont le manque de plans d'investigation et de stratégies de travail cohérents (37 %) et le manque de processus standardisés (36 %). D'autres facteurs incluent le manque d'accès aux sources de données (35 %), les tâches manuelles répétitives (34 %) et les outils technologiques redondants et complexes (28 %).

Facteurs à l'origine du gaspillage des ressources

Il convient de noter que la conformité réglementaire est également un défi majeur auquel sont confrontés les travaux du DFIR. 67 % des employés du DFIR interrogés ont déclaré que leurs fonctions seraient affectées par diverses nouvelles réglementations, et 46 % ont déclaré qu'ils n'avaient pas suffisamment de temps pour comprendre pleinement les exigences réglementaires changeantes. L'équipe DFIR doit comprendre avec précision les exigences réglementaires et doit communiquer et consulter le service juridique de l'entreprise si nécessaire.

Recommandations pour optimiser le travail DFIR

Les entreprises devraient investir dans des solutions DFIR qui privilégient la rapidité, la précision et l'exhaustivité. Lors de l’analyse des incidents de sécurité, une latence plus élevée signifie un risque plus élevé. Par conséquent, les entreprises devraient vigoureusement mettre en œuvre l’automatisation pour aider les professionnels du DFIR à réduire l’épuisement professionnel et les délais d’enquête.

Chaque entreprise devrait réserver à l'avance un outil d'analyse médico-légale automatisé et utile. Grâce à des outils d'analyse médico-légale numériques fiables, il peut aider le personnel médico-légal à obtenir des preuves numériques clés pour punir les criminels.

De plus, il est également essentiel de faire un plan DFIR à l'avance. Le plan clarifiera les rôles et les responsabilités et détaillera la manière dont les analyses médico-légales et la réponse aux incidents doivent être réalisées. Il devrait également garantir la sécurité et la disponibilité des sources de données médico-légales critiques grâce à des instructions et des règles claires pour accéder aux données nécessaires.

Enfin, si l’équipe interne de l’entreprise ne dispose pas d’une expertise complète en matière d’enquête DFIR, vous pouvez choisir d’externaliser une partie de l’activité d’enquête DFIR. C’est également la tendance dominante dans le développement d’applications DFIR. Près de la moitié des personnes interrogées (47 %) ont déclaré que la principale raison du recours aux services DFIR externalisés était le manque d'expertise, tandis qu'une autre raison (38 %) était l'indisponibilité des outils spécialisés requis, qui dans certains cas peuvent être très coûteux ;

Lien de référence : https://www.techrepublic.com/article/digital-forensics-incident-response-most-common-dfir-incidents/

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!