Evaluation des performances de DFIR ORC dans le cadre de son utilisation par le CERT Santé

Le CERT Santé a réalisé une première mesure des temps de collecte et de la taille des artefacts générés par DFIR ORC lors de collectes dans le cadre de la prise en charge d’incidents.

Lors de la prise en charge d’un incident, lorsqu’une machine est soupçonnée d’être infectée, des données sont collectées afin de comprendre les actions de l’attaquant. Cette analyse permet ensuite d’orienter le choix des mesures de remédiation et de rétablir un fonctionnement normal et sécurisé. La bonne réalisation des activités d’investigation dans des délais contraints permet d’engager plus tôt la reprise d’activité. Il est donc essentiel d’optimiser la phase de collecte afin d’extraire, le plus rapidement possible, les données les plus pertinentes pour l’investigation. Il est également important de déterminer quelles données sont pertinentes à collecter, car une collecte trop large alourdit ensuite les phases de traitement et d’analyse.   
Pour diminuer la durée de la phase de collecte, il y a généralement deux possibilités : limiter le nombre de machines sur lesquelles on effectue les collectes ou restreindre   le nombre d’artefacts à récupérer. Cette étude s’est concentrée principalement sur la seconde solution et vise à mieux estimer le coût de collecte de certains artefacts.
 

Les artefacts prenant le plus de temps à être collectés sont :

  • les informations relatives aux systèmes de fichiers NTFS, comme les descripteurs de sécurité ou les données de la MFT ;
  • la liste des fichiers détectés par Spyre, un scanner d’IOC permettant, dans le cadre son usage par le CERT Santé, d’identifier des comportements suspects dans les processus en mémoire, à l’aide de près de 100 règles Yara ;
  • les fichiers détectés par la dizaine de règles Yara cherchant des fichiers malveillants comme des documents Office ou des exécutables dans les dossiers des utilisateurs.


Les artefacts les plus volumineux sont :

  • les informations relatives aux systèmes de fichiers NTFS, comme les descripteurs de sécurité ou les données de la MFT ;
  • les journaux de logiciels d’accès à distance, les journaux d’antivirus, l’historique et le cache des navigateurs, …

La récupération d’une quantité importante de données n’est pas forcément synonyme de temps de traitement important alors que la récupération des données du système de fichiers et les méthodes de prétraitement ou de sélection de l’information ralentissent significativement la collecte ORC.

L’étude complète est disponible au lien suivant :