Después de centrarse en la detección, Anssi aborda otro aspecto de la política de ciberseguridad: la remediación. Inherente a la gestión de incidentes, la fase de reconstrucción se considera "el pariente pobre de las políticas de seguridad", explicó Gérôme Billois, socio responsable de la actividad de ciberseguridad de Wavestone durante una la presentación del estudio sobre la madurez cibernética de las empresas de la empresa consultora. Por ello, la agencia dirigida por Vincent Strubel ha decidido actuar y concienciar a través de guías para las que lanza una convocatoria de comentarios de los CISO y de los equipos de seguridad (se esperan respuestas antes del 22 de junio).

Anssi analiza la remediación desde 3 ángulos: estratégico (más bien para los tomadores de decisiones), operativo (para los equipos de seguridad) y técnico (para los equipos de operaciones) con un enfoque en la limpieza de Active Directory. en la primera parteLa agencia observa que la remediación puede llevar tiempo “desde algunas semanas hasta varios meses”. Una realidad sobre el terreno, especialmente para las autoridades locales. Por ejemplo, el municipio de Angers, que fue atacado hace dos años, acaba de restablecer el acceso a los archivos patrimoniales de la ciudad. En su guía, Anssi desarrolla tres escenarios y los costos relacionados: restaurar rápidamente servicios vitales, recuperar el control del EI y aprovechar la oportunidad para prepararse para un control duradero del EI. Además, da consejos sobre el plan de remediación como no ser inmediatez, tener visión de largo plazo, ser reactivo ante la amenaza, fijar objetivos centrados en las profesiones.

Gestión de la remediación y reconstrucción del AD

La segunda parte se centra en los equipos y las preocupaciones de seguridad. gestión de remediación. Se basa en la secuencia E3R: contención, desalojo y erradicación. El primero tiene como objetivo “ralentizar al atacante dentro del sistema de información, introduciendo fricciones en su actividad para dar tiempo y visibilidad a los defensores”. El segundo prevé “eliminar de forma sostenible al adversario del núcleo de confianza, desde el que se gestiona el resto del sistema de información”. Finalmente, la última secuencia sirve para “limpiar el sistema de información de cualquier influencia, incluso menor, del atacante”.

La última área de trabajo se refiere a un aspecto técnico de la remediación. especialmente en el Directorio Activo. Considerado el Santo Grial por los ciberdelincuentes, comprometer el AD da acceso al directorio de la empresa y puede causar mucho daño. Según los escenarios citados anteriormente, Anssi ofrece buenas prácticas para reconstituir “un núcleo de confianza” del AD “que contenga todos los recursos que tienen control sobre las identidades de la empresa”.