Nouvelles fonctionnalités

Effectuez des collectes de terminaux à distance en toute confiance

En tant qu’examinateur en criminalistique travaillant dans l’environnement de l’entreprise, vous disposez d’une poignée d’outils pour vous aider dans vos enquêtes. Vous avez vos outils hérités tels qu’EnCase, peut-être un outil dédié aux acquisitions à distance tel que F-Response, et probablement d’autres outils personnalisés open source pour vous aider.

Cependant, il est important de choisir l’outil approprié pour pouvoir travailler de façon rapide et efficace. Dans le cas contraire, vous pourriez perdre un temps précieux à lutter contre votre technologie au lieu de lutter contre les menaces et les attaques sur lesquelles vous enquêtez.

Pourquoi il est important d’avoir l’outil approprié

Jetons un coup d’œil à un exemple simple expliquant pourquoi il est important d’avoir une boîte à outils appropriée.

Il est possible que le scénario suivant vous semble un peu trop familier...

Vous recevez une notification de votre analyste SOC vous indiquant la présence d’une éventuelle activité malveillante dans un terminal situé dans l’un de vos bureaux satellites à l’autre bout du monde. Vous envisagez le pire : intrusion dans le réseau, attaque par logiciel malveillant ou rançongiciel, vol de propriété intellectuelle, exfiltration de données, etc. En parcourant cette liste d’éventualités, vous grognez parce que vous savez que :

  1. Le temps va être un facteur essentiel et vous allez faire face à un ensemble d’intervenants (notamment la moitié du SOC, la haute direction et le service informatique) qui attendront que vous effectuiez la collecte à distance.
  2. Il va être difficile d’effectuer l’acquisition à distance avec vos outils actuels (supposons qu’il s’agisse d’EnCase). Vous ignorez si vous serez en mesure de vous connecter à l’agent qui se trouve déjà sur le terminal cible et, même si vous y parvenez, il est très probable (voire inévitable) que vous manquiez de temps et deviez reprendre la collecte du début. Vous espérez aussi que le terminal cible n’est pas un Mac car, dans le cas contraire, il est peu probable que votre outil actuel de collecte à distance fonctionne.

Utiliser Magnet AXIOM Cyber pour créer un agent secret et commencer l’enquête

Il n’est pas nécessaire que les choses se passent ainsi...

Imaginez maintenant cela : cette même notification de votre analyste SOC arrive, vous ressentez cette montée d’adrénaline, vous vous précipitez sur votre nouvel outil de criminalistique Magnet AXION Cyber et vous créez rapidement un agent secret que vous allez déployer sur le terminal cible.

Vous avez la bonne idée de nommer cet agent « explorer.exe », car vous savez que l’utilisateur final ne se méfiera pas de ce nom et qu’il ne devinera pas qu’une acquisition à distance a lieu. L’agent est déployé et se connecte en quelques secondes. Vous êtes sûr que la collecte se passera sans problème, car même si le terminal se déconnecte, votre collecte sera mise en pause avant de reprendre à l’endroit exact où elle s’était arrêtée.

Vous terminez l’acquisition, puis vous commencez votre enquête dans le même outil, AXIOM Cyber. Vous découvrez qu’une activité malveillante est bien en cours (l’utilisateur a cliqué sur un lien dans un e-mail qui était une attaque d’hameçonnage) et vous alertez votre analyste SOC qui, à son tour, résoud le problème puis vous envoie ce Giphy sur Slack : Vous découvrez qu’une activité malveillante est bien en cours (l’utilisateur a cliqué sur un lien dans un e-mail qui était une attaque d’hameçonnage) et vous alertez votre analyste SOC qui, à son tour, résoud le problème puis vous envoie ce Giphy sur Slack :

Au fait, le terminal était un Mac, mais cela ne vous inquiétait pas parce qu’AXIOM Cyber ne vous a jamais déçu lors des collectes depuis un Mac (même lorsque ces appareils sont dotés de puces de sécurité T2 et qu’ils ont la protection de l’intégrité du système activée).

Ce scénario est rendu possible grâce à Magnet AXIOM Cyber : une plateforme de criminalistique qui peut effectuer des acquisitions à distance, ainsi que l’analyse et la production de rapports.

Regardez cette vidéo pour découvrir la collecte à distance d’un Mac en action :

Prêt à essayer Magnet AXIOM Cyber ?Demandez un essai gratuit ou visitez https://www.magnetforensics.com/products/magnet-axiom-cyber/ pour en savoir plus.

Holo, transparent letter M

Abonnez-vous dès aujourd’hui pour recevoir directement les actualités de Magnet Forensics concernant les dernières mises à jour de produits, les tendances du secteur et les nouveautés de l’entreprise.

Commencez dès aujourd’hui à moderniser vos enquêtes numériques.

Haut