CLOUD & STORAGE CYBERSÉCURITÉ INFRASTRUCTURES / RÉSEAUX / DATACENTERS

FROM RANSOMWARE TO RESILIENCE

La plupart des entreprises ont mis en place une stratégie de résilience des données sous la forme d'un plan de continuité des activités et de reprise après sinistre (BC/DR), mais les technologies et les processus conçus pour assurer la résilience des données ne garantissent pas toujours une véritable cyber-résilience à l'ère des ransomwares.

Pour créer une entreprise cyber-résiliente, il faut mettre en place une communication, une collaboration, des outils de sécurité, des systèmes d'authentification, des plateformes de sauvegarde et toute une série d'autres systèmes afin de :

• Enquêter sur les circonstances de l'attaque
• Communiquer avec les personnes concernées, les régulateurs et les forces de l'ordre
• Atténuer le risque de récidive
• Reprendre la production

Les cyberattaques destructrices, également appelées attaques par effacement (wiper attacks), modifient le processus traditionnel de détection-réponse-récupération pour le rendre plus itératif, avec la nécessité de rétablir les capacités de réponse et de communication avant même que les enquêtes sur la cyber-résilience et les workflows de résilience des données puissent commencer.

Dans ces cas, la plateforme de sauvegarde et de récupération devient essentielle pour servir de source fiable d'informations pour les intervenants chargés des incidents.

Pour atteindre la cyber-résilience et résister aux cyberattaques modernes, les entreprises doivent prendre en compte deux domaines fondamentaux pour réussir

1. La capacité de récupération doit être hors de portée des adversaires.
2. La planification de la réponse doit prévoir la récupération rapide non seulement des systèmes de production, mais aussi des plateformes de sécurité, d'authentification et de communication nécessaires pour répondre efficacement à l'incident.

La nature itérative du cycle récupération-réponse-récupération dans les attaques par ransomware et wiper exige que les équipes de sécurité et d'exploitation informatique travaillent en étroite collaboration afin de minimiser l'impact de ces attaques.

 

Création d'un programme de cyber-résilience

Dans les scénarios traditionnels de continuité des activités et de reprise après sinistre, tels que les inondations, les incendies et les catastrophes naturelles, la cause profonde de l'événement peut être déterminée rapidement. Dans le cas d'une attaque par ransomware, l'adversaire s'efforce activement d'empêcher toute récupération afin de s'assurer que la seule option de la victime est de payer une rançon.

Ces attaquants s'adaptent en permanence aux défenses de leur cible, ce qui rend indispensable un programme d'enquête et d'intervention normatif pour établir la nature de l'attaque et comprendre le processus de récupération approprié. L'enquête permet également aux organisations de mettre en évidence les vulnérabilités qui ont permis à l'attaque de réussir et de renforcer leurs défenses afin d'éviter de nouveaux incidents. Cela contraste avec une catastrophe traditionnelle, où la réponse peut être quasi instantanée.

Pour résister à une cyberattaque, voire y survivre, il ne suffit pas d'avoir un plan d'utilisation de la technologie. Les équipes informatiques et de sécurité doivent comprendre les attaquants et les types d'attaques qu'ils lancent. Ce type de renseignements leur permet de créer des défenses ciblées, ce qui leur donne de meilleures chances de bloquer les attaques ou de les détecter plus tôt. Des cadres tels que MITRE ATT&CK permettent aux organisations de quantifier les menaces et de communiquer les mesures correctives de manière standardisée.

Par exemple, les attaquants ont différents moyens d'action lorsqu'ils s'installent dans l'environnement avant d'activer le ransomware. Dans certains cas, il peut s'agir simplement d'exécuter le programme malveillant, tandis que dans d'autres cas, l'attaquant peut choisir de rester présent dans le réseau et prévoir de futures attaques. La durée de l'infiltration peut aller de quelques jours à plusieurs mois. Connaître le mode opératoire d'un adversaire dans l'environnement permet aux équipes de sécurité de rechercher de manière proactive les indicateurs d'une attaque.

Dans le cas d'une attaque par ransomware, les systèmes sont entièrement compromis avant même que le chiffrement ou l'exfiltration des données ne commence. Cette prise de contrôle du réseau permet aux attaquants de contrecarrer les efforts de récupération et de lancer de nouvelles attaques afin d'extorquer plusieurs rançons. Ce type de ransomware, appelé « double-bubble » ou « double-tap », est de plus en plus utilisé par les attaquants pour générer des revenus réguliers.

Pour la victime, une seule attaque peut être dévastatrice, car elle peut l'empêcher de fournir des biens et des services. Mais le fait d'être soumis à de multiples attaques augmente le risque de pertes secondaires, notamment :

• Atteinte à la réputation

• Litiges avec les personnes concernées et les partenaires

• Amendes réglementaires pour ne pas avoir protégé de manière appropriée les informations des personnes concernées.

Pour compliquer encore les choses, plus un pirate informatique reste longtemps dans le réseau, plus il est probable que les artefacts de l'attaque soient stockés dans les sauvegardes. Si ces artefacts sont récupérés sans être identifiés et supprimés, l'attaque peut redémarrer. De tels scénarios se produisent souvent lorsque les organisations qui se sont remises d'une attaque par ransomware ne s'assurent pas de récupérer des données propres.

Les organisations doivent suivre les processus de criminalistique numérique et de réponse aux incidents (DFIR) afin de s'assurer que les données récupérées dans les centres d'opérations de sécurité sont propres.

Historiquement, le DFIR s'appuie sur :

• La création d'une image criminalistique d'un hôte compromis
• L'application de processus et d'outils d'investigation pour identifier la chronologie de l'incident
• La recherche et l'analyse des artefacts binaires utilisés dans l'attaque
• La découverte des méthodes d'escalade des privilèges et de persistance utilisées
• La recherche d'autres systèmes compromis afin d'étendre la portée de l'incident
• La recherche des vulnérabilités à corriger avant la remise en production d'une plateforme
• La recherche des raisons pour lesquelles les contrôles préventifs et de détection n'ont pas stoppé ou détecté l'attaque.

En général, ces tâches sont effectuées dans un environnement de récupération isolé (IRE) ou un environnement « salle blanche / clean room ».

Bien sûr, l'imagerie judiciaire d'un système qui a été effacé ou crypté ne fournira pas de preuves significatives, c'est pourquoi les intervenants en cas d'incident ont commencé à s'appuyer sur des référentiels de sauvegarde pour leurs enquêtes. L'utilisation des données de sauvegarde leur permet de voir les changements au fil du temps et de suivre le cycle de vie de l'attaque.

Cohesity fournit une plateforme immuable et fiable sur le plan judiciaire pour lancer le processus DFIR. Les enquêteurs ont accès à des instantanés historiques du système de fichiers qui peuvent être rapidement instanciés et orchestrés via une API, fournissant non seulement le contexte des systèmes touchés, mais aussi un aperçu du système de fichiers pendant toute la durée de l'incident. C'est comme si l'analyste disposait d'un super-pouvoir lui permettant de voyager dans le temps. Les analystes peuvent comparer les systèmes de fichiers au fil du temps pour identifier les techniques utilisées par les adversaires, comme la modification des fichiers de configuration pour maintenir la persistance, le remplacement de fichiers binaires et de bibliothèques légitimes par des copies malveillantes, ou l'identification d'autres artefacts malveillants utilisés dans l'attaque.

L'intégration de l'infrastructure de sauvegarde dans le processus DFIR permet de mener à bien les enquêtes avant que les données ne soient remises en production. Le défi ici : cela peut avoir un impact négatif sur l'objectif de temps de récupération (RTO) fixé par l'organisation. Après tout, la plupart des calcul de RTO ne tiennent pas compte des enquêtes nécessaires lors d'une cyberattaque.

L'utilisation des sauvegardes pour créer un environnement de salle blanche réduira le temps d'arrêt global et garantira la propreté des données restaurées, éliminant ainsi la nécessité de recommencer le processus en cas de réinfection. Cela aide les organisations à respecter leurs RTO et à éviter des temps d'arrêt prolongés.

 

La cyber-résilience, de la planification à l'exécution

SOYEZ PRÊT

Mettez en place une équipe interfonctionnelle chargée de la résilience face aux ransomwares, composée de toutes les parties prenantes.

Les incidents liés aux ransomwares sont différents des autres cyberattaques. Ils ont un impact sur l'ensemble de l'organisation et sur sa capacité à fournir des produits et des services à ses clients. Chaque seconde passée à réagir et à rétablir la situation représente une perte importante. Le personnel ne peut ni communiquer ni faire son travail. La presse sera impatiente de publier des articles sur l'incident. Et les clients seront frustrés. Il est essentiel de s'assurer que tous les membres d'une organisation connaissent leur rôle en cas de cyberattaque.

Cela implique de déterminer :

• Comment la communication se fera si les principaux moyens, tels que le courrier électronique, sont hors service
• Qui prendra la direction des opérations pour chaque fonction et chaque étape de la réponse
• Quelle procédure suivre si un membre de l'équipe n'est pas disponible et qui sera le contact secondaire

Les employés qui ne sont pas directement impliqués dans la réponse et la reprise doivent également savoir ce que l'on attend d'eux. Pourquoi ?

Parce qu'en l'absence d'informations fiables, les rumeurs et les conjectures peuvent entraver la réponse et ralentir la reprise.

Réalisez une simulation réaliste de ransomware avec toutes les parties prenantes.

L'un des meilleurs moyens de rassembler l'organisation est de réaliser une simulation réaliste de ransomware qui se concentre sur les spécificités de votre organisation. Vous obtiendrez ainsi un aperçu des menaces et des défis auxquels vous serez probablement confronté lors d'une véritable attaque par ransomware.

Tenez compte de tous les impacts dans le calcul du risque lié au ransomware. Les impacts comprennent :

• Impact principal :
  • l'incapacité de l'organisation à fournir ses produits et services.
• Impacts secondaires :
  • Coûts opérationnels liés à l'enquête et à la réponse aux incidents, y compris les services professionnels et les paiements éventuels à l'opérateur du ransomware.
  • Atteinte à la réputation de l'organisation.
  • Amendes réglementaires liées à l'incident de ransomware ou paiement à des entités sanctionnées.
  • Perte de capital intellectuel.
  • Litiges avec des partenaires ou des clients liés à des violations de données.

Intégrez le risque de ransomware dans la gestion des risques de l'entreprise.

Bien que cela semble évident, de nombreuses entreprises ne considèrent pas l'impact des ransomwares comme un risque opérationnel important. L'intégration du risque lié aux ransomwares dans la gestion des risques de l'entreprise permet d'établir des niveaux de gouvernance appropriés afin d'obtenir un soutien adéquat pour les politiques de cybersécurité et contribue à maintenir des niveaux appropriés de gestion des risques.

Créez une politique anti-ransomware à l'échelle de l'organisation. Elle doit prévoir les éléments suivants :

• Définissez des critères clairs pour qu'un incident soit déclaré comme une attaque par ransomware. Les workflows pour répondre et se remettre d'un ransomware diffèrent de ceux qui traitent les logiciels malveillants traditionnels et l'exfiltration de données. Les critères qui permettent à un analyste SOC de déclarer un incident doivent être établis afin qu'il puisse prendre les mesures appropriées d'investigation, de confinement et d'éradication. Sans cette clarté, une attaque par ransomware peut se propager au sein d'une organisation pendant que le SOC cherche à obtenir l'autorisation de prendre ces mesures.
• Définissez votre stratégie de sauvegarde informatique. La stratégie de sauvegarde pour les scénarios de cyber-résilience peut différer de la stratégie de résilience des données pour les événements traditionnels de reprise après sinistre et de continuité des activités. Elle dépend de la structure et de la maturité des capacités de réponse et de récupération.
  • Sauvegarde des données uniquement : mettez en place les serveurs nécessaires pour enquêter sur l'incident et reconstruire l'infrastructure à partir de zéro, puis récupérez les données. Cette politique doit définir la manière dont les images Maitres utilisées pour la récupération sont conservées, y compris la recherche de vulnérabilités et de configurations incorrectes.
  • Sauvegarde de l'infrastructure : récupérez l'ensemble de l'infrastructure, puis nettoyez-la en restaurant différentes parties à différents points en fonction de la réponse à l'incident.
• Définissez des catégories de résilience opérationnelle. Basez ces catégories sur votre analyse d'impact commercial déjà établie en matière de résilience des données, et incluez la capacité à mettre en place nos outils d'intervention dans une salle blanche et vos stratégies de sauvegarde de la cyber-résilience.
  • Incluez la capacité de récupérer l'infrastructure de communication et de sécurité nécessaire pour répondre à l'incident et s'en remettre. Prenez en compte :
    • Le contrôle d'accès physique
    • Les services de noms de domaine
    • Les communications vocales
    • Les e-mails
    • Les plateformes de collaboration utilisées pour coordonner la réponse
    • La gestion des cas
    • Les outils d'analyse et de réponse aux incidents
    • L'analyse et la gestion des vulnérabilités
    • La gestion des identités et des accès.
• Définissez dans quelles conditions l'organisation envisagerait de payer la rançon.
  • Comment l'organisation obtiendrait-elle les fonds nécessaires pour payer la rançon ?
  • La police d'assurance de l'organisation couvre-t-elle le paiement d'une rançon ?
  • L'assureur considère-t-il les auteurs de ransomware comme des combattants ?
  • L'assureur couvre-t-il les paiements versés à des entités sanctionnées ?
  • Quelle est l'approche de l'organisation en matière de négociation avec un opérateur de ransomware ?
  • Quelles sont les implications en termes de réputation, de réglementation et de criminalité, par exemple si le groupe payé est sanctionné ?
  • Comment votre organisation obtiendrait-elle la cryptomonnaie nécessaire pour payer la rançon ? Tenez compte du temps nécessaire pour confirmer les délais de la procédure.
• Veillez à ce que la politique en matière de ransomware soit mise à jour régulièrement : cela permettra de mieux refléter la nature changeante des attaques par ransomware.

SOYEZ PROACTIF

Comprenez les opérateurs de ransomware et leurs outils, techniques et procédures (TTP).

• Obtenez des renseignements gouvernementaux, commerciaux ou open source sur les gangs, les campagnes et les techniques de ransomware.
• Donnez la priorité à la collecte et à l'analyse de renseignements sur les opérateurs de ransomware et ceux qui mènent des attaques de type « wiper » dans votre marché vertical ou votre zone géographique.
• Cartographiez les techniques qu'ils utilisent par rapport au cadre MITRE ATT&CK.
• Planifiez des tests de phishing réguliers, en intégrant les dernières techniques utilisées par les gangs de ransomware.
• Veillez à ce que les vulnérabilités exploitées par les opérateurs de ransomware soient traitées en priorité dans votre programme de gestion des vulnérabilités.
• Comprenez comment les opérateurs de ransomware exploitent les relations entre les tiers et les fournisseurs de services gérés pour cibler des organisations similaires à la vôtre. Tenez-en compte dans vos évaluations et contrôles des risques liés aux tiers.

Documentez et conservez les coordonnées. Incluez tous les membres et membres suppléants de votre équipe d'intervention, le personnel clé et les principales parties prenantes, idéalement via un canal de communication hors bande qui ne serait pas affecté par un incident de ransomware.

Créez des canaux de signalement. Incluez des tiers tels que des clients, des organisations homologues et des partenaires de la chaîne d'approvisionnement pour signaler les incidents de ransomware.

Créez un canal de signalement interne permettant aux employés de signaler tout comportement de type ransomware. Enregistrez :

• le nom et le rôle de la personne qui effectue le signalement.
• Quand cela s'est produit.
• Ce qu'elle a remarqué.
• Pourquoi elle pense qu'il s'agit d'un ransomware.
• Ce qu'elle faisait à ce moment-là.
• Où elle se trouvait physiquement et à quels réseaux elle était connectée.
• Quel compte elle utilisait.
• Quel(s) système(s) utilisait-il (système d'exploitation, nom d'hôte, adresse IP) ?
• Sur quel compte était-il connecté ?
• Qui a-t-il contacté et que leur a-t-il dit ?
• À quoi accède-t-il généralement dans le cadre de ses fonctions ?

Créez un canal de signalement permettant aux forces de l'ordre et aux agences de cybersécurité de signaler les incidents liés à des ransomwares ou des logiciels de suppression impliquant votre organisation.

Constituez une équipe de réponse aux cybercrises. Elle doit comprendre :

• Des dirigeants de l'entreprise
• Des responsables informatiques (y compris la gestion de la récupération et des vulnérabilités)
• Des responsables des opérations (le cas échéant)
• Des responsables de la sécurité (y compris le responsable de la réponse aux incidents, les experts en criminalistique numérique et, si l'organisation en dispose, les équipes de rétro-ingénierie des logiciels malveillants, de recherche et de veille sur les menaces)
• Des conseillers juridiques
• Des responsables des relations publiques
• Des responsables des ressources humaines

Si nécessaire, faites appel aux services d'une organisation spécialisée dans la réponse aux incidents.

• Obtenez une autorisation préalable pour engager l'organisation spécialisée dans la réponse aux incidents.
• Si vous faites appel à un assureur pour la réponse aux incidents, sachez qu'il peut également rechercher des preuves de non-conformité afin de contrôler les attestations fournies lors de la souscription de la police, en plus de traiter l'incident de ransomware proprement dit.

Rédigez des modèles de déclarations et d'annonces de violation. Le fait d'avoir rédigé l'essentiel d'une déclaration vous permettra de réagir plus rapidement et d'éviter les spéculations, même si vous devez ajouter des détails par la suite.

• Nommez un porte-parole et un remplaçant pour l'organisation, qui soient tous deux formés aux médias et à la communication en cas de violation.
• Préparez un canal de communication (qui ne sera pas affecté par un incident) pour les briefings et les interviews avec les médias.

Établissez à l'avance des relations avec les forces de l'ordre et les équipes nationales d'intervention en cas d'urgence informatique.

Faites examiner par un conseiller juridique tout accord avec les forces de l'ordre.

Faites examiner par un conseiller juridique les plans d'intervention et les déclarations proposés, ainsi que les responsabilités civiles, réglementaires et pénales potentielles.

 

REDUISEZ LA SURFACE D'ATTAQUE

Donnez la priorité aux correctifs des systèmes présentant des vulnérabilités souvent exploitées par les groupes de ransomware. Identifiez les vulnérabilités critiques des actifs et corrigez-les.

Renforcez la sécurité des systèmes. Donnez la priorité aux systèmes critiques et aux vecteurs d'attaque utilisés par les groupes de ransomware qui ont été découverts grâce à votre service de renseignements sur les menaces. Configurez correctement les appareils avec des ports et des protocoles et désactivez ceux qui ne sont pas utilisés à des fins professionnelles. Les opérateurs de ransomware utilisent des outils légitimes dans le cadre d'attaques « Living off the Land », donc restreindre l'accès à ces outils réduit le risque d'attaque.

Suivez les meilleures pratiques pour l'utilisation du protocole RDP (Remote Desktop Protocol) et d'autres services de bureau à distance. Les services d'accès à distance constituent un vecteur d'accès initial privilégié pour les opérateurs de ransomware. Appliquez le verrouillage des comptes après un nombre spécifié de tentatives, l'authentification multifactorielle et la journalisation de toutes les tentatives de connexion au bureau à distance. Assurez-vous que l'accès à distance est justifié par une raison commerciale valable pour les services de bureau à distance. Auditez votre réseau pour détecter toute utilisation non autorisée des services de bureau à distance.

Désactivez ou bloquez les protocoles de partage de fichiers. Cela inclut le protocole SMB (Server Message Block) sortant et la suppression ou la désactivation des versions obsolètes des protocoles de partage de fichiers. Les acteurs malveillants utilisent les protocoles de partage de fichiers pour propager des logiciels malveillants dans les organisations.

Assurez-vous que les identifiants et les droits d'accès sur tous les systèmes sont gérés selon le principe du moindre privilège et limitez le nombre de comptes privilégiés.

Empêchez l'utilisation de comptes privilégiés pour les activités quotidiennes.

Mettez en place une segmentation du réseau. La segmentation du réseau reste l'un des moyens les plus efficaces pour limiter la propagation des ransomwares et augmenter les chances de détecter les mouvements latéraux.

Utilisez des configurations de base et contrôlez les changements de mise en œuvre. L'utilisation de configurations de base et la connaissance des changements permettent de comparer les images de sauvegarde à celles dont on sait qu'elles sont valides lors des enquêtes.

Identifiez les référentiels de données mal sécurisés au sein de votre organisation. La classification des données Cohesity DataHawk analyse les sauvegardes afin d'identifier les données sensibles sans affecter les systèmes de production. Cette vue d'ensemble de l'emplacement des données sensibles permet aux organisations d'évaluer les risques.

PROTEGEZ VOS SAUVEGARDES

Assurez-vous que les systèmes de sauvegarde sont suffisamment isolés. Cela devrait empêcher leur suppression ou leur corruption par des adversaires. Cohesity FortKnox améliore la cyber-résilience grâce à une copie immuable des données dans un coffre-fort cloud géré par Cohesity via un isolement virtuel.

Assurez-vous que les systèmes de sauvegarde utilisent des supports de données immuables qui les empêchent d'être corrompus ou supprimés par des adversaires. Cohesity Data Cloud, par exemple, est construit sur une plateforme de stockage immuable avec une fonctionnalité Data Lock qui empêche même les personnes disposant de privilèges élevés de supprimer les sauvegardes.

Utilisez l'authentification multifactorielle sur les comptes d'administrateur de sauvegarde. Mettez en œuvre plusieurs options au cas où votre serveur principal de gestion des identités et des accès serait affecté par un ransomware. Cohesity prend en charge les approches multifactorielles SSO et TOTP.

Utilisez le contrôle d'accès basé sur les rôles (RBAC) pour attribuer le moins de privilèges possible. Les utilisateurs de votre système de sauvegarde ne doivent se voir attribuer que les privilèges minimaux nécessaires à l'exécution des tâches liées à leur rôle. Cohesity dispose d'un RBAC granulaire pour prendre en charge le principe du moindre privilège.

Assurez-vous que les systèmes de sauvegarde disposent d'une séparation des tâches afin d'empêcher un compte administrateur compromis d'effectuer des modifications malveillantes. La fonctionnalité Quorum de Cohesity permet aux organisations de définir plusieurs niveaux d'autorisation pour les tâches liées à la sauvegarde et à la restauration.

Adoptez une stratégie de sauvegarde 3-2-1. Conservez trois copies de vos données sur deux supports différents, dont au moins une copie hors site.

Testez régulièrement les sauvegardes. Les tests de sauvegarde doivent être réguliers et automatisés. Communiquez les résultats des tests afin que des mesures correctives puissent être prises si nécessaire. Cohesity DataProtect prend en charge les tests automatisés.

Collecter et rapporter les mesures relatives à la couverture des sauvegardes effectuées/échouées/testées des systèmes critiques.

Garantir une capacité suffisante de l'infrastructure de sauvegarde pour permettre la croissance.

S'assurer que le système de sauvegarde peut prendre en charge les fonctions de cybersécurité nécessaires pour répondre à un incident de ransomware. Lors d'un incident, l'équipe de sécurité ne peut pas créer d'image forensic du système victime, car celui-ci est crypté. Elle devra s'appuyer sur le système de sauvegarde pour pouvoir enquêter sur l'incident. Cohesity a intégré des capacités de réponse, telles que la classification des données, les flux de renseignements sur les menaces et la recherche, dans sa plateforme de gestion des données. Cohesity propose également des solutions préintégrées avec des fournisseurs de sécurité de premier plan tels que Splunk, Cisco, Palo Alto, Tenable, Qualys, Crowdstrike et ServiceNow par l'intermédiaire de la Data Security Alliance.

Créez et maintenez des Golden Masters des systèmes critiques afin d'accélérer la reconstruction après un incident. Maintenez des modèles d'image qui incluent un système d'exploitation préconfiguré et les logiciels associés pouvant être rapidement déployés pour reconstruire un système dans la salle blanche.

RENFORCEZ VOTRE PROTECTION CONTRE LES RANSOMWARES

Identifiez les lacunes dans votre couverture préventive et détective existante contre les techniques ATT&CK utilisées par les groupes de ransomwares. Faites-le de manière continue afin de maximiser vos chances de prévention ou de détection à mesure que vos adversaires adaptent leur comportement.

• Les indicateurs de compromission (IOC) typiques qui peuvent être utilisés dans les phases de prévention, de détection et de réponse comprennent :
  • Transactions de fichiers anormales (écarts dans le volume de chiffrement et de suppression)
  • Temps de démarrage suspect des services et des applications
  • Présence de services et d'applications inconnus et inattendus
  • Présence de logiciels d'accès à distance/VPN non autorisés
  • Baisse des performances du système (augmentation de l'utilisation du CPU/de la RAM)
  • Dégradation/désactivation des performances des instruments de sécurité de l'hôte : agents de sécurité désactivés
  • Connexions à des noms de domaine et adresses IP inconnus/inattendus
  • Incompatibilités de protocoles
  • Hachages de fichiers connus pour être malveillants
  • Modifications suspectes des fichiers de configuration
  • Trafic entrant et sortant ou source/destination anormaux
  • Processus et texte suspects dans les vidages de mémoire
  • Comptes suspects parmi les utilisateurs connectés (historiques et actuels)
  • Partages réseau suspects et partages réseau montés
  • Comptes d'utilisateurs suspects
  • Certificats installés suspects
  • Entrées suspectes dans les caches ARP et DNS
  • Anomalies dans la date/l'heure sur les systèmes, dans les fichiers journaux ou sur les serveurs NTP
  • Entrées ou baux suspects dans les journaux DHCP
  • Chaînes d'agent utilisateur anormales
  • Balises et mises à jour d'applications non standard
  • Binaires dans la capture complète des paquets

Testez le contenu préventif et détectif. Testez toutes les règles créées par rapport aux IOC des ransomwares.

Mettez en œuvre la détection des anomalies du système de fichiers des postes de travail qui correspondent aux attaques de ransomwares et de wiper, telles que le chiffrement ou la suppression de fichiers. Cohesity utilise l'apprentissage automatique pour identifier ces modèles.

Mettez en œuvre des filtres de passerelle de messagerie pour bloquer les e-mails présentant des indicateurs malveillants connus.

Mettez en place un mécanisme permettant de supprimer les e-mails identifiés comme contenant du contenu lié à des ransomwares des boîtes mail des utilisateurs.

Mettez en place une politique et une vérification DMARC (Domain-based Message Authentication Reporting and Conformance) pour empêcher l’usurpation d’e-mail et de domaine. Vous serez ainsi moins susceptible de recevoir des e-mails usurpés ou modifiés provenant de domaines valides.

Désactivez les macros pour les fichiers Microsoft Office transmis par e-mail, sauf en cas de nécessité professionnelle spécifique.

Utilisez des applications qui permettent de répertorier/mettre sur liste blanche les actifs critiques afin de garantir que seuls les logiciels autorisés peuvent s'exécuter. Sur les plateformes Windows, utilisez la politique de restriction logicielle de Microsoft ou AppLocker. Utilisez des listes d'autorisation de répertoires plutôt que d'essayer de répertorier toutes les applications possibles. Une restriction par défaut de l'exécution de nombreux vecteurs d'attaque par ransomware permet aux applications de s'exécuter à partir de PROGRAMFILES, PROGRAMFILES(X86) et SYSTEM32, mais cela n'empêchera pas les attaques « living of the land ». Interdisez tous les autres emplacements, sauf si une exception est accordée pour une application spécifique.

Comprenez les pratiques de gestion des risques et d'hygiène informatique de la chaîne d'approvisionnement, des partenaires tiers et des fournisseurs de services gérés (MSP). De nombreuses attaques par ransomware sont facilitées par des tiers.

• Comprenez le rôle de l'entreprise et de ses partenaires dans la gestion et le contrôle des risques informatiques. Assurez-vous que les rôles et les responsabilités sont clairement définis et mesurés et que des mécanismes de mesures correctives sont inclus dans les accords contractuels.

Utilisez l'authentification multifactorielle pour autant de services que possible, en particulier pour l'accès à distance et les comptes privilégiés.

Mettez en œuvre une segmentation logique ou physique du réseau afin de séparer les unités commerciales ou les catégories de ressources informatiques, ainsi que tous les environnements de technologie opérationnelle (OT). Cela limitera la propagation des ransomwares en cas d'attaque.

Réduisez les possibilités d'utilisation de PowerShell dans les attaques de type « Living off the Land ».

• Limitez l'utilisation de PowerShell à des utilisateurs spécifiques au cas par cas.
• Mettez à jour PowerShell vers la version 5.0 ou ultérieure, désinstallez toutes les versions antérieures de PowerShell.
• Assurez-vous que la journalisation des modules, des blocs de scripts et des transcriptions est activée.
• Assurez-vous que le journal des événements Windows « PowerShell » et le journal « PowerShell Operational » ont une période de conservation d'au moins 180 jours sur les systèmes où PowerShell est activé.

Analysez l'historique du trafic réseau à la recherche de modèles de trafic est-ouest et nord-sud anormaux. Utilisez les métadonnées du trafic réseau (NetFlow/sFlow) ou, si possible, la capture complète des paquets ou un système de détection/prévention des intrusions réseau.

Sécurisez les contrôleurs de domaine.

• Assurez-vous qu'aucun logiciel supplémentaire n'est installé sur les contrôleurs de domaine, à l'exception des agents de gestion des données et de sécurité. L'accès aux contrôleurs de domaine doit être limité au groupe des administrateurs. Tous les utilisateurs de ce groupe doivent utiliser un compte restreint distinct pour leurs activités quotidiennes.
• Configurez le pare-feu hôte sur les contrôleurs de domaine pour empêcher l'accès à Internet.
• Activez Kerberos pour l'authentification et activez l'audit NTLM pour vous assurer que seules les réponses NTLM v2 sont envoyées sur le réseau, si possible.
• Auditez LSASS.EXE pour comprendre quelles applications seraient affectées si les protections d'authentification de sécurité locale étaient activées. Cela empêchera l'injection de code d'acquérir des informations d'identification et activera ces protections si l'impact est acceptable.
• Assurez-vous que la signature SMB est requise entre les hôtes et les contrôleurs de domaine. Cela empêche l'utilisation d'attaques par rejeu sur le réseau.

RENFORCEZ VOTRE DETECTION DE RANSOMWARES

Recherchez de manière proactive les compromissions à l'aide des données historiques. Utilisez les nouvelles informations sur les menaces et les IOC liés aux groupes de ransomwares pour lesquels il n'existe aucune règle de prévention ou de détection. Cohesity inclut un flux d'informations intégré sur les menaces qui fournit plus de 110 000 IOC utilisés par les groupes de ransomwares et permet de rechercher leur présence dans les sauvegardes. En recherchant passivement les sauvegardes plutôt que les systèmes en direct, les attaquants ne peuvent pas détecter cette activité, qui n'est donc pas soumise aux techniques de contournement de la défense utilisées par les adversaires contre les solutions de point d'extrémité. En outre, les périodes de conservation des sauvegardes sont généralement plus longues que celles des solutions de sécurité, ce qui permet d'étendre l'horizon de détection.

Mettez en place un mécanisme pour détecter les changements inhabituels dans l'utilisation du processeur et du disque. Ces mesures sont généralement collectées par les plateformes d'exploitation informatique, mais elles peuvent également être transmises à l'équipe de sécurité en tant que signaux supplémentaires afin d'améliorer la détection.

Identifiez les protocoles réseau inhabituels. Il s'agit notamment des protocoles I2P ou TOR, connus pour être utilisés par les groupes de ransomware.

Identifiez les connexions réseau utilisant des ports ou des destinations connus utilisés dans les commandes et contrôles des ransomware et des wiper.

REAGISSEZ A L'INCIDENT

Identifiez et regroupez les alertes similaires liées aux actifs touchés.

Créez une estimation initiale des pertes (rayon d'impact) de l'incident, notamment :

• Nombre estimé de terminaux cryptés/effacés
• Chaînes de valeur commerciales touchées par les systèmes cryptés/effacés
• Obligations réglementaires relatives aux données touchées (nombre d'enregistrements, types de données)
• Toute preuve d'exfiltration

Localisez les environnements en amont de la production utilisés pour l'exfiltration des données. Identifier les systèmes de votre réseau qui présentent une augmentation inattendue du volume de données ou d'autres types de données que vous ne vous attendiez pas à trouver sur cet hôte. Cohesity recherche automatiquement les sauvegardes des systèmes affectés afin d'identifier l'impact réglementaire potentiel des incidents liés aux ransomwares.

Isoler les hôtes infectés des réseaux câblés et sans fil.

Si la variante du ransomware est connue et qu'elle se propage, bloquez les communications et les canaux d'infection connus (pare-feu hôte ou réseau, passerelles de messagerie, contrôle d'accès au réseau).

Activez la salle blanche. Si les outils de sécurité, les systèmes de communication, de collaboration ou de contrôle d'accès ont été affectés, installez rapidement des instances saines pour permettre le lancement des activités de réponse.

Restaurez la dernière sauvegarde des systèmes affectés dans un environnement de salle blanche. Celle-ci servira d'image forensic pour démarrer votre enquête. L'état du système à d'autres moments peut aider à établir des tendances historiques et à identifier les changements apportés au système de fichiers au fil du temps.

Redéployez des outils de détection/réponse/forensique fiables sur les systèmes à l'intérieur de la salle blanche. Les attaquants cibleront les outils des terminaux pour s'assurer qu'ils peuvent échapper à la détection. Cela réduit la confiance dans le bon fonctionnement des outils des terminaux. La réinstallation des outils des terminaux garantit leur bon fonctionnement et permet de renforcer la confiance dans l'exactitude des rapports générés par ces outils.

Si la variante du ransomware n'est pas connue, déterminez-la en procédant comme suit :

• Rassemblez les messages de rançon (fenêtres contextuelles graphiques, fichiers texte ou html, qui peuvent s'ouvrir automatiquement après le chiffrement ; fichiers image tels que les fonds d'écran sur les systèmes infectés qui contiennent des adresses e-mail de contact ; fichiers audio avec des demandes de rançon).
• Analysez les messages de rançon afin d'identifier le groupe de ransomware et la variante (nom du ransomware, langue utilisée, syntaxe, structure, phrases, illustrations, adresse e-mail de contact, noms d'utilisateur, type de paiement de la rançon [c'est-à-dire type de cryptomonnaie, cartes-cadeaux], adresse de paiement en cas de cryptomonnaie ; adresse du chat d'assistance ou URL d'assistance)
• Analysez les fichiers cryptés et autres artefacts créés (schéma de renommage et extension des fichiers cryptés ; types de fichiers ciblés ; emplacements des fichiers ciblés ; propriété des fichiers et groupe de fichiers affectés ; modifications des métadonnées des fichiers telles que les modifications en masse des dates de création/modification des fichiers ; visualisation de l'entropie et du tracé des octets ; icône utilisée pour les fichiers cryptés ; indicateurs de fichiers ; fichier contenant le manifeste des fichiers cryptés ou le matériel clé ; autres fichiers de données)
• Enquêtez plus en profondeur sur le vecteur d'infection, si nécessaire
• Extrayez les binaires suspects des systèmes de fichiers instanciés pour effectuer une ingénierie inverse s'il ne s'agit pas d'une variante connue
• Vérifiez les artefacts collectés pour identifier le groupe de ransomware et les variantes sur des sites tels que :
  • Ransomware Census (https://goo.gl/b9R8DE)
  • CryptoSheriff (https://www.nomoreransom.org/crypto-sheriff.php)
  • ID Ransomware (https://id-ransomware.malwarehunterteam.com/ )

Rechercher des preuves de persistance. Les instantanés historiques pris par Cohesity peuvent être instanciés pour permettre aux analystes d'examiner les systèmes de fichiers et de rechercher des preuves de persistance. Il s'agit notamment :

• des mécanismes de persistance « de l'extérieur vers l'intérieur », qui peuvent inclure l'accès authentifié à des systèmes externes via des comptes frauduleux, des portes dérobées sur les systèmes périphériques et l'exploitation des vulnérabilités des systèmes périphériques
• des mécanismes de persistance « de l'intérieur vers l'extérieur », qui peut inclure l'implantation de logiciels malveillants sur les systèmes internes ou diverses modifications de type « living-off-the-land » (notamment le déploiement de cadres de tests de pénétration commerciaux tels que Cobalt Strike ; l'utilisation de PsTools, en particulier PsExec, pour installer et contrôler à distance des logiciels malveillants et collecter des informations ; et l'utilisation de scripts PowerShell)

Capturez une image du contenu de la mémoire pour détecter les processus suspects ou les artefacts textuels.

Identifiez les clés de registre modifiées.

Identifiez les fichiers compressés récemment créés.

Examinez les processus et les tâches planifiés.

Auditez les services réseau actifs/en cours d'exécution par rapport à ce qui devrait fonctionner.

Exécutez le guide pratique sur la perte de données en cas de preuve de préparation ou d'exfiltration. Cohesity DataHawk peut identifier les données qui se trouvaient sur ces systèmes au moment de l'attaque, ce qui permet aux intervenants en cas d'incident d'identifier les obligations de conformité et d'informer les personnes concernées et les régulateurs.

Identifiez les vulnérabilités des systèmes exploités lors de l'attaque. Cohesity CyberScan permet aux intervenants en cas d'incident d'exécuter le scanner de vulnérabilités Tenable Nessus sur l'instantané pris près du point d'attaque, afin que vous puissiez créer un manifeste des correctifs à appliquer avant que le système ne soit remis en production et des vulnérabilités que les attaquants ont pu exploiter depuis le dernier scan de vulnérabilités planifié.

Identifiez les actifs utilisés pour les tests en recherchant la propriété intellectuelle, les informations financières ou les informations personnelles identifiables sur les actifs non autorisés. Les données sensibles peuvent être identifiées dans les environnements de pré-production à l'aide de la classification des données Cohesity DataHawk.

Extrayez les fichiers binaires suspects des systèmes de fichiers instanciés historiques. Analysez-les, procédez à leur rétro-ingénierie ou téléchargez-les vers des services tels que VirusTotal. L'instanciation des systèmes de fichiers historiques peut être orchestrée dans Cohesity à l'aide d'outils SOAR (Security Orchestration & Automated Response) tels que ServiceNow Security Incident Response, Splunk Phantom et Palo Alto XSOAR.

Extrayez les fichiers binaires suspects des systèmes de fichiers instanciés et activez-les dans un bac à sable d'analyse des logiciels malveillants.

Vérifiez si des systèmes similaires au sein de l'organisation sont infectés. Enquêtez sur les hôtes ayant des utilisateurs et des groupes similaires. Si les systèmes ne sont pas cryptés, comparez les instances de ces hôtes au système infecté afin d'identifier l'impact potentiel. Cohesity dispose de capacités d'indexation et de recherche qui permettent d'interroger rapidement l'infrastructure de sauvegarde d'une organisation.

Vérifiez les comptes locaux, les outils de gestion des identités et des accès, ainsi que les services d'annuaire pour détecter les nouveaux comptes ou les modifications des autorisations/droits d'accès.

Identifiez les autres systèmes qui tentent de se connecter à la commande et au contrôle du ransomware.

Continuez à suivre la chaîne d'investigation à l'aide du MITRE ATT&CK pour trouver le patient zéro, le vecteur d'infection initial et chaque terminal infecté.

Identifiez les contrôles préventifs ou de détection qui ont été contournés et le mécanisme utilisé. Ajoutez-les à votre plan d'atténuation afin de renforcer les contrôles avant de rétablir la production.

COMMUNIQUEZ

Communiquez avec la presse. Tenez la presse informée afin d'éviter toute spéculation préjudiciable.

Communiquez avec les personnes concernées par les données. Assurez-vous que toutes les notifications sont conformes aux obligations réglementaires et légales.

Communiquez avec les parties prenantes internes. Tenez votre personnel interne informé de la situation et de vos attentes à son égard, d'autant plus que la presse peut utiliser des plateformes telles que LinkedIn pour identifier les employés et les contacter directement.

Communiquez avec les autorités réglementaires afin de respecter les obligations réglementaires en matière de déclaration.

Informez votre compagnie d'assurance.

Informez les forces de l'ordre et le CERT national/sectoriel.

 

Récupérer après l'incident

Le scénario idéal serait de trouver et de supprimer l'infection, puis de restaurer les systèmes en production à l'aide d'outils tels que la restauration de masse instantanée (IMR). En réalité, vous aurez probablement une combinaison de systèmes restaurés et de systèmes reconstruits à partir d'une base nue. Pour entreprendre des restaurations à partir d'une base nue, vous devrez avoir accès à des « images de référence » des systèmes critiques, qui sont sécurisées et maintenues à jour avec les derniers correctifs testés. Ces modèles peuvent être rapidement déployés pour reconstruire les systèmes qui ne peuvent être restaurés. Ils peuvent également être sécurisés à l'aide des outils disponibles dans le Cohesity Data Cloud, afin qu'ils ne soient pas corrompus lors d'une cyberattaque. Vous pouvez ensuite restaurer le système d'exploitation de base et les applications, ainsi que les données associées à partir d'autres sauvegardes. Cela permet d'optimiser le RTO tout en créant des sauvegardes historiques des systèmes touchés à des fins d'analyse.

Au fur et à mesure que les données et les applications sont récupérées, vous devrez documenter l'incident et prendre des mesures pour éviter qu'il ne se reproduise.

Les organisations devront alors :

• Utiliser leurs connaissances sur le vecteur d'infection initial, les vulnérabilités exploitées et les mécanismes de persistance pour mettre à jour leurs plans de reprise afin de se protéger contre de futures attaques et de s'assurer que chaque composant peut être ramené à un état sûr et stable.
• Restaurer les systèmes restants dans la salle blanche et répéter les étapes ci-dessus, en mettant en quarantaine tout indicateur de compromission.
• Corriger les vulnérabilités trouvées.
• Réinitialiser les mots de passe de tous les systèmes et comptes affectés.
• Supprimer les e-mails historiques contenant des artefacts d'exploitation des boîtes de réception supprimées.
• Renforcer la surveillance ciblée des systèmes précédemment infectés.