Ce n’est un mystère pour aucun acteur du monde de la sécurité informatique, les attaques se multiplient et deviennent de plus en plus complexes à prévenir. Qu’elles prennent la forme d’attaques coordonnées, d’une attaque 0day ou d’un APT, les cyber menaces deviennent difficilement détectables par les techniques de détection traditionnelles explique dans cet avis d’expert Pierre Tabary, consultant SecOp chez Synetis.
Le front du cyberespace a évolué en quelques années – et bien davantage ces dernières semaines – passant d’attaques visant prioritairement les grandes entreprises à des cyber attaques ciblant des entreprises de toutes tailles, des services d’État, des collectivités locales ou encore des organisations de santé et des institutions critiques.
La réponse à incident permet d’endiguer la menace
Le paradigme de conception de la politique de sécurité des entreprises a bien changé. Les campagnes de rançongiciel (dit ransomware) récentes telles qu’Emotet, l’attaque de Colonial Pipeline (REvil) ou plus encore le développement des services de Ransomware-as-a-Service, ont démontré que toute institution peut être victime d’une cyberattaque, en étant ciblée directement ou de manière collatérale. Pour faire face à un déplacement latéral des charges malicieuses, à la compromission d’une machine ou au chiffrement des infrastructures et postes de travail, l’utilisation d’outils dédiés à la réponse aux incidents est primordiale. En effet, la réponse à incident répond à des objectifs concrets, qui varient selon les besoins et le contexte dans lequel les entreprises évoluent.
Grâce à cette approche, la détection de la portée de la compromission du système d’information (système, site, application) est rendue possible. Les équipes de sécurité sont alors en capacité de mesurer efficacement et rapidement l’impact d’une attaque en cours. Elles sont également capables de contenir et bloquer les démarches de l’attaquant ou de l’élément malveillant, d’identifier précisément les étapes du cheminement de l’attaque, ainsi que les possibles failles de sécurité et vulnérabilités (techniques ou humaines) ayant été utilisées dans le cadre de cette intrusion. En outre – et si nécessaire, elles sont aussi en mesure de remettre en état de fonctionnement le système d’information corrompu. Dans le cas d’une attaque par ransomware, par exemple, cela se traduit par la remise en service des services critiques – dont les serveurs auraient été chiffrés.
La bonne mise en place du processus complet de réponse à incident peut aller de plusieurs semaines à plusieurs mois, selon l’ampleur de la compromission et la taille des infrastructures touchées, notamment car il reste – encore aujourd’hui – complexe de s’assurer qu’aucune backdoor n’ait été placée par les attaquants. Cependant, des solutions de sécurité spécialisées en réponse à incident facilitent l’ensemble de ces recherches grâce à des principes de scans des assets, de l’Active Directory et différents moyens de persistance possibles (access lists, tâches planifiées, classes WMI, etc.).
Simplicité de déploiement : clé d’une réponse à incident optimal
Dans ces contextes de crise, il est important que le déploiement de solutions de réponse à incident puisse se faire rapidement – et sur un parc très étendu. En effet, certaines solutions permettent aux équipes en charge de couvrir plus de 80 % des parcs informatiques en quelques heures. Les méthodes de déploiement sont multiples et varient selon les environnements rencontrés, pouvant aller de déploiement par GPO ou outil de télédistribution (SCCM, Intune, Ansible, etc.) jusqu’à l’exécution d’un script « custom » – créé pour les postes ayant des contraintes plus fortes.
Mais avant de se lancer dans le choix et le déploiement d’une solution, plusieurs éléments sont à prendre en compte : périmètre de l’entreprise, définition de la surface d’attaque à couvrir, symptômes observés, identification des services critiques, impact sur la production… Rien n’est laissé au hasard ! À la suite de cela, un mode opératoire cohérent et correspondant aux besoins propres de l’entreprise victime est alors déterminé, ainsi qu’un mode de déploiement.
Dès que les agents sont déployés et communiquent avec la console (en général hébergée en SaaS pour faciliter le déploiement) de l’éditeur, il est alors possible de les scanner entièrement – afin de vérifier leur état de compromission. Les menaces découvertes sont qualifiées et traitées automatiquement par les équipes en charge de la sécurité. Selon ce qui est découvert sur les machines, la reconstruction du SI peut ensuite commencer, sur les machines qui sont complètement protégées et considérées comme « saines ».
En suivant cette méthodologie de déploiement d’« urgence », il est normal de rencontrer parfois des faux positifs (une application légitime, détectée comme une menace). C’est pourquoi les équipes se doivent de surveiller de manière continu la console afin de pouvoir mettre en place les exclusions au fil de l’eau – et assurer qu’il n’y ait pas de blocage applicatif.
Utiliser des outils d’analyse et de détection de la menace technologiquement agnostique
La phase de réponse à incident requiert des outils d’analyse et de détection de la menace technologiquement agnostique et devant être déployée de manière agile (GPO, SCMM, Ansible, scripting). Toutefois, l‘intervention décrite dans cet article ne se substitue pas à un travail d’investigation forensique directement sur les machines compromises. Pour ce faire, les experts CSIRT (Computer Security Incident Response Team) et Sécurité Opérationnelle doivent pouvoir travailler de concert sur les cas de réponses à incident, afin d’assurer la gestion de crise et une remise en état du système d’information dans des temps records. Et pour des entreprises qui n’ont pas les ressources en interne pour gérer de manière optimisée ces outils ? Les Managed Security Service Provider (MSSP) mettent à leur disposition connaissances, expertises et main d’œuvre pour un accompagnement sur mesure.