colonial pipeline
Sophos SecOps SOPHOS SecOps

Quelles leçons les équipes de cybersécurité peuvent-elles tirer de l’attaque de ransomware contre Colonial Pipeline ?

L’incident a fait l’objet de nombreux articles et reportages. Certains rapports suggèrent que la décision d’arrêter temporairement les opérations a été prise autant pour des raisons financières que de sécurité. D’autres remontées signalent des problèmes au sein du réseau informatique de l’entreprise qui existaient avant l’incident et qui pourraient avoir contribué à la vulnérabilité de cette dernière vis à vis de ces attaques. Certains s’interrogent sur l’absence d’une personne dédiée en charge de la cybersécurité.

Le CEO de Colonial Pipeline, Joseph Blount, a été invité à témoigner lors d’une audience du House Homeland Security Committee les 9 et 10 juin. Son témoignage officiel de quatre heures devant le Sénat et la Chambre offre plusieurs révélations intéressantes sur cette attaque, ainsi que des conseils importants pour d’autres entreprises qui pourraient un jour se retrouver dans une situation similaire.

Voici quelques-unes des importantes leçons à tirer en matière de sécurité suite à cette attaque que les défenseurs pourront utiliser à l’avenir.

La nécessité de prioriser la sécurité

Bien que le témoignage n’ait pas expressément abordé le manque de structure dédiée à la cybersécurité au sein de l’entreprise, il s’agit d’un domaine à ne pas négliger, en particulier dans une entreprise aussi grande et importante que Colonial Pipeline.

Le rôle du RSSI/CISO est essentiel, il est chargé de s’assurer que les entreprises disposent d’un programme de sécurité complet, d’une vision stratégique en matière de cybersécurité et d’une place au sein du comité de direction de l’entreprise.

Le témoignage de Colonial Pipeline au Sénat a révélé qu’environ 200 millions de dollars (environ 168 millions d’euros) avaient été investis dans le domaine IT au cours des cinq dernières années, mais le montant dédié véritablement à la cybersécurité n’a pas été clairement spécifié.

Être capable de définir des priorités de cybersécurité pour l’entreprise, disposer d’un budget suffisant pour les mettre en œuvre et de l’autorité nécessaire pour faire respecter ces priorités sont des éléments clés de la sécurisation d’une organisation.

Bien qu’un rôle de RSSI dédié puisse ne pas être approprié et nécessaire pour chaque entreprise, la discipline et l’attention particulière qu’un RSSI apporte à l’environnement sont primordiales.

En conséquence, les entreprises doivent au moins investir et s’engager à mettre en place un programme de cybersécurité et un plan de réponse aux incidents. Ces derniers devraient tout englober, de la mise en œuvre des bons outils à la création d’une véritable culture de sécurité, en passant par une bonne connaissance des étapes à suivre en cas de problème.

La configuration par défaut est importante

Lors du témoignage, il a été confirmé que le point d’entrée initial dans le réseau de Colonial Pipeline était un seul et unique mot de passe volé.

Dans ce cas-ci, et comme pour de nombreuses autres attaques que l’équipe Sophos Rapid Response a investiguées, les services distants étaient en cause. Plus précisément, les attaquants ont utilisé un mot de passe volé pour accéder à un service VPN sur lequel l’authentification multifacteur (MFA) n’était pas activée.

Il semble que Colonial Pipeline pensait que ce profil VPN n’était pas utilisé. C’est aussi une situation que nous avons déjà observée.

L’entreprise a expliqué que le mot de passe était conforme à des exigences de complexité strictes même s’il n’était pas activé avec le MFA. Les attaquants ont peut-être obtenu le mot de passe grâce à une violation antérieure et ont tenté leur chance en testant la validité de ce même mot de passe sur le réseau de Colonial Pipeline.

Il est important de garder à l’esprit que les anciennes violations peuvent avoir un effet boomerang, et même si vous n’en êtes peut-être pas responsable, elles peuvent tout de même avoir un impact dramatique sur votre entreprise.

C’est là qu’une solide culture en matière de sécurité peut être utile.

Avoir des employés soucieux de la façon dont ils utilisent leurs identifiants peut aider à mitiger les effets des défaillances de tiers en matière de sécurité. N’hésitez pas, par exemple, à leur proposer un gestionnaire de mots de passe qui pourra être utilisé à la fois pour leurs activités professionnelles et leurs comptes personnels.

Il est très important également de définir une stratégie dans laquelle le MFA sera activé par défaut et ne pourra être désactivé que par une exception documentée. Bien que l’absence de MFA sur ce VPN puisse simplement être due à une mauvaise configuration, il s’agit là sans aucun doute d’une opportunité manquée en termes de sécurité.

Il s’agit d’un domaine où les RSSI, ou l’équivalent d’une direction de la sécurité, peuvent définir des politiques qui permettront à l’entreprise de faire le nécessaire par défaut.

La prévention est idéale mais la détection est un must

Selon les investigateurs, le premier signe montrant que les attaquants étaient dans le réseau est apparu le 29 avril 2021. Ainsi, les attaquants étaient dans le réseau de Colonial Pipeline au moins huit jours avant l’attaque de ransomware du 7 mai 2021.

Le manque de visibilité de l’entreprise sur ce qu’ont fait ces intrus pendant ces quelques jours était l’une des raisons pour lesquelles celle-ci a décidé de fermer le pipeline. Voici un extrait de la déclaration du CEO :

“… dans ce cas-ci, c’était évidemment la peur de n’avoir vraiment aucune visibilité sur nos systèmes IT ou OT pour nous permettre de  mieux comprendre le degré de corruption et de chiffrement, et cela nous a vraiment pris des jours, et ce même avec l’aide d’un expert réputé mondialement [sic] de chez Mandiant pour y arriver, donc encore une fois, c’est pourquoi cette décision a été prise… »

Selon l’équipe Sophos Rapid Response, les ransomwares sont souvent le premier signe qui alerte les victimes qu’une attaque a bien lieu.

Il s’agit d’une manière de procéder faisait partie de la conception même de ce type d’attaque. De nombreux opérateurs de ransomwares actuels préfèrent opérer en toute discrétion jusqu’au moment où ils décident qu’il est temps de lancer leur charge virale finale. Ils ont pénétré au sein de votre réseau, mis en place la persistance, élevé leurs privilèges, exfiltré vos données, et ce n’est qu’après qu’ils déploient le ransomware. Une telle attaque peut prendre des heures, des jours voire des mois pour être déployée. En fait, selon l’Active Adversary Playbook 2021 de Sophos, le temps de séjour médian des attaquants observé est de 11 jours, certaines entreprises ayant des attaquants dans leur réseau pendant six mois ou plus.

Le fait que Colonial Pipeline n’ait pas eu la visibilité nécessaire pour comprendre à quel point les cybercriminels étaient parvenus à pénétrer au sein de leur réseau est, malheureusement, un problème courant pour de nombreuses entreprises.

Les programmes de cybersécurité sont essentiels, mais il en va de même des outils pour les activer. Les outils EDR (Endpoint Detection and Response) sont inestimables, non seulement pour prévenir les attaques, mais également pour permettre à votre entreprise de traquer les menaces latentes.

N’oubliez pas que ce n’est pas parce que votre logiciel de sécurité a détecté et bloqué une menace que le travail est terminé. Il pourrait y avoir un plus gros problème caché dans votre réseau.

Préparez-vous en cas d’échec

En tant qu’entreprise majeure à l’infrastructure critique, Colonial Pipeline n’est pas étrangère aux plans d’intervention d’urgence. Il ne fait aucun doute qu’elle dispose de plans complets pour les défaillances physiques de toutes sortes, des ruptures de pipeline aux intrusions au niveau de la sécurité physique. Cependant, la posture de l’entreprise semble moins solide lorsqu’il s’agit des plans de réponse aux incidents de cybersécurité, bien qu’elle ait déclaré avoir utilisé des services de test d’intrusion externes.

Ce point est important. Les entreprises de toutes tailles doivent effectuer une sorte d’évaluation de leurs contrôles de sécurité. Certaines des évaluations peuvent être effectuées en interne, mais elles doivent également être appuyées par une consultation externe. Les risques liés au fait de se reposer uniquement sur des audits internes, génèrent comme une myopie concernant vos capacités et une tolérance au compromis parce que “nous avons toujours fait comme cela”.

À la suite de vos évaluations, vous devrez élaborer des plans pour a) améliorer les domaines où vous êtes le plus vulnérable, b) préparer un plan en cas de problème et c) tester vos défenses par rapport aux améliorations et au plan de réponse.

Je me souviens d’une entreprise qui m’a parlé de ses exercices de simulation trimestriels, au cours desquels elle simulait et traitait des problèmes IT afin d’évaluer son état de préparation et comprendre comment ses plans actuels pourraient être renforcés. Au cours de l’un de ces exercices, elle a simulé une attaque de ransomware contre son infrastructure et ajusté son plan de réponse en fonction des leçons tirées suite à ce test.

Peu de temps après l’exercice, ils ont subi une panne massive au niveau du SAN (Storage Area Network). Paradoxalement, la panne du SAN s’est présentée comme une attaque de ransomware, et comme ils avaient réalisé cet exercice, ils savaient exactement comment réagir rapidement et récupérer suite à cet incident.

Vous ne savez jamais quand ou comment un incident va véritablement se dérouler, ainsi être bien préparé est le seul moyen de minimiser les perturbations et les temps d’arrêt.

Partager c’est se sentir concerné

Une autre question intéressante qui a été soulevée au cours des audiences est de savoir si Colonial Pipeline participait à un ISAC (Information Sharing and Analysis Center). L’entreprise a déclaré que oui, qu’elle en faisait partie.

Les ISAC (Information Sharing and Analysis Centers) aident les propriétaires et les opérateurs d’infrastructures critiques à protéger leurs installations, leur personnel et leurs clients contre les menaces de cybersécurité et de sécurité physique ainsi que d’autres dangers. Les ISAC collectent, analysent et diffusent des informations sur les menaces exploitables à leurs membres et fournissent à ces derniers des outils pour mitiger les risques et améliorer leur résilience.

Les ISAC sont composés d’entreprises opérant dans le même secteur et qui se soutiennent mutuellement en partageant des informations importantes et pertinentes sur les menaces. Bien que les ISAC aient tendance à se concentrer principalement sur les infrastructures critiques, cela ne signifie pas que vous ne pouvez pas y participer (ou créer votre propre) groupe équivalent.

Par exemple, Sophos participe à un certain nombre d’initiatives de partage de haut niveau, notamment la CompTIA ISAO, la Global Cyber ​​Alliance (GCA) et la Cyber ​​Threat Alliance (CTA). L’objectif est d’augmenter la résilience face aux attaques, en offrant une meilleure protection grâce à un partage collectif d’informations.

Ces groupes de partage n’ont même pas besoin d’être spécifiques à un secteur, vous pouvez également participer à des groupes locaux, comme les nombreux groupes locaux DEF CON. Nous pouvons également tirer parti des conseils publiés par les agences gouvernementales qui ont développé des directives basées sur des années de protection des informations hautement sensibles, telles que CISA, NCSC et ASD.

En fin de compte, comme nous l’avons connu lors de la pandémie, notre meilleure chance de vaincre les cybercriminels réside dans un effort éclairé et collectif.

Colonial Pipeline s’engage à partager le rapport Mandiant complet et non censuré dès son achèvement. Espérons qu’ils honoreront cet engagement, ainsi nous pourrons tous apprendre de leur expérience.

Payer la rançon est rarement payant

On nous demande souvent s’il faut que les entreprises paient la rançon et comment nous pouvons arrêter ce fléau. La réponse à ces deux questions, comme souvent pour des questions liées à la cybersécurité, est : c’est compliqué.

Colonial Pipeline a déclaré avoir payé la rançon pour aider l’entreprise à se redresser le plus rapidement possible. Malheureusement, de nombreuses entreprises se retrouvent dans cette situation et la décision de payer ou de ne pas payer est souvent liée à de nombreux facteurs.

Par exemple, il existe de nombreux exemples d’entreprises qui ont été contraintes de payer une rançon parce que leurs sauvegardes étaient corrompues ou manquantes. Un simple test aurait pu confirmer la disponibilité et l’efficacité de ces dernières.

D’autres choisissent de payer pour remettre le réseau en ligne le plus rapidement possible, et certaines ont choisi de payer parce que le montant de la rançon était inférieur au coût d’une récupération. D’autres choisissent enfin de payer pour éviter que des données exfiltrées ne soient vendues ou divulguées publiquement.

Alors que le coût des ransomwares continue d’augmenter d’année en année, les entreprises sont confrontées à des coûts croissants à la fois en termes de montant de rançon et de coût de récupération. C’est pourquoi il est si important d’avoir un plan de récupération après incident et de tester son efficacité.

Selon le rapport de Sophos intitulé State of Ransomware 2021 (État des Ransomwares 2021), les entreprises qui ont payé la rançon n’ont récupéré, en moyenne, que 65% de leurs données. Seulement 8% des entreprises ont réussi à récupérer toutes leurs données, et 29% ont récupéré moins de la moitié. De plus, vous devez toujours effectuer le travail de remédiation pour traiter les dommages et les perturbations causés par l’attaque et vous assurer qu’un tel incident ne se reproduira plus.

En fin de compte, la décision de payer ou non est à la discrétion de la victime, mais la prévention et la préparation peuvent rendre cette décision beaucoup plus facile.

Nous avons également toujours du mal à trouver un moyen d’empêcher les attaques de ransomware de se produire en premier lieu. Une solution évidente consiste à rendre plus difficile la pénétration de nos réseaux par les cybercriminels en déployant une technologie avancée de prévention et de détection.

De plus, il est question d’un équilibre entre incitation et dissuasion. Les incitations financières pour les cybercriminels utilisant les ransomwares l’emportent actuellement sur la menace de se faire prendre et d’être poursuivis. Ce manque de dissuasion et de punition a permis à ces cybercriminels de devenir de plus en plus audacieux dans leurs opérations.

Pour réussir, nous aurons besoin d’un partenariat public et privé solide, ainsi que d’une diplomatie et d’une législation, et d’un cadre éthique garantissant que la vie des gens ne soit pas menacée. La déclaration du G7 publiée le 13 juin est un début, mais il faudra attendre de voir comment elle sera mise en œuvre et quelles seront les sanctions en cas de non-respect.

Demandez de l’aide

Si votre entreprise ne dispose pas des compétences internes pour gérer efficacement la sécurité et les incidents de sécurité, vous pouvez vous tourner vers de nombreux partenaires qui pourront vous aider. Une partie de la solution à ce problème consiste à reconnaître les compétences que vous possédez par rapport à celles qu’il est préférable d’externaliser.

On a beaucoup parlé d’une pénurie de compétences qui entrave la capacité des entreprises à maintenir un niveau élevé de préparation à la cybersécurité. La réalité est que ce qui est nécessaire pour construire une base de sécurité solide ne nécessite pas un cyber-ninja hautement qualifié. Par exemple, s’assurer que tous vos systèmes, services et applications soient bien corrigés est facile à mettre en œuvre par les professionnels IT les plus compétents et contribue grandement à votre posture défensive.

Au fur et à mesure que le besoin de compétences plus complexes se fait sentir, n’ayez pas peur de demander de l’aide. Il existe des services tels que le service Sophos Managed Threat Response (MTR) qui sont conçus pour aider les entreprises qui ne peuvent pas le faire elles-mêmes ou qui ont simplement besoin d’un peu d’aide supplémentaire de la part d’une équipe d’experts en traque des menaces.

Vous n’êtes pas obligé d’y aller seul, et surtout vous ne devriez pas essayer.

Un chemin vers une sécurité renforcée

Il ne faudrait pas attendre d’être ciblé par une attaque pour que votre entreprise adopte une posture de sécurité plus forte. Prenez le temps maintenant d’évaluer votre position sur l’échelle de maturité de la sécurité et agissez immédiatement pour vous améliorer là où vous le pouvez.

En résumé, votre chemin vers une meilleure sécurité commence par :

  • Prioriser la sécurité afin que chacun dans l’entreprise comprenne son rôle dans le maintien d’une organisation sécurisée.
  • Fournir à l’équipe de sécurité l’autorité et un budget raisonnable pour atteindre leurs objectifs.
  • Utiliser des modes “sécurisés par défaut” pour tous vos déploiements et opérations.
  • S’assurer que vous avez une visibilité sur tous les différents aspects de votre entreprise afin de pouvoir repérer les problèmes avant qu’ils ne deviennent des urgences à part entière.
  • Planifier le moment où vous devrez vous remettre d’une grave attaque de malware. Non seulement cela vous rendra plus résilient, mais une telle initiative accélèrera la récupération et réduira son coût.
  • Participer à la communauté de cybersécurité en partageant vos réussites et vos échecs. Non seulement vous en bénéficierez, mais vous aiderez également les autres qui sont en chemin comme vous.
  • Si vous êtes une victime, concentrez-vous sur la récupération et la remédiation plutôt que sur l’enrichissement des cybercriminels (si cela peut être évité bien sûr).
  • N’hésitez pas à demander de l’aide avant d’en avoir besoin. Vous serez heureux de l’avoir fait.

En fin de compte, le FBI a pu récupérer une partie des bitcoins que l’entreprise a payés à DarkSide, ce qui est une excellente nouvelle, mais cela n’a pas toujours permis de stopper ce réseau ni de réparer les dommages causés.

Billet inspiré de What IT security teams can learn from the Colonial Pipeline ransomware attack, sur le Blog Sophos.

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published.