reponse aux incidents
Produits et Services PRODUITS & SERVICES

Leçon N°7 : préparez-vous au pire en matière de réponse aux incidents

Hindsight Security : les conseils que les victimes de violation auraient bien aimé recevoir. 

Cet article fait partie d’une série qui vise à informer les professionnels de la cybersécurité sur les leçons apprises par les victimes de violations. Chaque leçon comprendra des recommandations simples, dont beaucoup ne nécessitent pas l’achat d’outils par les entreprises.

Les précédents articles de notre série Hindsight Security se sont concentrés sur l’aspect prévention des expériences vécues par d’autres victimes. Cet article a pour objectif de vous aider à prendre les mesures appropriées si vous deviez être malheureusement la victime d’une violation. Il se concentre sur la manière de réduire au minimum les dommages causés et tirer un maximum de leçons de vos propres expériences. Bien que je me concentre sur les ransomwares, de nombreuses recommandations s’appliquent à d’autres types de violation, comme par exemple les attaques impliquant des mineurs de cryptomonnaie et les activités d’espionnage industriel.

Avoir un plan

Un plan de réponse aux incidents (IR : Incident Response) est un excellent moyen de définir les actions que vous devez lancer en cas de violation. Quelle est la gravité de l’incident ? Où sont les systèmes critiques et comment les isoler ? Comment communiquer et avec qui ? Qui contacter et quelles actions lancer ? Et les sauvegardes ? Gardez votre plan de réponse aux incidents simple et global dans son approche afin qu’il soit facile à suivre dans une situation de violation sous forte pression, et concentrez-vous sur la capacité de vos équipes à prendre des décisions rapides. Le Handbook intitulé ‘SANS Incident Handler‘ propose un chapitre très intéressant sur la préparation, tout comme le Guide de Réponse aux Incidents de Sophos.

Pour commencer, demandez de l’aide

Avant même de commencer à réimager des machines ou à négocier une rançon, prenez pleinement conscience du problème et demandez de l’aide. La réponse aux incidents (IR) nécessite un ensemble de compétences spécialisées, et la plupart des entreprises n’ont pas d’experts en réponse aux incidents dans leurs équipes pensant que ce type d’événement ne se produira jamais.

Soyez prévoyant et ayez les coordonnées de quelques entreprises de réponse aux incidents à portée de main. Je dis ‘quelques’ car le secteur des services IR peut atteindre sa pleine capacité très rapidement si des attaques fréquentes ou à grande échelle devaient avoir lieu. Si l’attaque est dirigée contre des serveurs et des endpoints, comme par exemple un incident de ransomware, je vous suggère de contacter d’abord l’éditeur de votre solution de sécurité endpoint afin de vérifier s’il propose un service IR. Ils disposeront probablement de la télémétrie de votre environnement et d’un accès à des outils préinstallés tels que EDR/XDR, qui leur permettront de lancer des actions de remédiation rapidement. Vous pourrez parfois avoir l’impression que l’éditeur en question vous a laissé tomber, mais en réalité, la grande majorité des violations sont dues à des défaillances de personnes ou de processus et non à la technologie à proprement parler.

D’autres actions en matière d’assistance sont à prendre en compte :

  • Impliquer les forces de l’ordre locales : un cybercrime a probablement été commis et ils disposent très certainement de ressources qui pourront vous aider.
  • Contactez votre compagnie de cyberassurance, si vous en avez une, et informez-la de l’incident.
  • Si vous travaillez avec un fournisseur de technologie ou un intégrateur de systèmes, ils pourront être en mesure de vous apporter une assistance concrète sur le terrain pendant la phase de récupération, telle que la restauration de vos sauvegardes.

Isoler et contenir

Nous n’avons pas de recommandations formelles à faire ici, si ce n’est d’isoler et de contenir l’incident le mieux que vous pouvez. Cette démarche peut inclure la mise hors tension, la déconnexion d’Internet et le débranchement des câbles réseau, l’utilisation d’une isolation logicielle, l’application de règles de pare-feu de type ‘deny-all’ et la mise à l’arrêt des systèmes critiques. Si vous disposez toujours d’un contrôleur de domaine fonctionnel, essayez de le préserver en l’arrêtant et/ou en le déconnectant du réseau. Si vous avez des sauvegardes, assurez-vous qu’elles soient isolées et hors du réseau. Tous les mots de passe que vous pensez être compromis doivent être modifiés et les comptes réinitialisés.

Les services de réponse aux incidents (IR) sont en grande partie déployés via Internet, alors demandez-leur des conseils pour restaurer les systèmes et la connectivité. Au moment où vous repérez des preuves indiquant qu’un ransomware est impliqué, l’attaque est généralement déjà dans sa phase finale, mais il est important d’expulser les acteurs malveillants avant le début des actions de restauration, afin d’éviter qu’ils ne frappent de nouveau.

Ne payez pas la rançon

Bien que cela puisse ressembler à une solution de facilité, payer la rançon renforce et encourage encore davantage les cybercriminels. L’époque où la rançon était de 500€ pour déverrouiller une machine est révolue : le rapport de Sophos intitulé ‘L’état des ransomwares 2021’ révèle que la rançon moyenne payée l’année dernière par les entreprises de taille moyenne était de 170 404 USD (soit environ 151 041 €). Les acteurs malveillants recherchent vos données critiques, les exfiltrent souvent vers le dark web pour les vendre, suppriment vos sauvegardes, puis chiffrent vos données. Mais ce que ces derniers oublient de vous dire lors de l’envoi de la demande de rançon, c’est qu’il est très peu probable que vous récupériez toutes vos données. En fait, notre enquête a révélé que seulement 65% des données chiffrées ont été restaurées après le paiement de la rançon, laissant ainsi plus d’un tiers d’entre elles inaccessibles.

Les ransomwares, comme tout logiciel, présentent des bugs et des vulnérabilités, et les opérateurs humains qui opèrent ces derniers peuvent également avoir des moments de faiblesse. Bien qu’un tel cas de figure puisse parfois jouer en votre faveur, dans l’ensemble, il aggravera encore davantage le défi que représente le déchiffrement des données. De plus, les gangs de ransomwares peuvent disparaître du jour au lendemain, pour réapparaître avec un nouveau branding si les choses devaient mal tourner pour eux, tout en vous laissant sans accès à une clé de déchiffrement.

Gardez à l’esprit que la légalité des paiements de rançon varie aussi en fonction de la zone géographique concernée. Il serait sage de vous tenir informé des limitations ou restrictions dans le ou les pays dans lesquels votre entreprise mène ses activités.

Conservez les preuves

Trop souvent, nous voyons des victimes de violation se précipiter pour restaurer les services le plus rapidement possible et, ce faisant, perdre une grande partie des informations qui auraient aidé à déterminer la cause racine et à comprendre l’étendue de la violation. Un bon exemple est la demande de rançon. Même si vous n’avez pas l’intention de payer ou de contacter l’adversaire, la demande elle-même est intéressante au niveau de l’analyse post-mortem. En effet, cette dernière peut aider une équipe de réponse aux incidents à comprendre à qui elle a affaire et les tactiques courantes utilisées par ce groupe. Cette dernière pourrait même révéler un tout nouveau type de ransomware ainsi que les Tactiques, Techniques et Procédures utilisées (TTP) par ce groupe adverse.

Récemment, j’ai vu pour la première fois la demande de rançon de Lockfile et je me suis rendu compte qu’elle imitait celle de Lockbit 2.0 tout en utilisant une stratégie de déploiement beaucoup plus agressive. Ainsi, nous pouvions utiliser les précieuses leçons tirées de nos précédentes expériences avec Lockbit 2.0 à chaque prochaine attaque de Lockfile, en particulier en matière d’identification précoce des Indicateurs de Violation (IoB : Indicators of Breach). Conservez donc la demande de rançon, il s’agit généralement de textes simples ou de documents HTML qui pourront être facilement stockés ailleurs.

Un autre élément souvent intéressant à conserver pour vos analyses est l’échantillon du ransomware ou du malware. La norme du secteur recommande que ce dernier soit ajouté à un fichier d’archive avec le mot de passe “virus” ou “infecté” et stockés dans un endroit sûr. Le fichier .zip protégé par mot de passe pourra généralement être transmis en toute sécurité aux analystes si nécessaire. Les malwares peuvent faire l’objet d’une ingénierie inverse pour découvrir leur mode opératoire, ce qui aide les experts en réponse et les enquêteurs à déterminer où rechercher les potentiels dommages causés.

Si possible, conservez également les images système et celles des machines virtuelles. Pour mettre toutes les chances de votre côté, l’intégralité des preuves post-mortem doivent être stockées à l’aide du chiffrement et le SHA256 enregistré au moment de la collecte juste au cas où il devrait être utilisé devant un tribunal notamment pour prouver qu’il n’a pas été falsifié. Bien que rare, cette précaution peut être nécessaire si certaines objections émanant des assureurs devaient vous conduire devant les tribunaux ou bien si vous deviez prouver à un organisme gouvernemental que vous n’avez pas enfreint les lois sur la divulgation.

Attribution et représailles

Dans de nombreux cas, il existe en fait plusieurs groupes à l’origine d’une attaque de ransomware. Le groupe #1 peut obtenir l’accès initial. Il vend l’accès au groupe #2. Le groupe #2 utilise le Ransomware-as-a-Service du groupe #3 pour mener l’attaque. Les différents groupes, et les membres des groupes, sont souvent répartis dans de nombreux pays. Attribuer la violation à un seul groupe est difficile et n’aidera pas beaucoup lors du chaos auquel vous serez confronté après une violation. Habituellement, les informations concernant la demande de rançon et les points communs au niveau des Tactiques, Techniques et Procédures (TTP) permettront à une équipe expérimentée en matière de réponse aux incidents de savoir très rapidement ‘à quoi‘ et ‘à qui‘ elle a affaire.

Les tentatives de représailles, connues sous le nom de ‘Hack Back’, sont fortement déconseillées. Pour commencer, elles sont très probablement illégales et de plus cette démarche peut juste aggraver la situation.

Le rôle de la cyberassurance

Si vous êtes victime d’un cyberincident couvert par une cyberassurance, un expert en sinistres de votre compagnie supervisera le recrutement d’un conseiller juridique externe afin d’organiser les ressources internes et externes et coordonner les activités durant toute la phase de résolution de l’incident. Pour une attaque de ransomware, ces activités de services incluent généralement :

  • Établir les rôles et les responsabilités, identifier l’ampleur de l’impact, établir les préférences de communication.
  • Investiguer et analyser la menace active, limiter les dommages, identifier les indicateurs de compromission (IoC).
  • Si nécessaire, nommez un spécialiste pour vous conseiller en matière de traitement et de négociation de la demande de rançon.
  • Si nécessaire, nommez un spécialiste pour vous conseiller sur la nature de l’accès, de l’exfiltration et de la récupération des données. Identifiez le moyen le moins coûteux de restaurer les données (paiement de rançon, déchiffrement, sauvegardes, etc.).
  • Lancer des actions préventives, supprimer l’accès des attaquants, établir une chronologie des incidents.
  • Compiler un rapport final indiquant l’état de l’environnement, l’analyse des causes racines, la nature de l’attaque et une identification des tactiques, techniques et procédures utilisées par les acteurs malveillants.

Alors que la plupart des compagnies d’assurance disposent d’un “panel de fournisseurs” en matière de produits/services pour chacune des activités susmentionnées, lors de la recherche d’une police d’assurance, il est important de discuter dès le départ des activités et des fournisseurs associés qui seront couverts si vous subissez une cyberattaque majeure. La plupart des polices de cyberassurance prendront en charge l’utilisation de fournisseurs préexistants, mais il est préférable de vérifier la compatibilité dès le départ. Le fait de changer d’agents de protection au cours d’un incident crée à la fois un travail supplémentaire et un risque en termes de sécurité. En effet, souvent, la solution existante empêche une intensification de l’attaque et ne doit pas être supprimée.

La communication

La communication est généralement entravée en cas de violation. Vos systèmes de messagerie peuvent être hors ligne, les copies électroniques de votre police d’assurance et de votre plan de réponse aux incidents peuvent être chiffrées, et l’acteur malveillant peut surveiller vos conversations. Préparez-vous donc à cette éventualité et utilisez un autre moyen de communication, telle qu’une application de messagerie instantanée, afin de pouvoir échanger sur un canal séparé avec votre équipe et toutes les autres personnes impliquées. Les détails de l’assurance, le plan IR et les contacts du service IR doivent être conservés sous une forme physique.

L’entraînement

Les exercices de simulation sont un excellent moyen de s’entraîner à affronter une violation de données ou un événement impliquant un ransomware. Pour que celui-ci soit encore plus réaliste, organisez-le à 2 heures du matin lors d’un long week-end et évitez l’utilisation du système de messagerie de l’entreprise !

D’autres ressources à consulter

Les articles ci-dessous expliquent à quoi s’attendre lorsque vous êtes touché par certaines des familles de ransomwares les plus courantes. Ces derniers sont un excellent outil d’apprentissage, sans avoir à vivre de tels évènements et à subir leurs conséquences.

Billet inspiré de Hindsight #7: Prepare for the worst, sur le Blog Sophos.