Lors de mes nombreuses actions menées avec Sophos Rapid Response, notre service de réponse aux incidents, il est malheureusement trop courant de rencontrer des équipes IT essayant de reconstituer les ruines de leur réseau suite à une cyberattaque. Lors de discussions avec les administrateurs, il s’avère souvent que, bien qu’ils aient mis en place un logiciel de sécurité, soit une erreur de configuration a été commise, ce qui a permis à un attaquant d’accéder au réseau, soit un indicateur de compromission n’a pas été détecté, lequel aurait pu alerter l’équipe de la violation potentielle avant que l’attaque ne soit véritablement lancée.
Malheureusement, un attaquant qui a cherché à pénétrer au sein de votre réseau est susceptible d’être bien outillé, bien financé et passé maître dans l’art de la pénétration des réseaux et des systèmes. Nous constatons souvent que les attaquants ont passé un temps considérable :
- À rechercher leur cible.
- À effectuer des reconnaissances à l’intérieur et à l’extérieur du réseau.
- À identifier le ou les appareils (ou même des personnes) susceptibles d’être ciblés.
- À mener des campagnes d’ingénierie sociale contre ces cibles pour obtenir des informations supplémentaires telles que les noms d’utilisateur et les identifiants qui peuvent leur permettre de pénétrer plus en profondeur dans le réseau.
Dans la plupart des violations que nous investiguons, nous pouvons identifier que les attaquants étaient souvent sur le réseau bien avant que le cyber-incident n’ait lieu, grâce aux traces qu’ils laissent derrière eux. Ce “temps de séjour” peut durer des jours, des semaines, voire des mois, permettant ainsi à l’attaquant de s’intégrer complètement dans votre réseau avant de lancer l’attaque à proprement parler. Il peut s’agir d’une attaque de ransomware ou bien d’un déploiement massif de logiciels de crypto-mining.
Cependant, dans la plupart des cas, il y a eu des signes indiquant qu’ils étaient actifs sur votre réseau bien avant que le cyber-incident ne se produise. En raison de la pression extrême exercée sur les administrateurs IT et les équipes de sécurité, il est facile de comprendre que ces signaux puissent ne pas être détectés et que le système puisse ne pas être configuré correctement pour alerter et se protéger contre ces menaces.
Pour mitiger ce risque, vous avez besoin d’une solution de sécurité multicouche correctement surveillée et managée. À savoir :
- Un produit de sécurité endpoint Next-Gen complet offrant plusieurs couches de protection différentes.
- Une plateforme de management robuste pour votre produit de sécurité protégée par des mesures telles que l’authentification multifacteur (MFA).
- Une équipe capable de surveiller efficacement votre infrastructure de sécurité et de mener une chasse proactive et réactive aux menaces 24h/24, 7j/7, tous les jours de l’année. En effet, comme l’ont noté le FBI et la CISA, la plupart des attaques se produisent lorsque les attaquants savent que les équipes IT et de sécurité ne surveillent probablement pas leurs environnements, par exemple le week-end et les jours fériés (2).
- Les connaissances au sein de cette équipe pour prendre rapidement les bonnes décisions en matière d’analyse des menaces et de réponse aux incidents identifiés au sein de votre réseau.
Bien que les points #1 et #2 soient faciles à acquérir, il peut être difficile de satisfaire aux exigences des points #3 et #4. Ces dernières années, nous avons constaté une augmentation massive de la charge de travail des équipes de sécurité. Les équipes IT ont connu une augmentation de 63 % de la charge de travail non liée à la sécurité et une augmentation de 69 % de la charge de travail liée à la cybersécurité au cours de l’année écoulée [1]. Cette tendance a un impact sur le fonctionnement quotidien d’une équipe IT, 61 % signalant une augmentation des temps de réponse aux différents problèmes informatiques. Les équipes IT surchargées doivent souvent gérer une charge de travail de sécurité croissante tout en maintenant la sécurité du réseau.
De plus, il y a une pénurie massive de compétences dans le secteur IT. 54 % des administrateurs IT estiment que même avec tous les outils à leur disposition, les cyberattaques sont désormais trop avancées pour que leur équipe IT ne puisse les gérer seule [1]. Par conséquent, même si votre entreprise dispose du budget nécessaire pour investir dans votre équipe de sécurité, remplir ces rôles peut être difficile. Une fois que vous réalisez que vous devez recruter au moins six personnes pour assurer une couverture 24h/24 et 7j/7, le défi n’en est que plus grand.
C’est pourquoi les services MDR (Managed Detection and Response), comme Sophos Managed Threat Response (Sophos MTR), qui fournissent une couverture 24/7/365 pour votre environnement, sont des solutions idéales pour de nombreuses entreprises. Lors de la sélection d’un service MDR pour étendre votre équipe, il y a néanmoins quelques questions essentielles à se poser :
- Quel niveau de support l’équipe fournit-elle ? Va-t-elle neutraliser les menaces pour vous ? Ou bien juste vous informer de leurs présences ?
- En quoi consiste leur remédiation ? Isole-t-elle simplement l’appareil pour s’assurer que l’attaquant ne puisse pas se déplacer latéralement au sein de votre domaine, ou bien éjecte-t-elle complètement l’adversaire ?
- Quelle est la compétence de l’équipe de chasse aux menaces, de neutralisation et de réponse aux incidents ?
Voyons comment Sophos se positionne dans ces domaines.
Niveau de support
Sophos MTR travaille avec et aux côtés de votre équipe IT, s’intégrant à votre entreprise et étendant le champ d’action de celle-ci. Nous proposons différents modes de réponse afin que vous puissiez choisir comment vous souhaitez travailler avec nous :
- Notifier
- L’équipe Sophos MTR vous informera de tout comportement préoccupant et vous indiquera comment y remédier.
- Collaborer
- L’équipe Sophos MTR vous contactera et travaillera avec votre équipe pour partager la charge de travail en matière de remédiation que représentera le comportement ou la menace.
- Autoriser
- L’équipe Sophos MTR traitera et neutralisera activement les menaces dans votre environnement en votre nom.
- Nous vous informerons après coup des actions menées.
- Si un incident de sécurité critique ou un attaquant actif devait se trouver sur votre réseau, nous contacterions alors les personnes de références désignées pour les informer qu’un incident prioritaire a lieu.
- Collaborer avec l’option ‘Autoriser’
- Vous nous autorisez à passer en mode “Autoriser” s’il n’y a pas de réponse à nos communications initiales concernant un incident ou une menace.
Qualité de la remédiation
Sophos change le paradigme avec le niveau d’action que nous pouvons (et allons) mettre en œuvre afin de garantir la sécurité de vos systèmes. Voici les actions que nous pouvons mener :
Actions | Description |
Modifier les configurations | Adapter les configurations pour gérer une menace active. Non limité au changement des politiques de menace, à l’activation des fonctionnalités de protection Sophos sur les appareils non protégés, à l’ajustement des exclusions, etc. |
Isoler les hôtes | Limiter l’exposition dont un actif compromis pourrait faire l’objet |
Bloquer les fichiers | Bloquer les fichiers par hachage dans un environnement pour interdire l’exécution de contenu malveillant |
Réaliser une analyse (scan) | Lancer l’analyse du système |
Bloquer les sites Web/IP/CIDR | Bloquer un site Web ou une adresse IP spécifique via le contrôle Web |
Bloquer une application | Bloquer une application spécifique via le contrôle des applications |
Utiliser Live Terminal | Si d’autres actions de réponse ne sont pas efficaces, l’utilisation de Live Terminal peut nous donner un accès direct à l’hôte |
SophosLabs | L’équipe Sophos MTR dispose d’un accès direct aux SophosLabs pour recueillir les données les plus récentes concernant une menace particulière |
Je veux prendre un moment pour détailler un peu plus Live Terminal. Face à un attaquant actif avec un accès direct et manuel à votre réseau, souvent le seul moyen de neutraliser activement et de faire sortir cet attaquant de votre réseau est de combattre le feu par le feu. Dans de tels cas, l’un de nos analystes MTR senior demandera l’approbation de la direction, puis activera une session Live Terminal directement sur le ou les appareils concernés sur votre réseau. Au sein de cette session, il disposera d’un accès complet en ligne de commande (ou en mode terminal pour OSX et Linux), ce qui lui permettra de déployer une défense active contre l’attaquant ; de plus, si l’analyste MTR doit isoler l’appareil, il sera toujours en mesure de maintenir son tunnel sécurisé vers votre ou vos appareils et de neutraliser et traiter activement la menace.
Expertise en matière de sécurité
L’équipe Sophos MTR est composée de chasseurs de menaces et de professionnels de la sécurité certifiés (SSCP, SCP) qui sont souvent des experts dans les domaines qu’ils ont choisis (C|EH, C|TIA, ECSA) et ont des connaissances complètes dans tous les domaines de votre pile (stack) de sécurité (CompTIA Security+, Network+, CySA+). Lorsque vous nous confiez les ‘clés de votre château’, sachez que nous ne prenons pas cette responsabilité à la légère.
Pour résumer….
Pour conclure, nous pouvons dire que la chasse aux menaces et la neutralisation sont des tâches qui doivent être menées 24h/24 et 7h/7 et qui nécessitent des opérateurs experts. Si vous n’avez pas la capacité ou les compétences en interne pour assurer ce niveau de couverture, élargissez alors votre équipe avec des analystes tiers. Choisissez une équipe qui peut travailler avec vous pour renforcer vos défenses et tenir les attaquants à distance, et ce même au beau milieu de la nuit.
[1] Sophos – Les équipes de cybersécurité : en 2021 et au-delà
[2] CISA – Ransomware Awareness for Holidays and Weekends
Billet inspiré de Secrets of a security analyst: Ensuring 24/7 cover, sur le Blog Sophos.