Quatre conseils clés d’experts en réponse aux incidents
Télécharger le livre blanc Écouter la version audio (en anglais) ♫
Répondre à un cyber-incident critique peut être une période incroyablement stressante et intense. Bien que rien ne puisse alléger complètement la pression de la gestion d’une attaque, comprendre ces conseils clés prodigués par des experts en réponse aux incidents aidera votre équipe à défendre votre organisation.
Ce document met en évidence les principales leçons que chacun devrait tirer en matière de réponse aux incidents de cybersécurité. Elles sont basées sur l’expérience réelle des équipes Sophos Managed Detection and Response et Sophos Rapid Response, qui ont collectivement répondu à des milliers d’incidents de cybersécurité.
Conseil no 1 : Réagissez aussi rapidement que possible
Lorsqu’une organisation est attaquée, chaque seconde compte.
Il y a plusieurs raisons pour lesquelles les équipes peuvent prendre trop de temps à réagir. Le plus souvent, elles ne se rendent pas compte de la gravité et donc de l’urgence de la situation dans laquelle elles se trouvent.
Les attaques ont tendance à frapper aux moments les plus inopportuns : les jours fériés, les week-ends ou au milieu de la nuit. Comme la plupart des équipes de réponse aux incidents manquent cruellement de personnel, certaines tâches sont repoussées au lendemain. Mais malheureusement, le lendemain, il sera peut-être trop tard pour réduire l’impact de l’attaque.
Les équipes débordées sont également susceptibles de ne pas réagir rapidement aux indicateurs d’attaque, car elles sont usées par la surproduction d’alertes. Les signaux se perdent dans le bruit de fond. Même lorsqu’un dossier de support est initialement ouvert, il peut ne pas être correctement priorisé en raison d’un manque de visibilité et de contexte. Cela est coûteux en temps et, lorsqu’il s’agit de répondre à un incident, le temps ne joue pas en faveur des défenseurs.
Même dans les situations où l’équipe de sécurité est consciente qu’elle est attaquée et que quelque chose doit être fait immédiatement, elle peut ne pas avoir l’expérience nécessaire pour savoir quoi faire, ce qui la rend également lente à réagir. La meilleure façon de lutter contre ce phénomène est de se préparer en amont à ce type d’incidents.
Vous pouvez apprendre les 10 étapes clés que votre plan de cybersécurité doit inclure, et plus encore, en lisant notre Guide de Réponse aux incidents.
Près des deux tiers des entreprises ont été touchées par un ransomware l’an dernier, et les attaquants sont parvenus à chiffrer les fichiers dans 65 % des cas.
Conseil no 2 : Ne criez pas victoire trop tôt
Lorsqu’il s’agit de répondre à un incident, il ne suffit pas de traiter uniquement les symptômes. Il est important de traiter également la maladie.
Lorsqu’une menace est détectée, la première chose à faire est d’enclencher le processus de priorisation. Il peut s’agir de nettoyer un exécutable de ransomware ou un Trojan bancaire ou encore de bloquer l’exfiltration de données. Toutefois, il arrive souvent que les équipes bloquent l’attaque initiale sans se rendre compte qu’elles n’ont pas vraiment résolu la cause profonde.
Le fait de réussir à supprimer un logiciel malveillant et d’archiver une alerte ne signifie pas que l’attaquant a été éjecté de l’environnement. Il est également possible que ce qui a été détecté n’était qu’un test effectué par l’attaquant pour évaluer les défenses adverses. Si l’attaquant a encore accès à l’environnement, il frappera probablement à nouveau, mais de manière plus forte cette fois.
Les équipes de réponse aux incidents doivent s’assurer qu’elles s’attaquent à la cause profonde de l’incident initial bloqué. L’attaquant a-t-il encore un point d’ancrage dans l’environnement ? Prévoit-il de lancer une seconde vague ? Les opérateurs spécialistes en réponse aux incidents ont remédié à des milliers d’attaques et savent quand et quoi investiguer en profondeur. Ils analysent tout ce que les attaquants font, ont fait ou prévoient de faire dans le réseau, et les neutralisent.
Par exemple, les experts en réponse aux incidents de Sophos ont réussi à déjouer une attaque qui a duré 9 jours et a vu les attaquants tenter à trois reprises de frapper une organisation avec un ransomware.
Comme ils n’étaient pas encore clients de Sophos MDR, l’équipe Sophos Rapid Response a d’abord été mobilisée.
Lors de la première vague de l’attaque (qui a à terme été bloquée par la solution de protection Endpoint de l’organisation), les attaquants ont ciblé 700 ordinateurs avec le logiciel Maze et ont demandé une rançon de 15 millions de dollars. Réalisant qu’ils étaient attaqués, l’équipe de sécurité de la victime a fait appel aux compétences avancées de l’équipe Sophos Managed Detection and Response (MDR) en matière de réponse aux incidents.
Les experts en réponse aux incidents de Sophos ont rapidement identifié le compte administrateur compromis, identifié et supprimé plusieurs fichiers malveillants, et bloqué les commandes de l’attaquant et les communications C2 (Command and Control). L’équipe Sophos MDR a ensuite pu défendre l’organisation contre deux vagues d’attaques supplémentaires. Si les attaquants étaient parvenus à leurs fins et que la victime avait payé la rançon, cela aurait pu être l’un des paiements les plus chers à ce jour.
Dans un autre exemple, l’équipe Sophos MDR a répondu à une potentielle attaque de ransomware mais n’a pas identifié d’indices concordants. À ce stade, certaines équipes auraient pu clore le dossier et passer à autre chose. Cependant, l’équipe Sophos MDR a continué son investigation et découvert un trojan bancaire historique. Heureusement pour ce client, la menace n’était plus active, mais cela montre l’importance de regarder au-delà des symptômes initiaux afin de déterminer la cause profonde, car cela pourrait être un indicateur d’une attaque plus large.
ÉTUDE DE CAS SOPHOS MDR :
La chasse au ransomware qui a mis au jour un trojan bancaire historique (en anglais)
Conseil no 3 : Il est crucial d’avoir une visibilité totale
Rien n’est plus difficile pour une organisation que de se défendre à l’aveuglette contre une attaque. Il est important d’avoir accès à des données de qualité, permettant d’identifier avec précision les indicateurs potentiels d’une attaque et d’en déterminer la cause profonde.
Les équipes efficaces sont capables d’extraire les bonnes données pour percevoir les signaux, de séparer ces derniers du bruit de fond et de savoir lesquels doivent être priorisés.
Capter les signaux
Avoir une visibilité limitée sur un environnement est le meilleur moyen de passer à côté d’une attaque. Au fil des ans, de nombreux outils de Big Data ont été mis sur le marché pour tenter de résoudre ce problème spécifique. Certains s’appuient sur des données centrées sur les événements, comme les journaux d’événements, d’autres utilisent des données centrées sur les menaces, et d’autres encore s’appuient sur une approche hybride. Dans tous les cas, l’objectif est le même : collecter suffisamment de données pour générer des résultats utiles pour l’investigation et la réponse aux attaques qui n’auraient autrement pas été identifiées.
La collecte de données de qualité à partir d’une grande variété de sources garantit une visibilité complète sur les outils, tactiques et procédures (TTP) des attaquants. Sans quoi, il est probable que seule une partie de l’attaque serait détectée.
Réduire le bruit de fond
Craignant de ne pas disposer des données nécessaires pour avoir une vue d’ensemble sur une attaque, certaines organisations (et les outils de sécurité sur lesquels elles comptent) collectent tout. Cependant, cela noie l’information dans un océan de données. Non seulement cela augmente le coût de la collecte et du stockage des données, mais cela crée aussi beaucoup de bruit de fond, entraînant une surproduction d’alertes et faisant perdre un temps précieux aux équipes qui doivent vérifier les faux positifs.
Utiliser le contexte
Les experts en réponse aux incidents ont une maxime qui dit : « Si le contenu est roi, le contexte est reine. ». En effet, ces deux éléments sont nécessaires pour mettre en œuvre un programme efficace de réponse aux incidents. Utiliser des métadonnées significatives associées aux signaux permet aux analystes de déterminer si ces derniers sont malveillants ou bénins.
L’un des éléments clés d’une réponse efficace aux menaces est de prioriser les signaux les plus importants. La meilleure façon de repérer les alertes critiques est de combiner le contexte fourni par les outils de sécurité (c’est-à-dire les solutions EDR [Endpoint Detection and Response]), l’intelligence artificielle, les données de renseignements sur les menaces et la base de connaissances de l’opérateur humain.
Le contexte permet de déterminer l’origine d’un signal, le stade actuel de l’attaque, les événements connexes et l’impact potentiel sur l’entreprise.
Conseil no 4 : Il n’y a pas de mal à demander de l’aide
Aucune organisation ne tient à faire face à une tentative de violation. Cependant, rien ne remplace l’expérience lorsqu’il s’agit de répondre à un incident. Cela signifie que les équipes informatiques et de sécurité chargées de répondre aux incidents critiques se retrouvent dans des situations où elles n’ont tout simplement pas les compétences nécessaires pour y faire face ; des situations qui ont souvent un impact considérable sur l’entreprise.
Le manque de personnel qualifié capable d’analyser et de répondre aux incidents est l’un des plus grands problèmes auquel est confronté le secteur de la cybersécurité aujourd’hui. Ce problème est tellement répandu que selon ESG Research2, « pour 34 % des entreprises, le plus grand défi est le manque de personnel qualifié pour analyser les incidents de cybersécurité impliquant un système d’extrémité afin de déterminer la cause profonde et la chaîne d’attaque ».
Pour répondre à ce problème, une solution alternative est née : les services de sécurité managés. Plus précisément, les services managés de détection et de réponse (MDR - Managed Detection and Response). Les services MDR correspondent à des opérations de sécurité externalisées, assurées par une équipe de spécialistes, qui agissent comme une extension de l’équipe de sécurité des clients. Ces services combinent des opérations réalisées par des experts (investigations, chasse aux menaces, surveillance en temps réel et réponse aux incidents) avec un ensemble de technologies pour recueillir et analyser les données de renseignements. Selon le Gartner, « d’ici 2025, 50 % des organisations utiliseront des services MDR »3, ce qui démontre que celles-ci se rendent compte qu’elles auront besoin d’aide pour mener à bien un programme complet d’opérations de sécurité et de réponse aux incidents.
Pour les organisations qui n’utilisent pas de services MDR et qui font face à une attaque active, les services d’experts en réponse aux incidents sont une excellente option. Ces experts sont appelés lorsque l’équipe de sécurité de l’organisation est débordée et a besoin d’aide extérieure pour traiter l’attaque et s’assurer que l’attaquant a été neutralisé.
Même les organisations qui disposent d’une équipe d’analystes de sécurité compétents peuvent tirer profit d’une collaboration avec un service de réponse aux incidents, notamment pour couvrir toutes les plages horaires (c’est-à-dire les nuits, les week-ends, les jours fériés) et pour disposer de toutes les compétences spécialisées nécessaires pour répondre aux incidents.
Selon le cabinet d’analystes ESG, pour 34 % des entreprises, le plus grand défi est le manque de personnel qualifié pour analyser les incidents de cybersécurité impliquant un système d’extrémité afin de déterminer la cause profonde et la chaîne d’attaque.2
D’ici 2025, 50 % des entreprises auront recours à des services MDR (contre moins de 5 % en 2019).3
Dans une enquête menée en 2022 auprès de 5 600 professionnels de l’informatique, 59 % ont déclaré que la complexité des attaques contre leur organisation avait augmenté au cours de l’année passée.
Comment Sophos peut vous aider
Service Sophos MDR (Managed Detection and Response)
Vous vous inquiétez de la capacité de votre organisation à répondre à un incident potentiellement grave ? Si c’est le cas, le service Sophos Managed Detection and Response (MDR) est une option qui mérite d’être envisagée.
Sophos MDR est une offre de services de chasse aux menaces, de détection et de réponse, entièrement gérée par une équipe d’experts 24 h/24 et 7 j/7. L’équipe Sophos MDR ne se contente pas de vous notifier lorsqu’une attaque ou un comportement suspect sont identifiés, mais intervient à votre place pour neutraliser les menaces les plus sophistiquées et les plus complexes à l’aide d’actions ciblées. Si un incident se produit, l’équipe MDR lancera des actions à distance pour intercepter, contenir et neutraliser la menace. L’équipe d’experts en opérations de sécurité fournit également des conseils pratiques pour traiter les causes profondes des incidents récurrents.
Service Sophos Rapid Response
Si votre organisation est attaquée et a besoin d’une assistance immédiate pour répondre à un incident, Sophos peut vous aider.
Piloté par une équipe d’experts en réponse aux incidents, le service Sophos Rapid Response identifie et neutralise de manière ultra-rapide les menaces actives ciblant les organisations. La prise en charge (onboarding) s’effectue en quelques heures et la majorité des clients font l’objet d’une priorisation (triage) sous 48 h. Le service est disponible à la fois pour les clients Sophos actuels, mais aussi pour les non-clients Sophos.
L’équipe Sophos Rapid Response est composée d’experts en réponse aux incidents qui prennent rapidement des mesures à distance pour prioriser, contenir et neutraliser les menaces actives. Les attaquants sont expulsés de votre parc informatique pour empêcher d’autres dommages.
Sophos Intercept X Advanced with XDR
Les organisations qui souhaitent augmenter en interne leur capacité de détection, d’investigation et de réponse aux incidents devraient s’intéresser aux capacités de Sophos XDR (Extended Detection and Response).
Sophos Intercept X Advanced with XDR permet à votre équipe de chasser les menaces sur l’ensemble des postes, des serveurs, des pare-feux, des charges de travail Cloud, des messageries, des mobiles et bien plus encore. La solution aide à maintenir l’hygiène de vos opérations informatiques sur l’ensemble de votre parc informatique. Sophos XDR permet à votre équipe de poser des questions détaillées pour identifier les menaces avancées, les attaquants actifs et les failles informatiques potentielles, puis de prendre les mesures appropriées pour les bloquer.
Sur le même thème
Nous espérons que vous avez trouvé cet article à la fois instructif et utile. Nous aimerions vous suggérer d’autres contenus autour de la réponse aux incidents de cybersécurité qui pourraient vous intéresser.
- Guide de Réponse aux incidents : Découvrez les 10 étapes clés pour élaborer un plan de réponse aux incidents efficace
- Études de cas MDR : Des histoires réelles vécues par les équipes Sophos Managed Threat Response et Rapid Response
RÉFÉRENCES
1 L’état des ransomwares en 2022 - Basé sur une enquête indépendante et agnostique menée auprès de 5 600 responsables informatiques dans 31 pays différents : https://www.sophos.com/fr-fr/whitepaper/state-of-ransomware
3 Gartner, Market Guide for Managed Detection and Response Services, 26 août 2020, analystes : Toby Bussa, Kelly Kavanagh, Pete Shoard, John Collins, Craig Lawson, Mitchell Schneider
4 L’état des ransomwares en 2022 - Basé sur une enquête indépendante et agnostique menée auprès de 5 600 responsables informatiques dans 31 pays différents : https://www.sophos.com/fr-fr/whitepaper/state-of-ransomware