Le journal secret de l’initié IR : tout s’est calmé…
3 min read
Derniers mots célèbres : « on est en train de faire une accalmie » ou « c’est un peu plus facile en ce moment », quelque chose comme ça. Mais jamais le mot « Q ».
Il y a quelques semaines, il y a eu une certaine accalmie dans la cyberactivité. Depuis lors, nous avons eu des incidents qui ont commencé à avoir plus d’impact, ou du moins un impact plus visible, sur des personnes extérieures aux organisations attaquées – Pipeline colonial, JBS, entre autres. Mais nous avons également vu des gangs de ransomware prétendre qu’ils fermeraient ou n’attaqueraient pas des infrastructures critiques.
Quelles que soient les raisons pour lesquelles ils reculent, il est difficile en tant qu’intervenant d’un incident de s’en réconforter. L’expérience montre que les attaquants se tournent vers la prochaine chose, la prochaine vulnérabilité. En tant que défenseurs, nous ne pouvons jamais être tranquilles, nous devons toujours protéger, prévenir, détecter, réagir, analyser, analyser, analyser – juste au cas où nous aurions raté quelque chose.
Pendant toute accalmie, il y a toujours du travail à faire. A savoir aider les clients être aussi préparé que possible via des évaluations de préparation, des plans et des processus, des exercices sur table, des évaluations de compromis et le développement de davantage de services pouvant aider les clients à détecter et à répondre, tels que l’équipe violette, la détection et la réponse gérées, les évaluations de préparation aux ransomwares et les revues d’architecture de sécurité.
L’équipe de Check Point fait actuellement du très bon travail avec des exercices sur table, en travaillant sur des scénarios basés sur des événements réels pour découvrir dans quelle mesure les organisations sont préparées aux incidents.
Mais ensuite, comme toujours, cela a recommencé – quelqu’un a-t-il utilisé le mot « Q » ? Cette fois, à l’occasion des vacances de la fête de l’indépendance des États-Unis, un nouveau flux d’attaques de ransomware l’utilisation du logiciel de gestion informatique Kaseya est apparue. Plus de 200 organisations ont été touchées, mais qui sait combien ont été ou pourraient être touchées ?
Dans ce cas, les attaquants ont utilisé une vulnérabilité zero-day qui était en train d’être corrigée, et aurait a demandé une rançon record de 70 millions de dollars. Il y aura plus d’attaques comme celles-ci, notez mes mots, et nous attendions que des choses comme celle-ci se produisent.
Il y a des logiciels et des utilitaires tout autour des réseaux des organisations – quelque chose qu’a utilisé cet ingénieur il y a des mois, quelque chose qu’ils essayaient de faire fonctionner, quelque chose qu’ils ont mis en œuvre sans vraiment savoir comment cela fonctionnait ou ce qu’il pouvait faire ; toutes les choses sensées à faire à l’époque, mais qui causent maintenant des risques dans leur environnement.
Même sans ceux-ci, comment aurions-nous pu prévoir les attaques utilisant certains de ces produits et utilitaires ? Nous avons toujours parlé d’attaquants vivant de la terre en ce qui concerne leur utilisation des services publics intégrés, mais c’est un pas en avant.
Alors comment l’arrêter ? Nous ne pouvons pas nous attendre à ce que les organisations arrachent les logiciels qui leur permettent de fonctionner efficacement et, avec la fréquence croissante de ces types d’attaques, nous ne pouvons pas non plus couvrir toutes les bases – nous ne savons jamais quelle pourrait être la prochaine étape.
L’une des seules façons d’être mieux préparé est de supposer que quelque chose va mal se passer. Devenir plus résilient, avoir des sauvegardes, protéger les données sensibles de manière plus forte ou différente. Prévenir, détecter et réagir à tout comportement inhabituel.
La réponse aux incidents (IR) et les opérations de sécurité ont toujours été des emplois à temps plein, et il semble que cela ne va pas devenir plus facile dans un avenir proche.
The Secret IR Insider travaille chez un fournisseur de services et de solutions de cybersécurité Logiciel de point de contrôle.
Spécialistes de la réponse aux incidents (RI), ils sont en première ligne de la bataille en cours contre les cybercriminels malveillants, les ransomwares et autres menaces.
Leur véritable identité est un mystère.
