Adopter une approche plus opérationnelle de la sécurité
Introduction
Fut un temps, pour les attaques hautement sophistiquées étaient l’apanage d’un club particulièrement select, celui des APT – menaces avancées persistantes. Le terme désigne toujours ces groupes d’acteurs malveillants, aux contours plus ou moins flous, opérant avec la bénédiction plus ou moins explicite d’États-nations. Mais ce temps est révolu.
Depuis plusieurs années, la cybercriminalité financière emprunte de plus en plus aux APT. Et le mouvement s’est encore accéléré en 2019 et 2020. De fait, dans les attaques de ransomwares, le chiffrement des serveurs et des postes de travail n’est généralement déclenché qu’après une compromission en profondeur du système d’information, passant par la prise en main d’un contrôleur de domaine. Celle-ci permet aux assaillants de retourner les systèmes d’administration de l’entreprise contre elle-même, pour désactiver les protections sur les hôtes du réseau et déployer la charge utile finale.
Mais tout cela ne se fait pas par magie. Les activités préalables, de déplacement latéral et d’élévation de privilèges, laissent des traces. Même conduites avec une infinie discrétion, ces activités peuvent être détectées. À condition de savoir quoi chercher et comment le faire. Il n’est pas question de dire que c’est simple, mais les technologies existent pour cela.
Renforcer sa sécurité opérationnelle, en aidant les analystes à se concentrer sur les alertes qui comptent, est d’autant plus crucial que les attaquants sont compétents. Et qu’on ne s’y trompe pas : ils le sont. En suivant plusieurs dizaines de négociations suivant des attaques de rançongiciel, nous avons observé des assaillants ayant frappé des environnements virtualisés, que ce soit en exploitant des vulnérabilités ou en accédant au serveur vCenter. Et c’est sans compter avec ceux qui expliquent à leur victime comment ils avaient détruit leur infrastructure de sauvegarde.
À vrai dire, nous avons même vu des attaquants recommandant à leurs victimes de déployer une solution d’EDR pour améliorer leurs capacités de détection. Alors si les cyberdélinquants eux-mêmes le recommandent…
1Adopter-
Pourquoi la détection est essentielle
Ransomware : pourquoi quand il détone, c’est vraiment trop tard
Les assaillants sont probablement installés de longue date dans le système d’information. Les travaux de reconstruction seront de toute façon longs et laborieux. D’où l’importance de stopper l’infection en amont. Lire la suite
Cybersécurité : ce que dit, et ne dit pas, le sondage Cesin/OpinionWay
Largement repris dans la presse, les résultats de ce sondage peuvent être présentés de manière dramatique. Mais ce qu’ils disent en filigrane des grandes entreprises françaises n’est pas forcément très séduisant. Lire la suite
Pourquoi déterminer la nature d’une cyberattaque bloquée à temps est si difficile
Intercepter des assaillants avant, par exemple, qu’ils ne déclenchent un ransomware est assurément une bonne nouvelle. Mais déterminer alors leur motivation et leurs objectifs peut s’avérer très difficile, voire impossible. Lire la suite
Face à un risque « élevé » de cyberattaque, Air France-KLM joue la précaution
Le groupe franco-néerlandais vient d’engager une opération de renouvellement massive de mots de passe motivée par un « risque élevé de cyberattaque ». Le signe d’une forte suspicion d’intrusion. Lire la suite
Sopra Steria : une attaque éclair ? Pas si vite…
Selon nos informations, le premier contact avec Trickbot remonte au 15 octobre. Mais c’est le 19 octobre au soir que la situation semble prendre un tournant décisif, soit environ 24 h avant que ne débute le déploiement de Ryuk. Lire la suite
2Mettre en œuvre-
Où concentrer ses efforts
Détecter Trickbot avant qu’il ne soit trop tard… et que Ryuk ne détone
Ce cheval de Troie est fréquemment utilisé dans les attaques conduisant au déploiement du ransomware Ryuk, comme Sopra Steria vient d’en faire l’expérience. Mais ce n’est pas une fatalité. Lire la suite
Ransomware : où concentrer ses efforts de détection ?
L’automne est marqué par une activité particulièrement intense des cyberdélinquants adeptes des rançongiciels. Ces derniers ne brillent toutefois pas par leur furtivité. C’est leur mode de distribution qui s’avère redoutable. Lire la suite
Emotet : comment éviter une cyberattaque conduite avec ce malware ?
… et se prévenir d’une éventuelle détonation ultérieure d’un ransomware. En combinant filtrages multiples, protection du poste de travail, renseignement sur les menaces, et journalisation, suivant une approche de contrôle continu. Lire la suite
Mimikatz, déplacement latéral : comment se protéger ?
Ce logiciel – ou du moins les techniques qu’il utilise pour dérober des données d’authentification – est souvent impliqué dans les attaques de ransomware. Son créateur, Benjamin Delpy, explique comment s’en protéger. Lire la suite
Contre les ransomwares, la difficile chasse aux signaux faibles
Il ne semble plus y avoir que l’épreuve de la reconstruction à craindre d’une attaque par rançongiciel. De quoi encourager au renforcement des capacités de détection. Mais cela n’a rien de généralisé. Lire la suite
EDR : le Mitre livre les résultats de son évaluation des capacités de détection
L’organisation a de nouveau confronté plusieurs solutions de détection et de remédiation sur les points de terminaison, à une émulation d’attaque cette fois-ci conduite par le groupe APT29, et produit des résultats très détaillés. Lire la suite
3Aller plus loin-
Une approche intégrée de la sécurité
Comprendre ce à quoi correspond le XDR
Cet acronyme est utilisé par un nombre croissant de fournisseurs d’outils de cybersécurité. Mais que cache ce concept de détection et réponse étendues ? Lire la suite
Comment le renseignement sur les menaces profite à la cybersécurité
Le renseignement sur les menaces informatiques est essentiel pour comprendre les risques externes courants. Apprenez comment trouver les bons flux de renseignement, et comment leurs données peuvent améliorer votre posture de sécurité. Lire la suite
Airbus CyberSecurity : « faire de la détection sans renseignement sur les menaces c’est impossible »
La filiale du groupe aéronautique pratique le renseignement sur les menaces depuis de longues années en s’appuyant, notamment, sur des outils open source. Mais elle utilise désormais la plateforme de ThreatQuotient, principalement en raison de cas d’usage spécifiques. Lire la suite
Le renseignement sur les menaces doit sortir de son silo
Le monde de la threat intelligence gagne en maturité. Les grandes entreprises se sont dotées de cellules spécialisées ou s’appuient sur des MSSP. Il reste désormais à franchir une nouvelle étape : le partage de ces informations entre les équipes. Lire la suite