Dans l'état d'esprit d'un acteur de la menace

WEBINAIRE À LA DEMANDE

Veuillez trouver ci-dessous les questions qui ont été posées lors du webinaire sur la gestion des crises cybernétiques.

1. Je suppose qu'il n'y a pas de "Tripadvisor" pour les agents du Ransomware - quelle est la probabilité que vos données soient restaurées si vous payez ?

La réponse est que cela dépend. Il est dans l'intérêt de l'acteur de la menace de vous aider à récupérer vos données une fois que vous avez payé la rançon, afin d'asseoir sa propre crédibilité en vue d'attaques futures. Il existe de nombreux exemples d'organisations qui ont réussi à récupérer leur bien après le paiement de la rançon. Cela dit, l'outil de décryptage fourni peut ne pas fonctionner ou ne pas être digne de confiance, et vous pouvez rencontrer vos propres problèmes au cours du processus de récupération.

2. D'après votre expérience, avez-vous constaté que de nombreuses organisations disposent effectivement de plans de réponse aux incidents exploitables qui sont simulés puis effectivement suivis en cas d'incident grave ? Ou s'agit-il plutôt d'un plan de réponse aux incidents qui existe pour satisfaire aux exigences de conformité, mais qui n'est pas applicable/pratiqué, et les organisations préfèrent s'adresser à des experts en réponse aux incidents ?

C'est une excellente question. Malheureusement, le plan de réponse aux incidents a tendance à être élaboré pour satisfaire aux exigences de conformité. D'après notre expérience, l'aspect le plus précieux de ces plans réside dans leur élaboration, où les principales parties prenantes peuvent réellement discuter de leur réponse et collaborer.

Ils deviennent plus efficaces avec les simulations et les incidents réels lorsque les leçons apprises sont mises en œuvre. L'adaptabilité est essentielle, car chaque incident est unique, mais l'absence de processus est préjudiciable.

3. Je suis préoccupé par l'authentification unique, car elle peut permettre aux acteurs de la menace d'accéder facilement à plusieurs systèmes une fois qu'une brèche a été ouverte. Si ces systèmes sont liés à la technologie de l'information, c'est un réel problème. Conseilleriez-vous l'authentification unique pour les systèmes liés à la technologie de l'information ? Je ne suis pas convaincu des avantages par rapport aux risques. Surtout si les utilisateurs sont peu nombreux, moins de 5.

La réponse peut dépendre de la personne à qui vous vous adressez, mais je suis enclin à être d'accord avec vous pour dire que le SSO, en particulier sur les systèmes OT et critiques, peut représenter un risque important. Du point de vue d'un attaquant, si je peux compromettre un asset interne et découvrir qu'une application à l'intérieur de l'environnement s'authentifie automatiquement via le SSO, je suis libre de me déplacer dans l'environnement avec facilité.

En matière de sécurité défensive, on parle souvent de "séparation des privilèges". Je pense que, surtout dans les systèmes critiques, la séparation des privilèges devrait être appliquée même à partir d'assets internes de confiance.

4. Pouvez-vous nous parler de la réponse aux incidents pour une grande organisation multicouche et de la manière de gérer la crise à différents niveaux (par exemple : pilotage global depuis le siège jusqu'aux tâches opérationnelles sur les sites locaux) ?

J'espère que les explications données pendant le webinaire ont permis de répondre à votre question, mais pour développer un peu plus : pour les grandes organisations, il est essentiel de disposer d'un cadre de crise qui détaille la manière dont vos équipes opérationnelles locales travailleront avec vos équipes stratégiques.

Vous devez chercher à clarifier les rôles et les responsabilités à chaque niveau et identifier les meilleurs moyens pour ces groupes d'interagir. Cela peut se faire par le biais de briefings efficaces, de rapports de situation et, en fin de compte, de simulations, etc.

5. Existe-t-il des spécificités à prendre en compte pour la réponse aux incidents cybernétiques dans l'environnement OT ?

Il y en a certainement. Comme indiqué lors du webinaire, les acteurs de la menace pourraient potentiellement manipuler les systèmes OT pour causer davantage de dommages physiques, ou du moins menacer de le faire pour tenter d'exercer une pression. Ils pourraient également arrêter ou ralentir la production. Il existe de nombreux risques spécifiques liés à l'environnement OT, et vous trouverez de plus amples informations sur notre site web si cela peut vous être utile ici.

6. Étant donné le point d'entrée des mots de passe faibles dans ABC/CBA, quelle amélioration l'AMF apporterait-elle ?

L'AMF apporte toujours une amélioration significative dans la prévention de la compromission, en particulier avec les vecteurs d'accès initiaux communs qui se concentrent sur les identifiants. Cependant, lors des missions du Red Teaming, nous voyons encore souvent des organisations qui ne la mettent pas en œuvre de manière complète dans l'ensemble de leur domaine, ce qui permet aux attaquants de cibler des zones.

Il convient également de noter qu'il existe des outils accessibles au public qui permettent de capturer le jeton MFA lors de campagnes de Phishing (comme evilginx2), ce qui peut permettre à un attaquant de compromettre des comptes malgré tout.

La clé pour identifier cela du point de vue de la réponse aux incidents est de s'assurer que les connexions sont configurées pour enregistrer les tentatives d'accès MFA basées sur l'emplacement afin d'identifier les tentatives de connexion "hors normes".

7. Existe-t-il des cas connus où le stockage en mode blob d'une grande entreprise technologique a été compromis et chiffré (donc pas de serveurs de fichiers hébergés mais un véritable stockage en nuage) ? Comme Google Drive...

Les attaques contre le stockage blob/cloud sont moins courantes, mais elles existent toujours. Le S3 a joué un rôle important dans la violation de Capital One il y a quelques années. Ces violations sont souvent dues à des erreurs de configuration qui auraient pu être évitées.

Bien que les Ransomware puissent toujours avoir un impact sur ces solutions de stockage, la probabilité est réduite principalement en raison de la possibilité de configurer l'immutabilité des fichiers et de la gamme d'options de récupération flexibles. Vos solutions de stockage blob/cloud peuvent être affectées lorsqu'elles sont synchronisées avec des solutions locales et sur site (comme OneDrive et DropBox).

Si la copie locale est chiffrée, elle peut se synchroniser à nouveau et remplacer les copies stockées dans le nuage par la variante chiffrée. Le plus souvent, les acteurs de la menace qui n'ont pas accès au stockage local sont susceptibles d'exfiltrer et d'extorquer sans chiffrement, ce que nous avons vu récemment dans un plus grand nombre de cas.

8. Lorsque vous examinez le cadre à l'étape 4, où placez-vous les plans de reprise après sinistre spécifiques à chaque équipe dans le cadre ?

Dans le cadre, au niveau opérationnel, je m'attendrais à ce qu'un représentant technique fasse partie de l'équipe pour donner des conseils sur les plans de reprise et élaborer un plan de reprise en fonction des spécificités de l'incident. Ensuite, au niveau tactique, je m'attendrais à ce qu'un membre expérimenté de l'équipe informatique soit en mesure de faire un rapport plus global à l'ensemble de l'entreprise, en fournissant une estimation des délais et des coûts, et en obtenant le point de vue de l'entreprise sur l'établissement des priorités en matière de reprise.

9. Quels sont vos conseils pour renforcer la protection des comptes d'administrateurs et d'administrateurs de domaine ?

Le problème le plus courant que je rencontre dans le cadre de mes missions est le nombre de comptes d'administration. La première suggestion serait de limiter le nombre de comptes à haut privilège à ceux qui en ont besoin. En outre, un utilisateur qui a besoin d'un accès administratif au domaine ne devrait pas se connecter directement à ce niveau d'accès.

Un moyen de lutter contre cela est de mettre en œuvre une politique de "2e administrateur", dans laquelle le compte standard de l'utilisateur est un compte à faible privilège, et pour effectuer ses activités administratives, il doit se connecter à nouveau, avec le compte à plus haut privilège. Tous les comptes administratifs devraient également faire l'objet d'une politique de mot de passe beaucoup plus stricte afin de réduire le potentiel des attaquants à craquer les hachages d'extraction.

Enfin, l'ajout d'outils d'analyse du comportement des utilisateurs pour repérer les irrégularités dans l'utilisation des comptes permettra de donner l'alerte rapidement.

10. Pouvez-vous me dire comment détecter et arrêter une attaque à un stade précoce ? Nous essayons de le faire en gardant à l'esprit la chaîne de la mort cybernétique.

Du point de vue de la chaîne de destruction cybernétique, vous ne repérerez presque jamais rien lors de la phase de reconnaissance, ni lors de la phase d'armement. Par conséquent, la livraison est le premier moment où vous pouvez définitivement repérer un attaquant. Des contrôles stricts de la sécurité du courrier électronique, de la sécurité du périmètre et, surtout, de la formation des utilisateurs permettront une prévention précoce contre une violation du périmètre externe.

Cependant, il est toujours nécessaire de réfléchir aux menaces internes et aux connexions existantes (par exemple, entre entreprises). C'est ici que j'aime prendre la métaphore de l'épidémiologie. Lors de la propagation d'une pandémie, les gens sont infectés et ne le savent souvent pas jusqu'à ce que les symptômes apparaissent. Nous disposons de vaccins pour limiter les infections. Vous pouvez considérer des outils tels que le RED/AV comme des vaccins. Bien qu'ils soient utiles, ils n'empêchent pas totalement l'infection.

C'est pourquoi nous avons besoin de scientifiques et de médecins pour identifier les premiers symptômes et aider le public à comprendre comment repérer ces symptômes. Pour en revenir à la cyber sécurité, une solution robuste de journalisation/surveillance qui alimente un SIEM avec des bases de règles spécifiques et personnalisées permettra à votre SOC d'agir en tant que médecin et d'alerter sur les premiers symptômes d'infection.

Combinez cela avec un programme d'éducation des utilisateurs, qui permet à votre personnel d'agir en tant que public averti, qui peut prendre des mesures pour notifier et parfois empêcher la propagation d'une infection.