L'attaque du rançongiciel DarkSide sur le pipeline Colonial aux États-Unis n'est qu'un des nombreux exemples mondiaux qui montrent que la sécurité n'est pas seulement une question d'informatique, mais aussi de planification et de gestion stratégiques. 5 idées d'experts Sophos.
L'attaque du rançongiciel DarkSide contre le pipeline de carburant Colonial, qui fournit environ 45 % du diesel, de l'essence et du carburéacteur de la côte Est, n'est qu'un exemple qui rejoint désormais plus de 60 cas connus. Le service de santé irlandais, Toshiba Europe et la société chimique Brenntag, basée à Essen, figurent également parmi les victimes présumées. À maintes reprises, l'analyse des incidents révèle des problèmes au sein du réseau informatique qui existaient déjà avant l'incident et qui ont contribué à la susceptibilité aux attaques. Par conséquent, la question se pose de savoir pourquoi les personnes concernées n'ont pas épuisé toutes les précautions de sécurité potentiellement possibles et s'il existait un responsable de la cybersécurité dédié dans l'organisation au moment de l'attaque du ransomware. John Shier, conseiller principal en sécurité chez Sophos, résume les cinq principaux points à retenir des attaques depuis mai 2021.
Priorité à la sécurité informatique
Avec la situation de risque actuelle, les entreprises et les organisations ont besoin de quelqu'un qui a un œil sur la situation de risque actuelle, qui connaît la sécurité et qui siège au conseil d'administration de l'entreprise : le Chief Information Security Officer (CISO). Même si un CISO dédié est difficile à justifier pour certaines entreprises, il devrait y avoir une personne adéquate qui sache définir correctement les priorités en matière de sécurité informatique et qui les applique également. Par exemple, lors de l'audience coloniale devant le Sénat, on a appris qu'environ 200 millions de dollars américains avaient été investis dans l'informatique au cours des cinq dernières années - sans information précise sur la part réellement investie dans la sécurité informatique.
La capacité de prioriser la cybersécurité au sein de l'organisation, d'avoir un budget adéquat et d'avoir l'autorité nécessaire pour faire respecter les priorités sont des aspects essentiels de la cybersécurité.
Normes de sécurité utilisées
Dans de nombreux cas étudiés par l'équipe Sophos Rapid Response, le point d'entrée initial dans le réseau est un mot de passe unique volé, principalement pour des services distants. Dans le cas de Colonial, les attaquants ont utilisé le mot de passe volé pour accéder à un service VPN sur lequel l'authentification multifacteur (MFA) n'était pas activée. L'opérateur du pipeline pensait que ce profil VPN n'était pas utilisé et y prêtait probablement moins d'attention - une situation typique que les experts observent encore et encore. Il y a de fortes chances que les attaquants aient obtenu le mot de passe par une effraction antérieure, pour ensuite l'utiliser dans leur attaque de ransomware. Cela conduit à deux conclusions extrêmement importantes : les technologies de sécurité disponibles telles que MFA doivent toujours être activées et les spécialistes de la sécurité doivent prendre au sérieux les incidents de sécurité mineurs et passés, car ils peuvent être le signe avant-coureur d'attaques plus importantes.
Visibilité des événements du réseau
L'équipe d'intervention rapide de Sophos constate souvent que les victimes n'ont pas connaissance d'une attaque par ransomware tant que le ransomware n'est pas réellement lancé et que les données ne sont pas chiffrées. Cependant, les attaquants sont généralement sur Internet bien avant l'activation du rançongiciel. Les attaquants peuvent prendre des jours voire des mois pour se préparer à infliger un maximum de dégâts ou à extorquer des profits. Dans son Active Adversary Playbook 2021, Sophos suppose un temps de séjour moyen de onze jours pour les attaquants dans le réseau de la victime. Colonial faisait également partie des entreprises qui ne disposaient pas de la transparence et de la visibilité nécessaires pour identifier les attaquants à un stade précoce. Par conséquent, les outils Endpoint Detection and Response (EDR) sont d'une grande valeur, non seulement pour prévenir les attaques, mais aussi pour permettre à l'organisation de rechercher les menaces latentes.
planification des urgences
En particulier, les grandes entreprises ou les exploitants d'infrastructures importantes disposent généralement de bons plans d'urgence pour les événements de production, les défauts, les accidents et autres événements traditionnellement classiques. Cependant, les cyber-dangers semblent encore rarement ancrés dans de tels plans - c'est également le cas avec Colonial. Les plans d'urgence sont essentiels à la survie. Les organisations de toutes tailles doivent effectuer une évaluation de la sécurité et planifier la manière de réagir aux incidents potentiels. Certaines des évaluations peuvent être réalisées en interne, d'autres avec des spécialistes externes. Ensuite, proposez des plans pour a) mieux sécuriser les zones les plus faibles, b) mettre en place un processus en cas de problème, et c) tester les mesures d'atténuation par rapport au plan d'amélioration et de réponse.
Les informations provenant de sources telles que le Centre de partage et d'analyse de l'information (ISAC) doivent également être incluses, en particulier pour les entreprises et les organisations dans des domaines particulièrement importants. Ces organisations collectent, analysent et diffusent des renseignements sur les menaces et fournissent des outils pour atténuer les risques et améliorer la résilience.
Payer ou ne pas payer
Les entreprises sont toujours enclines à payer des rançons élevées aux attaquants dans une situation d'urgence. Il existe de nombreux exemples où des entreprises ont été contraintes de se conformer parce que leurs sauvegardes étaient corrompues ou manquantes. D'autres veulent remettre le réseau en marche dès que possible, et d'autres encore choisissent de payer parce que cela semble moins cher que le coût de sa restauration. Une autre raison courante est d'empêcher la vente ou la mise à disposition publique de données volées. Colonial a également cité l'une de ces raisons pour justifier le paiement.
Mais le paiement d'argent d'extorsion ne doit pas seulement être considéré de manière critique d'un point de vue juridique. Il faut être conscient du fait que le paiement d'une rançon n'est en aucun cas une garantie. Dans le rapport State of Ransomware Report 2021 Sophos a constaté qu'après avoir payé une rançon, les entreprises ne pouvaient récupérer en moyenne que 65 % de leurs données. Seulement 8 % des entreprises ont pu récupérer toutes leurs données et 29 % ont pu en récupérer moins de la moitié grâce au paiement. En plus de la rançon, les dommages indirects élevés doivent être pris en compte pour réparer les dommages causés par l'attaque et l'interruption d'activité et pour s'assurer qu'une telle chose ne se reproduise plus.
essence de l'évaluation
L'intensité criminelle croissante, la créativité et l'intelligence des attaquants ne peuvent être contenues, les développements de ces dernières années décrivent le contraire. Cependant, il existe de nombreuses possibilités, souvent inutilisées, pour réduire le potentiel de risque.
« Il ne devrait pas falloir une attaque pour qu'une entreprise ou une organisation devienne plus forte en matière de cybersécurité. Vous devez maintenant prendre le temps et les ressources nécessaires pour évaluer la situation en matière de sécurité afin d'établir immédiatement et avec le plus haut niveau de compétence - tant en interne qu'avec des spécialistes externes - une défense meilleure et précoce dans la mesure du possible », résume John Shier.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.