J'observe avec mon petit œil…

« J’aimerais développer la capacité de suivre qui a cliqué sur le lien. »

Lorsque j'ai envoyé cet e-mail à l'équipe commerciale, j'ai réalisé que j'avais l'air d'un harceleur effrayant. Pourquoi diable la sécurité voudrait-elle suivre tout ce qui est cliqué ? J'ai décidé qu'il était nécessaire d'avoir plus de contexte pour aider à dissiper toute rumeur désagréable. Nous venions de détecter une menace réelle, une attaque de phishing. Nous avons détecté l'attaque parce qu'un membre de notre équipe commerciale était vigilant et l'a signalée à l'équipe de sécurité.

Alors que j'écrivais un message de suivi pour expliquer ma réflexion, j'ai réalisé que toute l'entreprise pourrait bénéficier si je levais le voile et révélais « comment fonctionne la sécurité ». C'est un domaine mûr pour l'expansion et la disruption. En comprenant les besoins d'une entreprise de sécurité intervenant en cas d'incident , nous pouvons aider notre les clients résolvent de nouveaux problèmes en utilisant PagerDuty et élargir l'impact que nous avons pour nos clients.

Comment fonctionne la réponse aux incidents de sécurité

Les équipes de sécurité ont généralement deux objectifs principaux : réduire les risques de cybersécurité pour l'entreprise et améliorer la confiance des clients. Un risque très réel auquel nous sommes confrontés quotidiennement est qu’un attaquant puisse exécuter des logiciels malveillants sur n’importe quel ordinateur à tout moment. Une équipe de réponse aux incidents de sécurité suit un processus pour comprendre et atténuer l'impact de chaque menace à laquelle nous sommes confrontés. Les étapes de haut niveau que nous suivons ici chez PagerDuty sont basées sur le Cadre de cybersécurité du NIST et décrit dans notre Réponse aux incidents de sécurité plan:

• Détecter
• Contenir
• Répondre
• Récupérer

Maintenant, rejoignez-moi pour vous expliquer comment l'équipe de sécurité de PagerDuty répond à des menaces comme celles-ci.

Les questions immédiates auxquelles nous souhaitons répondre sont les suivantes :

• L’attaque contient-elle une charge utile malveillante ?
• La charge malveillante a-t-elle explosé quelque part ?

Répondre à ces deux questions permet de comprendre l’impact initial de l’attaque et de contenir correctement les dégâts.

La réponse à la question n°1 était simple puisque nous avons reçu le rapport d'attaque de notre collègue. Nous avions l'e-mail avec le lien et nous pouvions suivre le lien pour examiner la charge utile et voir si elle était malveillante. Dans de tels cas, pour plus de sécurité, nous utilisons un ordinateur isolé avec une machine virtuelle conçue pour inspecter les fichiers suspects et nous suivons le lien depuis l'intérieur de cette machine virtuelle. Si le lien télécharge quelque chose de malveillant, nous pouvons immédiatement suspendre la machine virtuelle. Le logiciel malveillant ne pourra pas faire de dégâts.

En utilisant cette méthode, si nous détectons qu'un lien installe un logiciel malveillant, nous bloquons le lien afin que personne sur le réseau du bureau ne puisse le télécharger. Mais que se passe-t-il si quelqu'un l'a déjà téléchargé avant que nous ne mettions en place le blocage ?

Cela nous amène à la question n°2 : la charge malveillante a-t-elle explosé quelque part ? Pour répondre à cette question, nous devons savoir si quelqu'un a téléchargé le logiciel malveillant, c'est-à-dire qui a cliqué sur le lien. Si plusieurs personnes ont téléchargé le logiciel malveillant, nous devons immédiatement retirer leurs ordinateurs du réseau afin que le logiciel malveillant ne puisse pas communiquer avec d'autres systèmes. Les logiciels malveillants peuvent attaquer d'autres ordinateurs sur le réseau et voler des données de votre ordinateur et les envoyer via Internet à l'attaquant. Ces actions sont appelées respectivement « mouvement latéral » et « exfiltration ».

Après avoir supprimé les ordinateurs infectés du réseau, nous les inspectons pour voir si le logiciel malveillant a pu s'exécuter. Notez que nous avons coupé le vecteur d'attaque pour contenir les dégâts avant Nous réagissons réellement au problème. Nous voulons empêcher l'infection de se propager le plus rapidement possible. Parfois, vous avez de la chance. Parfois, le logiciel malveillant ne fonctionne que sur Windows ou sur un Mac. Si vous l'avez téléchargé sur le système sur lequel il ne fonctionne pas, vous n'êtes pas affecté.

Voyons maintenant un scénario dans lequel nous avons découvert que trois personnes ont cliqué sur le lien et que le logiciel malveillant a pu s'exécuter parce qu'il ciblait le bon type d'ordinateur. C'est là que les choses deviennent vraiment délicates. Nous devons comprendre ce que le logiciel malveillant a fait pendant son exécution, avant que les trois ordinateurs ne soient déconnectés du réseau. A-t-il exfiltré des données sur Internet ? A-t-il pu utiliser un mouvement latéral pour attaquer un autre ordinateur ? A-t-il installé un enregistreur de frappe pour voler des mots de passe ? Les réponses à ces questions et à d'autres déterminent notre façon de réagir et ce que nous devons faire pour nous remettre de l'attaque.

Malheureusement, nous ne disposons pas aujourd’hui de la technologie qui nous permet de déterminer rapidement si quelqu’un a cliqué sur un lien et téléchargé un logiciel malveillant. J’espère toujours que personne ne le fera, mais je dormirais mieux la nuit si je pouvais vous dire avec certitude qu’aucun de nos systèmes n’a été affecté, d’où mon e-mail concernant mon souhait de savoir qui a cliqué sur un lien.

PagerDuty pour la sécurité

Je terminerai par un défi pour vous. Je vous ai dit à quel point il est important que les équipes de réponse aux incidents de sécurité réagissent rapidement pour contenir l'impact lorsqu'un événement de sécurité est détecté. Je vous ai dit que la réduction des risques est la raison pour laquelle nous faisons notre travail et gagnons nos salaires. Mon défi pour vous est de répondre aux questions suivantes : Comment les intervenants en cas d'incident de sécurité peuvent-ils utiliser PagerDuty pour réduire le temps nécessaire pour répondre ? Quel risque pourraient-ils éliminer pour leurs employeurs s’ils étaient capables de contenir l’infection avant qu’elle ne se propage par mouvement latéral ? Combien d’argent cela permettrait-il d’économiser ?

Restez à l'écoute pour en savoir plus sur PagerDuty pour la sécurité ! En attendant, consultez nos ressources de sécurité :

• Perturbation de la sécurité : Réorganiser la sécurité informatique grâce à SecOps et à la gestion des incidents
• Le développeur sécurisé : Assurer la sécurité de PagerDuty
• Signal Sciences résout rapidement les anomalies de sécurité et protège les données des clients avec PagerDuty