Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>

Plan de réponse aux ransomwares : Comment récupérer après l'attaque

Les ransomwares n'épargnent personne. Les organisations de taille moyenne, les écoles, les bibliothèques et même les hôpitaux subissent tous des attaques de ransomware aussi souvent qu'une fois toutes les onze secondes.

Les chances d'être touché par un ransomware ne sont jamais nulles, quelle que soit la posture de sécurité d'une entreprise. En d'autres termes, il ne s'agit pas de savoir si l'attaque se produira, mais quand elle se produira.

La prévalence des ransomwares rend vital pour chaque entreprise d'avoir un plan de réponse solide. Sans cela, une infiltration réussie causera invariablement des ravages dans toute l'organisation.

L'article suivant décrit un plan de réponse aux ransomwares que chaque organisation peut suivre à la suite d'une attaque de ransomware. Il a été préparé et vérifié par des experts d'Object First, une entreprise entièrement dédiée à l'arrêt des ransomwares dans leur élan.

Qu'est-ce qu'un Plan de Réponse aux Ransomwares ?

Un plan de réponse aux ransomwares est un ensemble d'étapes qui amortit le choc des ransomwares. Il instruit et rappelle aux administrateurs ce qu'ils peuvent et doivent faire pour minimiser les conséquences de l'attaque.

Pourquoi les administrateurs devraient-ils avoir un plan de réponse aux ransomwares en premier lieu ? Parce que les ransomwares sont toujours soudains et dévastateurs, laissant même les experts les plus chevronnés dans les affres de la panique. Un bon plan fournit un modèle pour l'urgence et du réconfort en temps de besoin.

Les ransomwares ne sont pas une sentence de mort — malgré toutes les apparences contraires. Il est plus utile de les considérer comme une inondation. L'inaction ne fera que permettre leur propagation, tandis que des contre-mesures appropriées peuvent les freiner et parfois même les inverser.

Raisons de Créer un Plan de Réponse aux Ransomwares

Le guide suppose le pire scénario, dans lequel les ransomwares cryptent les sauvegardes. Ce n'est pas improbable. Les auteurs ont depuis longtemps réalisé que les sauvegardes rendent leurs efforts criminels vains, ils les ciblent donc de plus en plus également.

Ce plan de réponse aux incidents de ransomware aidera à récupérer même ceux sans sauvegarde immuable. En cochant les éléments de ce plan, une organisation sera en mesure de :

  • protéger les ressources;
  • identifier la menace;
  • préserver la réputation;
  • prévenir la réinfiltration.

Plan de Réponse aux Incidents de Ransomware en Cinq Étapes

1. Réponse

La première règle de la réponse d'urgence : ne pas paniquer. La peur est naturelle, mais non contrôlée, elle conduit à des décisions hâtives et à des jugements précipités. Une courte méditation ou une promenade dans le parc aidera beaucoup à calmer l'esprit. Après cela, n'hésitez pas à passer à l'action.

  • Communiquer en toute sécurité. Gardez l'intrus dans l'ignorance et communiquez exclusivement par téléphone. Les services cellulaires fonctionnent en dehors des réseaux d'entreprise et échappent à la détection des ransomwares.
  • Prendre un instantané du cloud. Faites une copie des ressources cloud de l'entreprise et mettez-la en quarantaine pour une enquête judiciaire.
  • Identifier et isoler. Découvrez quels systèmes sont impactés et isolez-les du reste. Si les couper au niveau de l'interrupteur échoue, séparez-les physiquement du réseau en débranchant les câbles ou en éteignant le Wi-Fi.
  • Éteindre les appareils. Si un système refuse la déconnexion, éteignez-le. Notez cependant que c'est un moyen de dernier recours. Éteindre le matériel efface les preuves potentielles de la mémoire vive.
  • Classer les systèmes par ordre d'importance. La priorisation guidera la récupération éventuelle. Si disponible, référez-vous à la liste prédéfinie des services critiques de l'organisation.
  • Inspecter les systèmes de prévention. Vérifiez l'antivirus, l'EDR et les journaux système pour des traces de menaces précurseurs — le type de malware qui précède et permet les ransomwares. Des exemples incluent Bumblebee, Dridex et Anchor. Supprimez-les pour éviter une exposition supplémentaire aux ransomwares.
  • Cartographier l'intrusion. Enquêtez sur les routes d'attaque possibles. L'insight sur les points d'entrée et les voies d'infiltration informera les futures tactiques de prévention et améliorera la posture de sécurité.
  • Détecter la menace. Portez une attention particulière aux comptes Active Directory, aux nouvelles connexions, aux modifications des points de terminaison, aux logiciels de surveillance et de gestion à distance (RRM), à PowerShell et PsTools, à la communication de point à point, et à toute activité autour des outils système Windows et des administrateurs de domaine. Tout ce qui sort de l'ordinaire devrait inciter à une inspection plus approfondie, menant au malware derrière le cryptage.

2. Rapport

Tirer la sonnette d'alarme suit immédiatement la réponse initiale. Cette étape est indispensable malgré son caractère désagréable. Partager des informations sur l'attaque permet aux parties affectées de rester vigilantes et d'offrir une aide si elles le peuvent.

  • Informer en interne. À ce stade, chaque partie impactée, y compris les parties prenantes, devrait être informée de la violation et des actions entreprises contre celle-ci. Elles devraient également recevoir des mises à jour régulières au fur et à mesure que la situation évolue.
  • Contacter un avocat spécialisé en violations. Un avocat spécialisé en violations est un organisme externe d'experts aidant les entreprises touchées par des ransomwares. Les compagnies d'assurance incluent généralement une liste d'avocats spécialisés dans leurs polices ou sur leurs sites web.
  • Alerter les autorités. Les ransomwares constituent une infraction criminelle dans de nombreuses juridictions, donc les organisations peuvent être tenues d'informer les forces de l'ordre et les agences gouvernementales à ce sujet.

Aux États-Unis, envisagez de contacter :

En Europe, consultez cette liste d'Europol.

Indépendamment des exigences légales, les organisations étatiques peuvent fournir des ressources supplémentaires contre la menace — par exemple, des mécanismes de décryptage ou une analyse judiciaire d'échantillons de données.

  • Notifier les clients. Les entreprises préfèrent garder les incidents de ransomware sous silence par crainte de dommages à leur réputation. Mais la nouvelle de l'attaque finira par sortir, et les clients ont intérêt à l'apprendre de l'entreprise plutôt que de quelqu'un d'autre. La communication externe concernant l'incident devrait mentionner son ampleur et les risques associés, tels que les fuites de données.

3. Contention

Concentrez-vous sur le coupable avec des efforts d'investigation sévères. Mobilisez l'équipe de cybersécurité de l'entreprise et unissez vos forces avec des professionnels externes pour intensifier la pression sur l'attaquant.

  • Isoler les données pour analyse.

AVERTISSEMENT : Il s'agit d'une opération délicate qui doit être effectuée par ou avec le soutien d'experts en sécurité, tels que l'avocat spécialisé en violations ou CISA. Procédez avec prudence.

Extraire des échantillons de données des systèmes impactés. Concentrez-vous sur les éléments pertinents et soulevant des soupçons, tels que les journaux, les binaires spécifiques, les entrées de registre et les adresses IP. Collectez des données temporaires avant qu'elles ne disparaissent — par exemple, les journaux de sécurité Windows ou les tampons de journaux de pare-feu.

  • Trouver l'origine. Passez en revue tous les systèmes et comptes, y compris les e-mails, pour identifier le point d'entrée initial.
  • Sécuriser les points de terminaison. Fermez tous les points de terminaison et les interfaces pointant vers l'extérieur, tels que les VPN, les serveurs d'accès à distance, les ressources de connexion unique, etc. Sinon, ils restent une voie potentielle d'accès à vos systèmes.
  • Éliminer les mécanismes de persistance. Trouvez et neutralisez tous les processus à long terme que les attaquants pourraient avoir laissés derrière eux, tels que des authentifications prolongées, des portes dérobées, des exploitations de vulnérabilités, etc.

4. Éradication

Le périmètre est sécurisé. Maintenant, ramenez les systèmes à une capacité opérationnelle en nettoyant et en réinitialisant tout ce qui aurait pu entrer en contact avec le malware. C'est le seul moyen d'expurger les résidus malveillants de l'infrastructure.

  • Effacer les systèmes affectés. Il peut être tentant de ne couper que les données infectées pour que l'ensemble du système ne soit pas sacrifié, mais cela ne vaut pas le risque d'omission. Pour une sécurité maximale, nettoyez tout ce qui est infecté.
  • Recharger à partir d'images. Remplacez les services compromis par leurs nouvelles images selon la liste de priorité. Avec le cloud, reposez-vous sur l'infrastructure en tant que code pour le même processus.
  • Réinitialiser les mots de passe. Les attaquants ne pourront pas réinfecter s'ils ne peuvent pas utiliser les identifiants qu'ils auraient pu voler.

5. Prévention

Maintenant que la menace est passée, réduisez les chances qu'elle se reproduise. Il y a quelques mesures qu'une organisation peut prendre pour renforcer sa résilience contre les ransomwares :

  • Éduquer. Organisez des formations sur les meilleures pratiques en matière de sécurité des données pour tous les employés afin qu'ils sachent comment éviter les pièges de l'ingénierie sociale et reconnaître les signes précoces de menaces.
  • Auditer. Examinez les systèmes en termes de résilience face aux logiciels malveillants.
  • Sécuriser. Configurez les ports de bureau à distance (RDP) pour n'accepter que les hôtes de confiance et éteignez toujours ceux inactifs. Appliquez des paramètres de sécurité stricts à tous les points de terminaison.
  • Segmenter. Compartimentez le réseau physiquement et avec un VPN — séparez les éléments du réseau orientés vers l'intérieur de ceux orientés vers l'extérieur. Appliquez les principes de Zero Trust à la gestion des contrôles d'accès.
  • Mettre à jour. Gardez toujours tout à jour. Même un léger retard dans les mises à jour peut donner aux hackers une fenêtre pour entrer.
  • Appliquer. Préparez et suivez une stratégie de sauvegarde robuste avec l'immuabilité au centre.

Ressources utiles

Une stratégie de défense contre les ransomwares robuste diminue les chances de futures attaques, mais il est toujours utile d'avoir des ressources concrètes prêtes. Envisagez de créer, de conserver et de mettre à jour régulièrement les informations suivantes :

  • Équipe de réponse aux incidents. Listez les personnes responsables de la remédiation d'une attaque.
  • Inventaire des actifs. Spécifiez les actifs matériels et logiciels, idéalement sous forme de tableau. Cela offrira une vue d'ensemble instantanée de l'infrastructure de l'entreprise.
  • Liste des services critiques. Définissez une liste hiérarchique de ressources numériques, telles que des applications, des ensembles de données et des sauvegardes.
  • Liste de contacts. Notez les coordonnées des affiliés et des membres de l'organisation qui pourraient subir les conséquences d'une attaque de ransomware.
  • Opportunités de formation. Détaillez les exercices théoriques et pratiques, tels que des cours, des ateliers et des simulations d'incidents, disponibles pour les employés et de préférence classés par difficulté pour correspondre au bon niveau d'expertise.
  • Leçons apprises. Collectez des informations sur les attaques passées et les exercices de sécurité pour soutenir les futures atténuations.
  • Plan de Réponse aux Incidents de Ransomware. Élaborez un plan d'action détaillé de réponse aux ransomwares pour rationaliser le contrôle des dommages.

Sauvegarde immuable contre les ransomwares

Une sauvegarde est immuable lorsque personne — y compris les administrateurs et les utilisateurs root — ne peut la modifier ou la supprimer. Ces sauvegardes reposent sur le mécanisme d'écriture-une-fois-lire-plusieurs-fois (WORM), mis en œuvre au niveau logiciel ou matériel.

L'immuabilité basée sur le logiciel est plus flexible et rentable car elle peut être définie dans le temps et remplacée par de nouvelles données lorsque son temps de protection expire.

Les sauvegardes immuables résistent au cryptage, ce qui en fait l'assurance parfaite contre les ransomwares. En cas d'attaque, suivez notre plan de réponse aux incidents de ransomware pour vous débarrasser du malware, puis procédez à la récupération à partir de sauvegardes immuables.

Ootbi—immuabilité prête à l'emploi pour Veeam

Ootbi d'Object First est un appareil de sauvegarde basé sur un objectif conçu pour Veeam. Il est livré avec une immuabilité prête à l'emploi, fonctionne sur S3 Object Lock, et utilise stockage d'objets pour mieux accueillir de grands pools de données. Installé, empilé et alimenté en moins de quinze minutes, Ootbi s'intègre parfaitement à n'importe quelle instance Veeam, prend en charge tous les protocoles Veeam et ne nécessite aucune expertise technique pour être configuré.

Conclusion

Les ransomwares s'avèrent être l'une des plus grandes menaces à la sécurité de la décennie actuelle. Les entreprises qui souhaitent rester en sécurité et pertinentes doivent élaborer un plan de réponse aux ransomwares ou faire face à des temps d'arrêt significatifs et à des pertes de données qui résultent généralement d'une attaque.

Les appareils de sauvegarde immuables et isolés tels que Ootbi émergent comme la dernière ligne de défense et une assurance rare contre les ransomwares. Le plan et la sauvegarde fournissent le meilleur protection contre ransomwares qu'une entreprise puisse espérer.

FAQ

Qu'est-ce qu'un Plan de Réponse aux Ransomwares ?

Un plan de réponse aux ransomwares énumère les étapes à suivre en cas d'incident de ransomware. Il permet aux organisations de réagir rapidement et de contenir l'attaque, en gardant les dommages au minimum.

Quelle est la meilleure pratique en matière de réponse aux ransomwares ?

Les experts s'accordent à dire que le meilleur moyen de prévenir et de contrecarrer les ransomwares est de procéder à des sauvegardes régulières. En fin de compte, cependant, seules les sauvegardes immuables garantissent la tranquillité d'esprit car personne ne peut y toucher.

Quelle est la règle 3-2-1 des ransomwares ?

La règle 3-2-1 des ransomwares recommande que chaque organisation s'appuie sur trois sauvegardes. Deux devraient être sur différents types de supports, et une devrait être hors site.

Une variation de la règle l'étend à 3-2-1-1-0 — le 1 et le 0 supplémentaires représentent une copie immuable et isolée et zéro erreurs lors des tests de sauvegarde.

Actualités produit

En soumettant ce formulaire, je confirme avoir lu et approuvé la Politique de confidentialité.