Lorsqu’il s’agit de répondre à un incident, il ne suffit pas de traiter uniquement les symptômes. Il est important de traiter également la maladie.
Lorsqu’une menace est détectée, la première chose à faire est d’établir la priorité des actions à mener. Il peut s’agir de nettoyer un exécutable de ransomware, un trojan bancaire ou encore de bloquer l’exfiltration de données. Toutefois, il arrive souvent que les équipes bloquent l’attaque initiale sans se rendre compte qu’elles n’ont pas vraiment résolu la cause profonde.
Le fait de réussir à supprimer un logiciel malveillant et d’archiver une alerte ne signifie pas que l’attaquant a été éjecté de l’environnement. Il est également possible que ce qui a été détecté n’ait été qu’un test effectué par ce dernier pour évaluer les défenses de la victime. S’il a encore accès à l’environnement, il frappera probablement à nouveau, mais de manière plus forte cette fois.
Les équipes de réponse aux incidents doivent s’assurer qu’elles remédient bien à la cause profonde de l’incident. L’attaquant a-t-il encore un point d’ancrage dans l’environnement ? Prévoit-il de lancer une seconde vague ? Les experts en réponse aux incidents ont remédié à des milliers d’attaques et savent où et quand approfondir leur investigation. Ils analysent tout ce que les attaquants font, ont fait ou prévoient de faire sur le réseau, et les neutralisent.
Par exemple, les experts en réponse aux incidents de Sophos ont réussi à déjouer une attaque qui a duré neuf jours et a vu les attaquants tenter à trois reprises de frapper une organisation avec un ransomware.
Lors de la première vague de l’attaque (qui a finalement été bloquée par la solution Endpoint de l’organisation), les attaquants ont ciblé 700 ordinateurs avec le logiciel Maze et ont demandé une rançon de 15 millions de dollars. Réalisant qu’ils étaient attaqués, l’équipe de sécurité de la victime a fait appel aux compétences avancées de l’équipe Sophos Managed Threat Response (MTR).
Les experts Sophos ont rapidement identifié le compte administrateur compromis, identifié et supprimé plusieurs fichiers malveillants, et bloqué les commandes de l’attaquant et les communications C2 (Command and Control). L’équipe Sophos MTR a ensuite pu défendre l’organisation contre deux nouvelles vagues d’attaques successives. Si les attaquants étaient parvenus à leurs fins et que la victime avait payé la rançon, cela aurait pu être l’un des paiements les plus chers à ce jour.
Dans un autre exemple, l’équipe Sophos MTR a répondu à une potentielle attaque de ransomware mais n’a pas identifié d’indices concordants. À ce stade, certaines équipes auraient pu clore le dossier et passer à autre chose. Cependant, l’équipe Sophos MTR a continué son investigation et découvert un trojan bancaire historique. Heureusement pour ce client, la menace n’était plus active, mais cela montre l’importance de regarder au-delà des symptômes initiaux afin de déterminer la cause profonde, car cela pourrait être un indicateur d’une attaque plus large.