Je vois avec mon petit œil…

« Je souhaite développer la possibilité de suivre qui a cliqué sur le lien. »

En envoyant ce courriel à l'équipe commerciale, je me suis rendu compte que je passais pour un harceleur. Pourquoi diable le service de sécurité voudrait-il surveiller tous les clics ? J'ai donc décidé d'apporter quelques précisions pour dissiper les rumeurs. Nous venions de détecter une menace réelle : une attaque de phishing. Nous l'avions repérée grâce à la vigilance d'un membre de notre équipe commerciale qui l'avait signalée au service de sécurité.

En rédigeant un message de suivi pour expliquer mon raisonnement, j'ai réalisé que toute l'entreprise pourrait en bénéficier si je levais le voile et dévoilais le fonctionnement de la sécurité. C'est un domaine mûr pour l'expansion et l'innovation. En comprenant les besoins de la sécurité, on peut transformer en profondeur le secteur. intervenant en cas d'incident , nous pouvons aider nos les clients résolvent de nouveaux problèmes Nous utilisons PagerDuty pour accroître notre impact auprès de nos clients.

Comment fonctionne la réponse aux incidents de sécurité

Les équipes de sécurité ont généralement deux objectifs principaux : réduire les risques de cybersécurité pour l’entreprise et améliorer la confiance des clients. Un risque bien réel auquel nous sommes confrontés quotidiennement est qu’un attaquant puisse exécuter un logiciel malveillant sur n’importe quel ordinateur, à tout moment. Une équipe de réponse aux incidents de sécurité suit un processus pour comprendre et atténuer l’impact de chaque menace. Les grandes étapes que nous suivons chez PagerDuty sont basées sur… Cadre de cybersécurité du NIST et décrits dans notre Réponse aux incidents de sécurité plan:

• Détecter
• Contenir
• Répondre
• Récupérer

Maintenant, suivez-moi pour découvrir comment l'équipe de sécurité de PagerDuty réagit face à des menaces de ce type.

Les questions immédiates auxquelles nous souhaitons répondre sont les suivantes :

• L'attaque contient-elle une charge utile malveillante ?
• La charge utile malveillante a-t-elle explosé quelque part ?

Répondre à ces deux questions nous permet de comprendre l'impact initial de l'attaque et de contenir efficacement les dégâts.

La réponse à la question n° 1 était simple puisque nous avons reçu le rapport d'attaque de notre collègue. Nous avions le courriel contenant le lien et nous pouvions cliquer dessus pour examiner le contenu et vérifier s'il était malveillant. Dans ce genre de cas, par mesure de sécurité, nous utilisons un ordinateur isolé avec une machine virtuelle conçue pour l'analyse des fichiers suspects et nous cliquons sur le lien depuis cette machine virtuelle. Si le lien télécharge un fichier malveillant, nous pouvons immédiatement suspendre la machine virtuelle. Le logiciel malveillant ne pourra alors causer aucun dommage.

Avec cette méthode, si nous détectons qu'un lien installe un logiciel malveillant, nous le bloquons afin que personne sur le réseau de l'entreprise ne puisse le télécharger. Mais que se passe-t-il si quelqu'un l'a déjà téléchargé avant que nous ne mettions en place le blocage ?

Ceci nous amène à la question n° 2 : le logiciel malveillant a-t-il été exécuté ? Pour y répondre, il faut déterminer si quelqu’un l’a téléchargé, c’est-à-dire qui a cliqué sur le lien. Si plusieurs personnes l’ont téléchargé, il est impératif de déconnecter immédiatement leurs ordinateurs du réseau afin d’empêcher le logiciel malveillant de communiquer avec d’autres systèmes. Un logiciel malveillant peut attaquer d’autres ordinateurs du réseau et dérober des données sur votre ordinateur pour les transmettre à l’attaquant via Internet. Ces actions sont respectivement appelées « propagation latérale » et « exfiltration ».

Après avoir retiré les ordinateurs infectés du réseau, nous les inspectons afin de vérifier si le logiciel malveillant a pu s'exécuter. Il est important de noter que nous avons bloqué le vecteur d'attaque pour limiter les dégâts. avant Nous réagissons concrètement au problème. Notre objectif est d'empêcher la propagation de l'infection le plus rapidement possible. Parfois, vous avez de la chance. Il arrive que le logiciel malveillant ne fonctionne que sous Windows ou que sous macOS ; si vous l'avez téléchargé sur un système incompatible, vous n'êtes pas affecté.

Imaginons maintenant un scénario où trois personnes ont cliqué sur un lien et où le logiciel malveillant a pu s'exécuter car il ciblait le bon type d'ordinateur. C'est là que la situation se complique. Il est essentiel de comprendre les actions du logiciel malveillant pendant son exécution, avant que les trois ordinateurs ne soient déconnectés du réseau. A-t-il exfiltré des données via Internet ? A-t-il pu se propager latéralement pour attaquer un autre ordinateur ? A-t-il installé un enregistreur de frappe pour voler des mots de passe ? Les réponses à ces questions, et à d'autres encore, détermineront notre réaction et les mesures à prendre pour nous remettre de l'attaque.

Malheureusement, nous ne disposons pas aujourd'hui de la technologie nécessaire pour déterminer rapidement si quelqu'un a cliqué sur un lien et téléchargé un logiciel malveillant. J'espère toujours que personne ne le fait, mais je serais plus tranquille si je pouvais vous assurer qu'aucun de nos systèmes n'a été touché – d'où mon courriel concernant mon souhait de savoir qui a cliqué sur un lien.

PagerDuty pour la sécurité

Je vais terminer par un défi. Je vous ai expliqué combien il est crucial pour les équipes de réponse aux incidents de sécurité de réagir rapidement afin de limiter l'impact d'un incident. Je vous ai dit que la réduction des risques est la raison d'être de notre travail et de notre salaire. Mon défi est de répondre aux questions suivantes : comment les équipes de réponse aux incidents de sécurité peuvent-elles utiliser PagerDuty pour réduire leur temps de réponse ? Quel risque pourraient-elles éliminer pour leurs employeurs si elles parvenaient à contenir l'infection avant qu'elle ne se propage ? Quelles économies cela représenterait-il ?

Restez à l'écoute pour en savoir plus sur PagerDuty pour la sécurité ! En attendant, consultez nos ressources sur la sécurité :

• Perturber la sécurité : Modernisation de la sécurité informatique grâce à la SecOps et à la gestion des incidents
• Le développeur sécurisé : Sécuriser PagerDuty
• Signal Sciences corrige rapidement les anomalies de sécurité et protège les données clients grâce à PagerDuty.