Réponse à incident : « On est un peu comme les pompiers »

by admin
Réponse à incident : « On est un peu comme les pompiers »

Si votre maison brûle, le bon réflexe serait d’en toucher un mot aux pompiers du coin. Mais si votre entreprise se fait pirater, il est moins évident de savoir vers qui se tourner. De nombreuses sociétés se sont spécialisées dans le domaine de la réponse à incident, qui consiste à accompagner les entreprises victimes d’une attaque informatique dans l’identification et la remédiation de l’attaque. En 2015 au FIC, le gourou américain de la cybersécurité Bruce Schneier l’avait déjà annoncé : « le monde de la sécurité doit entrer dans l’ère de la réponse à incident ». Et six ans plus tard, face à l’épidémie de ransomware qui frappe les entreprises, on peut dire sans trop s’avancer qu’il avait sûrement raison.

Depuis son acquisition par Atos, la société Digital Security s’est renforcée sur ces missions et multiplie les prestations auprès d’organisations victimes d’attaques informatiques. L’entreprise nous a ouvert ses portes lors d’une opération de ce type, afin de mieux cerner ce rôle un peu particulier. L’occasion de nous présenter le travail d’une de leurs équipes sur un client en particulier, qui restera anonyme, accord de confidentialité oblige.

publicité

L’administrateur lève le lièvre

« Le client nous a contactés le mercredi 26 mai. Cela faisait plusieurs jours qu’un de leurs administrateurs avait détecté des traces d’activité étrange sur un contrôleur de domaine Active Directory », explique Loïc, chef d’équipe de réponse à incident pour Digital Security. En interne, c’est donc un administrateur sensibilisé aux questions de sécurité qui est le premier à lever l’alerte, constatant l’utilisation d’outils type Mimikatz sur plusieurs contrôleurs de domaine de la société. On espère qu’il aura eu droit à une augmentation. « Ils nous avaient transmis dès mercredi un premier rapport préliminaire, ce qui nous permet de constater que c’est effectivement suspect, et on décide de mettre en place une équipe pour intervenir dès le jeudi matin », explique Loïc.

Dans ce cas de figure, l’attaquant semble avoir pris pied dans le réseau, mais ne pas avoir encore mis en œuvre d’actions malveillantes. Il n’y a donc pas d’urgence absolue, mais une suspicion suffisante pour motiver l’intervention d’une équipe de réponse à incident. « On s’accorde avec le client sur nos objectifs : comprendre ce qui s’est passé, comprendre par où l’attaquant est passé, identifier d’éventuelles fuites de données. Puis, dès le lendemain, mon équipe s’attelle à la tâche. » Si le client de Digital Security reste anonyme, il n’en reste pas moins un acteur de taille conséquente : le système d’information compte environ 5 000 postes, avec plusieurs systèmes interconnectés, issus de différentes fusions récentes et répartis dans différents pays.

Méticuleuse enquête

Pour investiguer, l’équipe de Digital Security compte quatre analystes, encadrés par un chef d’équipe qui joue le rôle de point de contact direct avec la DSI et la direction. « Dès les premiers jours, on met en place un canal de communication avec le directeur des systèmes d’information. L’objectif, c’est de mettre en place un canal qui ne soit pas sur le système d’information, afin de ne pas éveiller les soupçons de l’attaquant. » Des cellules de crise sont également mises en place, dont une réunion tous les soirs avec la direction du client, pour le tenir informé de l’avancée des investigations.

Dans un premier temps, le choix est fait d’observer. « On met en place de la télémétrie et de la collecte d’informations sur les machines, on demande au client des informations sur son système et sur les différents équipements qu’il comprend. Ce n’est pas toujours quelque chose qui est fait en amont, alors ça demande de travailler main dans la main avec les équipes techniques. »

Les premières observations permettent de confirmer celles de l’administrateur ayant donné l’alerte : les logs des appareils, qui enregistrent tous les événements et actions sur les machines analysées, montrent l’utilisation de programmes comme Mimikatz, mais aussi de Cobalt Strike, un outil de test d’intrusion fréquemment utilisé par des cybercriminels. Les analystes identifient aussi des tentatives d’exploitation de la faille Zerologon, une faille qui permet de changer le mot de passe d’un contrôleur de domaine. « En analysant les différentes traces, on est parvenus à déterminer que l’attaquant s’est installé sur le réseau de l’organisation depuis une vingtaine de jours. Ce qui est finalement assez court par rapport à ce qu’on voit habituellement », explique Loïc.

Identifier le “patient zéro”

Au fil des analyses, l’équipe parvient à identifier une adresse IP correspondant à un appareil dont partent les premières requêtes associées à l’attaquant, le “patient zéro”. « On se rend compte que cette IP appartenait à un firewall, qui n’avait pas été listé par le client dans les premiers jours, lorsque nous avions demandé la liste des équipements. Ce firewall a été affecté par une faille bien connue des groupes de ransomware en 2019, et n’avait pas été mis à jour depuis. De là, l’attaquant est parvenu à voler les identifiants d’un administrateur, puis à se déplacer sur le réseau », explique le chef d’équipe.

Partant de ce “patient zéro”, les analystes parviennent à retracer les différents mouvements de l’attaquant et à avancer des hypothèses sur ses objectifs : les serveurs de sauvegardes de l’entreprise ont été pris pour cible, et plusieurs requêtes vers des serveurs externes à l’entreprise sont identifiées. « Parmi les IP de ces serveurs, on retrouve une adresse IP qui a été utilisée par le groupe de ransomware Ryuk, et d’autres éléments liés à un autre groupe de ransomware. » Autant d’éléments qui ne laissent pas trop de doute sur ce qui attendait la victime : un chiffrement de ses données et une demande de rançon, un scénario terriblement commun ces deux dernières années.

L’étape suivante consiste à mettre en place un plan de réaction, en collaboration avec la victime. « C’est quelque chose qu’on avait évoqué dès nos premières réunions avec le DSI, et eux-mêmes avaient des projets sur ce sujet, que l’incident a un peu accéléré », précise Loïc. L’objectif : la création d’une « bulle de confiance » constituée d’appareils sains et dotés de niveaux de sécurité bien plus élevés, afin de pouvoir repartir sur des bases saines, sur lesquelles l’attaquant n’aurait pas de prise. Une fois cette enclave mise en place, un plan de réorganisation et d’harmonisation globale du SI est envisagé sur plusieurs mois. « L’idée, c’est que si demain une bombe logique est activée par l’attaquant, les services prioritaires doivent être isolés et protégés, afin de limiter au maximum l’impact pour l’organisation », explique Loïc.

Pour l’équipe de Digital Security, c’est aussi le moment de synthétiser un rapport contenant leurs découvertes et leurs analyses sur le chemin emprunté par l’attaquant, ses objectifs et leurs conclusions. Avec tout de même quelques inconnues qui subsistent, comme l’admettent les analystes : « l’absence de logs réseau avant notre intervention nous empêche d’affirmer avec certitude qu’il n’y a pas eu de vol de données par exemple. On ne sait pas si l’attaquant a exfiltré des données volées sur les serveurs. Nous avons fait le tour des différents sites utilisés par les groupes connus pour voir si quelque chose n’avait pas été publié, mais rien n’a été identifié. Donc on a toujours un doute sur ce sujet ».

Un travail pas comme les autres

Les prestations de réponse à incident sont de plus en plus demandées, la faute à une épidémie de ransomware qui frappe durement les entreprises depuis maintenant plus de deux ans. Le rôle de ces équipes d’analystes spécialisées est multiple : l’investigation et l’analyse de l’attaque en premier lieu, mais pas uniquement. Rassurer et informer le client fait aussi partie du job, tout comme le conseil et les recommandations aux DSI, pour sécuriser et durcir le système d’information après une attaque.

Des inspecteurs de travaux mal finis en somme ? « Dans le domaine de la réponse à incident, les “soft skills” sont très importants. On arrive souvent face à des gens qui sont sur le pont depuis plusieurs jours, qui sont stressés et fatigués. Et quand on arrive, on sait qu’on va beaucoup les solliciter, qu’on va casser des choses parce qu’on intervient dans l’urgence. Mais la plupart du temps, ils nous remercient pour ce qu’on a fait et on reçoit beaucoup de gratitude », répond Loïc. Même constat pour Benoit, un analyste de l’équipe de Digital Security : « on est un peu comme les pompiers en fait. Et on en veut rarement aux pompiers d’avoir mis de l’eau partout pour éteindre l’incendie ».

Le rythme de travail reste très prenant, les missions de réponses à incident mobilisant le plus souvent une équipe de plusieurs analystes pendant une à deux semaines, avec des horaires pouvant parfois déborder du rythme classique. « On a parfois des week-ends ou des nuits blanches, mais on essaie de se limiter, et les règles de base en matière de droit du travail s’appliquent », explique Benoit. Pour le chef d’équipe, l’objectif est aussi de ménager ses troupes : « on fait tourner les équipes qui interviennent, on essaie surtout d’éviter de les faire enchaîner les interventions sur sites qui peuvent être vraiment fatigantes. Et quand c’est trop, on décline la prestation, parfois à contrecœur. Ça nous est encore arrivé récemment d’être contactés pour une réponse à incident sur un cas intéressant, et d’être obligés de dire non parce qu’on était déjà mobilisés ailleurs ».

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading