Attrapez les menaces en quelques minutes, et non en quelques jours avec OpenText MDR – Partie 1

Toutes les 11 secondes, il y a une attaque de ransomware. Les mauvais acteurs ciblent les entreprises et les systèmes d'infrastructure critiques pour leur prochaine opportunité. Dans de nombreux cas, ils infiltrent leur cible et attendent ensuite de frapper. OpenText™ Managed Detection and Response (MDR) a détecté de nombreuses activités malveillantes dans les heures suivant sa mise en œuvre et a empêché les attaques de causer des dommages financiers et de réputation majeurs. Fabian Franco, directeur principal de DFIR, Threat Hunting et SOC, OpenText, et Kevin Golas, directeur des services mondiaux de cybersécurité, OpenText partagent leur expertise et leurs réflexions sur la façon dont la MDR est un élément essentiel d'un plan de cyber-résilience.

Q. Comment les récentes attaques de ransomware de la chaîne d'approvisionnement ont-elles intensifié le besoin de services de sécurité gérés ?

FF : L'urgence était toujours là. Cependant, la publicité des attaques JBS et Colonial Pipeline a montré à quel point l'infrastructure est vulnérable à une attaque de ransomware. Maintenant que les responsables de la sécurité peuvent voir ce qu'un acteur malveillant peut faire à l'autre bout du monde pour paralyser notre chaîne d'approvisionnement, l'accent est mis de plus en plus sur la nécessité d'investir dans des solutions de cybersécurité. Les entreprises ne peuvent plus simplement acheter une technologie, la configurer et l'oublier, et supposer qu'elles sont entièrement protégées. Il est nécessaire de mettre en place des équipes de services gérés pour détecter des attaques telles que Solar Winds. Ces équipes d'experts sont les plus susceptibles de trouver les dernières versions de ransomware dans les environnements.

Malheureusement, beaucoup de gens pensent que ces attaques de ransomware se sont soudainement produites, mais la vérité est que les attaquants ont probablement été dans l'environnement depuis quelques mois déjà. Les attaquants se déplacent latéralement, accèdent aux données et utilisent des techniques de persistance. Ils peuvent également injecter des logiciels malveillants dans les sauvegardes. Puis, quand ils voient un moment opportun, ils frappent ces endroits avec un ransomware en même temps, ce qui rend plus difficile pour les autorités de nettoyer l'activité et de mener une enquête. Les récentes attaques ont mis en lumière la vulnérabilité de la chaîne d'approvisionnement et la façon dont les organisations doivent investir à la fois dans les technologies de cybersécurité et les services gérés pour détecter ces menaces avant qu'elles ne puissent causer de dommages.

Q. Quelles techniques et quels outils les attaquants utilisent-ils couramment ?

KG : En fin de compte, les ransomwares sont la principale chose qui frappe les entreprises et constituent le moyen le plus simple pour les attaquants. Peu importe les outils qu'ils utilisent, mais Colbalt Strike semble être l'un des plus faciles à utiliser. Quand il arrive entre les mains de personnes qui savent ce qu'ils font, c'est extrêmement dangereux.

FF : Chaque logiciel malveillant a son outil dans la boîte à outils, et Cobalt Strike est généralement le téléchargeur secondaire. Lorsqu'une machine est infectée, les attaquants ne déposent pas immédiatement Cobalt Strike dessus, car ils veulent s'assurer qu'elle est connectée à un domaine et qu'elle contient quelque chose d'intéressant. Si, par exemple, c'était mon ordinateur personnel, la plupart du temps, l'acteur menaçant ne va pas perdre son temps avec ça. Maintenant, si c'était un employé qui a cliqué sur l'e-mail de phishing sur sa machine de travail, alors il y a un domaine là-bas. Cela devient beaucoup plus attrayant et intéressant pour les acteurs de la menace. Ensuite, ils peuvent leur envoyer un e-mail de phishing contenant une macro malveillante ou un lien malveillant, par exemple, un malware IcedID qui s'exécute sur son environnement. Une fois qu'ils peuvent confirmer qu'il s'agit d'un domaine, ils vont déployer Cobalt Strike sur la machine. Cobalt Strike est généralement un malware secondaire qui est déployé et n'est pas lié à une seule campagne.

Q. Les attaquants deviennent-ils de plus en plus sophistiqués ?

FF : Lorsque nous prenons l'exemple de l'attaque de Cassia, la première fois que les attaquants sont entrés, c'était pendant les heures normales de bureau, lorsque l'activité était à son maximum. En règle générale, les acteurs malveillants diffusent les e-mails de phishing pendant les périodes les plus chargées, lorsque les employés reçoivent beaucoup d'e-mails et sont plus susceptibles de cliquer accidentellement sur un lien ou d'ouvrir une pièce jointe. Une fois qu'un attaquant est présent et persiste dans l'environnement, il attendra de déployer le ransomware pendant les heures creuses, lorsque les organisations disposent d'un personnel limité pour surveiller les alertes. Par exemple, faire la grève lorsque les gens partent pour un week-end de trois jours. Le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA) ont observé une augmentation des attaques de ransomware à fort impact se produisant les jours fériés et les week-ends, lorsque les bureaux sont normalement fermés. Les attaquants sont souvent dans l'environnement et des signes critiques sont manqués. Si les entreprises n'ont pas de fournisseur de services de sécurité gérés, c'est à ce moment-là qu'elles ont besoin d'un spécialiste pour enquêter.

Q. L'équipe a-t-elle trouvé des menaces nouvellement découvertes et inconnues auparavant ?

KG : Avec l'un de nos clients, peu de temps après notre ajout à leur réseau, nous avons identifié une nouvelle balise C2 que Cobalt Strike utilisait, qui n'était pas Signalé précédemment. OpenText a été le premier à l'identifier et à l'afficher publiquement pour sensibiliser les gens et connaître ce canal de commande et de contrôle de Cobalt Strikes. Nous pouvons découvrir les menaces en quelques minutes après leur déploiement sur un système. Dès que nos sources de télémétrie et de journal sont ingérées dans la plate-forme, en quelques minutes, nous pouvons voir ce qui se passe. Nous pouvons le faire parce que nos TTP sont déjà configurés. Ensuite, nous pouvons les personnaliser encore plus en fonction des exigences et de l'industrie de nos clients. l'Internet. Nous pouvons voir comment l'attaquant se déplace et comment il infecte d'autres machines et se déplace latéralement. Le client a alors souhaité déployer des agents supplémentaires pour avoir encore plus de visibilité. OpenText MDR a pu voir comment les attaquants affectaient les autres réseaux et, en quelques minutes, a pu commencer à atténuer les risques, à réduire les dommages potentiels et à ajouter de la valeur.

Q. Comment tirer parti de l'intelligence partagée ?

FF : Plus il y a de clients gérés par un service MDR, meilleure est la perspective des équipes sur les environnements de leurs clients. Plus nous avons de données, meilleures sont les solutions que nous serons en mesure de fournir à nos clients et plus nous pourrons analyser et chasser les menaces d'ensembles de données. Nous voyons des tendances parmi nos clients MSP et dans des secteurs verticaux comme les soins de santé. Lorsque nous voyons quelque chose se produire dans l'un de nos environnements, nous balayons toutes les données de nos clients pour nous assurer qu'elles n'existent pas ailleurs. OpenText MDR identifiera les tactiques, techniques et procédures (TTP) liées à un nouveau malware qui cible un environnement particulier, puis écrira ce TTP et l'appliquera à nos clients et les notifiera en temps réel. Nous intégrons entièrement OpenText BrightCloud® Threat Intelligence dans notre plate-forme MDR. L'intégration dans le SIEM fournit des informations de bouclage précieuses. Au fur et à mesure que nous identifions un nouveau malware, nous informons les clients de faire en sorte que leurs informations sur les menaces soient les meilleures possibles.