Voici les 5 étapes classiques de remédiation lorsque l’on est victime d’une attaque de ransomware

0

D’après les leçons que nous avons retenues du ransomware Wannacry, le plus important pour les entreprises – à ce stade de l’attaque – est la gestion d’incident et le flux d’informations en temps réel. Les entreprises doivent être sures qu’au cours de ces heures premières heures critiques, elles ne causent pas de dégâts encore plus importants.

Les professionnels de sécurité doivent collecter un maximum d’informations pour pouvoir lancer leur investigation numérique (analyse forensique). Cela passe par exemple par la collecte de tous les événements (logs) générés sur leur réseau et l’enregistrement de toutes les sessions utilisateurs avec des outils de gestion des sessions, notamment dans les cas où le système doive être restauré à la suite d’une erreur humaine.

Voici les 5 étapes classiques de remédiation lorsque l’on est victime d’une attaque de ransomware :

* Etape 1 : L’isolation : Les points de terminaison (endpoints) infectés doivent être isolés le plus vite possible. Retirer le câble d’alimentation dès que vous voyez le logiciel malveillant !

* Etape 2 : Collecte d’informations – Qu’est-ce que c’est ? Comment cela fonctionne-t-il ? Comment gérer l’incident ? Des alertes de CERT ont-elles été émises ? Collecter de l’information sur un maximum de plateformes d’échanges d’informations : Twitter, blogs sécurité, autres entreprises, etc.

* Etape 3 : Segmentation du réseau : Filtrer le protocole infecté à partir du trafic réseau. C’est une décision d’évaluation des risques : faut-il empêcher la propagation de logiciels malveillants ou garder les processus métier en fonctionnement ?

* Etape 4 : Mettre en place des contre-mesures : Utilisez les indicateurs de compromission, mettre à jour les IDS et les règles de pare-feu, les systèmes anti-virus, un maximum de serveurs et clients lorsque les éditeurs anti-virus partagent les signatures du ransomware Petya.

* Etape 5 : Croiser les doigts : Garder une vigilance maximale sur les événements suivants. Peut-être une future variante ? Est-ce que tous les systèmes ont été patchés ? Est-ce que l’entreprise doit s’inquiéter de faire les gros titres de la presse ?? Dans la précipitation, est-ce qu’un outil aurait pu être mal configuré ?

About Author

Csaba Krasznay

Evangéliste produits de gestion des accès privilégiés chez Balabit

Leave A Reply