Une semaine à peine après la fermeture du Colonial Pipeline à la suite d'une attaque massive de ransomware, les pirates informatiques récidivent. On apprend aujourd'hui que les services de santé irlandais ont fermé leurs systèmes informatiques vendredi dernier à la suite d'une attaque ciblée par ransomware, tandis qu'une entreprise chimique allemande a dû payer une rançon de 4,4 millions de dollars le même jour.
Nous voyons déjà les premières ramifications de l'attaque contre Colonial : les conducteurs américains de plusieurs États ne peuvent plus remplir leur réservoir d'essence en raison d'une pénurie de carburant, et qui sait quel sera l'impact sur des secteurs tels que les voyages et le transport maritime dans un avenir proche. Aujourd'hui, c'est le système de santé d'un pays tout entier qui est touché par des cybercriminels : il ne s'agit plus seulement d'un problème technologique, mais d'un problème beaucoup plus vaste.
Les ransomwares dans le secteur de la santé sont une nouvelle preuve de la convergence de la vie physique et de la vie numérique - un impact susceptible de diminuer la qualité de vie et les soins dont les gens ont besoin pour vivre. Mais avant de nous habituer à sauter du lit et à pointer du doigt les centres d'opérations de sécurité (SOC) débordés au moindre signe de violation ou d'attaque, laissons de côté le jeu des reproches pendant une seconde.
S'il y a une entité au sein d'une organisation qui ne souhaite pas qu'une telle chose se produise, c'est bien le SOC. Il est également très probable que le personnel de direction ait été convaincu de la nécessité de donner la priorité à la prévention et aux alertes de sécurité, au point que les SOC ont un quota d'alertes de sécurité à atteindre et à rapporter dans le cadre de leur travail. Une mesure insensée si l'on considère que les alertes ne sont pas synonymes d'attaques.
Une grande partie du problème réside dans le fait que trop de vendeurs de produits de sécurité remplissent la salle d'air chaud en indiquant que les alertes sont la solution. Ce n'est pas le cas.
Recherche de réponses
Notre site Director of Security Research, Nathan Einwechter, a récemment rencontré des représentants de Security Boulevard pour discuter de l'attaque de Colonial Pipeline. Il a déclaré que si le groupe à l'origine de l'attaque "est bien connu pour son niveau de sophistication et sa progression lente et intentionnelle", rien dans l'outillage ou les tactiques utilisés dans l'attaque n'était particulièrement nouveau ou inédit.
Et c'est ce qui est vraiment alarmant. Les tactiques utilisées ne sont pas nouvelles, mais on attend des équipes de sécurité qu'elles utilisent les mêmes outils qui, nous le savons, ne fonctionnent pas, alors qu'elles devraient plutôt s'attacher à fournir un meilleur soutien au SOC. Avec le bon soutien, elles seront en mesure d'ajuster correctement l'approche globale de la détection et de la réponse.
Pour vraiment aller de l'avant et s'éloigner de la folie, nous devons tirer des leçons de ces incidents et appliquer une approche différente. Les organisations doivent partir du principe qu'une violation se produira, et lorsqu'elle se produit, c'est une fois de plus la preuve qu'il ne faut pas compter uniquement sur les alertes de endpoint pour l'arrêter. Comme le mentionne l'article de Security Boulevard, le groupe à l'origine de l'attaque Colonial est connu pour la lenteur de sa progression, qui prend souvent des semaines ou des mois avant de devenir destructrice.
Nous ne savons pas combien de temps les pirates sont restés à l'intérieur, mais si les attaquants sont assis dans votre environnement, contrôlant à distance vos points d'extrémité, se déplaçant latéralement pour élargir l'accès, collectant des informations, exfiltrant des données ou travaillant à tout objectif qu'ils sont déterminés à atteindre - comment le saurez-vous ?
Il est important de reconnaître que les attaquants ne font pas de mouvements évidents - ils n'ont pas besoin d'envoyer des exploits bruyants par fil lorsque le vol d'informations d'identification pour utiliser les services administratifs existants suffit amplement. Tout cela revient à soutenir le SOC. Trop souvent, ils manquent de personnel, n'ont pas suffisamment de visibilité sur leurs environnements et ne disposent généralement pas des ressources nécessaires pour traquer le flot d'événements qui sortent inévitablement de leurs outils existants.
Les SOC n'échouent pas par manque d'intelligence ou d'efforts, mais parce que leurs organisations ne leur fournissent pas les ressources et le soutien dont ils ont besoin. Il s'agit notamment de les aider à s'éloigner de leur mode de fonctionnement standard, où l'on attend d'eux qu'ils gèrent des milliers d'événements par jour et qu'ils trouvent d'une manière ou d'une autre ces un ou deux problèmes critiques. Il s'agit de disposer de suffisamment de temps et de ressources (formation, politiques et outils) pour traiter les questions urgentes. Mais gardez à l'esprit que plus le problème global n'est pas traité, plus nous devrons nous attendre à entendre ces récits édifiants - espérons qu'ils inciteront à l'action, et non à l'indifférence.