Il s'agit du premier article de notre série sur le verrouillage, dans laquelle nous discutons des méthodes que vous pouvez utiliser pour contenir efficacement les événements de sécurité, et de la manière dont Vectra peut vous aider. Restez à l'écoute pour l'article suivant qui mettra en évidence les capacités de verrouillage automatisé de Vectra et notre couverture pour Microsoft Azure et AWS !
Le temps presse
Tous ceux qui travaillent dans le domaine de la réponse aux incidents (RI) vous diront que plus vite vous contiendrez un événement, moins il y aura de chances qu'il devienne un incident à part entière. La validation d'une détection doit être rapidement suivie d'un isolement. Cela permet de gagner du temps pour la collecte de preuves, la délimitation du champ d'application et, en fin de compte, la remédiation. Selon le type de détection, il se peut que nous n'ayons qu'une partie du tableau.
Prenons l'exemple d'une détection par balayage de port ciblant un certain nombre d'hôtes à partir d'une source unique. Dans ce scénario, nous devons savoir comment on accède au système, comment l'attaquant a pris pied, depuis combien de temps il a accès au système, ou si un mouvement latéral a été effectué avec succès. Il faut du temps pour répondre à toutes ces questions.
Il faut également tenir compte du temps de séjour de l'attaquant. Plus il a accès à l'environnement, plus il se rapproche de son objectif (par exemple, chiffrer les serveurs de fichiers et demander une rançon à l'entreprise, ou exfiltrer la nouvelle recherche sur laquelle votre organisation travaille depuis plusieurs années). Le fait d'entraver la progression de l'attaquant et de donner aux personnes chargées de répondre à l'incident un temps précieux pour enquêter permettra de prendre des décisions plus éclairées lors de la remédiation. Une fois qu'un attaquant dispose d'un accès privilégié, il peut aller plus vite et plus loin pour accomplir sa mission.
Prenons l'exemple du ransomware MAZE: les attaquants ont créé leurs propres comptes et utilisé des comptes privilégiés pour se répandre sur le réseau. Le confinement est la solution pour interrompre cette progression et empêcher les attaquants tels que les opérateurs de MAZE d'utiliser des comptes privilégiés sur le réseau pour déployer leur ransomware.
Comment l'appliquer ?
Il y a plusieurs façons de contenir un attaquant. Nous pouvons isoler l'attaque de deux façons : premièrement, par l'intermédiaire d'un agent endpoint sur l'hôte ; deuxièmement, sur la pile réseau en désactivant le compte utilisé pour le mouvement latéral ou en modifiant le service exploité. Dans la plupart des cas, l'isolation de endpoint peut rapidement et efficacement arrêter toute interaction en interrompant la communication des systèmes cibles vers ou depuis n'importe quel endroit, à l'exception d'une liste prédéfinie de systèmes. Cela permet de collecter des preuves supplémentaires à distance sans avoir à mettre le système hors ligne et à le renvoyer à votre équipe de réponse aux incidents, qui peut mener l'enquête à distance avant de rendre le système à l'équipe informatique locale ou à l'utilisateur final.
Si nous identifions un compte qui fait l'objet d'une utilisation abusive à des fins de déplacement latéral, nous pouvons désactiver ce compte dans Active Directory. S'il s'agit d'un compte local, il est peu probable que l'attaquant puisse aller très loin, car les comptes locaux ne bénéficient pas de privilèges de groupe et interdisent à l'attaquant de se déplacer latéralement.
Nous pouvons également obtenir un résultat similaire en utilisant la pile réseau pour effectuer l'isolation, en utilisant les ACL (listes de contrôle d'accès) ou en plaçant le système dans un VLAN séparé qui empêche l'interaction avec d'autres systèmes sur le réseau. La création d'un VLAN pour la remédiation est une pratique courante, et ce VLAN permet à endpoint de communiquer avec des systèmes de gestion tels que le serveur de mise à jour Windows Patch Server, Microsoft System Center Configuration Manager (SCCM), ou l'antivirus endpoint detection and response (EDR), mais nulle part ailleurs sur le réseau.
Une autre façon de parvenir à l'isolation est d'utiliser les GPO (Group Policy Objects) de Microsoft pour gérer les règles de pare-feu de Windows endpoint . Vous créez une stratégie pour bloquer tous les services par défaut, puis vous mettez les services critiques sur liste blanche. Il est important de veiller à ce que les règles locales soient ignorées, car un utilisateur (ou un logiciel malveillant) peut modifier les règles de pare-feu des systèmes locaux par défaut.
Pour les services critiques pour lesquels il n'est pas possible d'isoler le système sans impact sur l'activité, il faut envisager de limiter l'accès au service en fonction de l'IP source ou du compte. Sur un système Linux, nous pourrions utiliser les tables d'adresses IP ou mettre à jour le fichier /etc/host.deny. Nous devrions également prendre en compte l'accès à partir du système : s'il s'agit d'un relais de messagerie, nous pourrions peut-être limiter exclusivement le trafic vers et depuis le port TCP 25 et vers une destination internet (Exchange) pendant que nous poursuivons nos recherches. Il ne sera pas possible d'écrire un manuel de jeu pour chaque scénario ; cela dit, il est important d'être conscient que des scénarios inhabituels peuvent survenir et nécessiter une expertise en matière de réponse aux incidents.
Deuxième partie - le site cloud:
La rapidité est un ingrédient clé pour un confinement réussi. Se connecter à une autre plateforme, trouver l'hôte ou la politique que vous souhaitez et l'appliquer prend du temps. Vectra permet aux équipes de sécurité de confiner directement dans la plateforme, les utilisateurs peuvent facilement voir et gérer les paramètres de confinement à partir d'un seul et même panneau de verre.
Dans la prochaine partie de cette série de blogs, nous verrons quelles actions peuvent être entreprises pour l'infrastructure sur le site cloud et comment automatiser les actions de verrouillage à partir de Vectra.