Rechercher
Fermez ce champ de recherche.

Un an plus tard : les leçons de l'attaque du rançongiciel Colonial Pipeline

Un an plus tard : les leçons de l'attaque du rançongiciel Colonial Pipeline
Un an s'est écoulé depuis la Pipeline Colonial Attaque de ransomware qui a causé Pipeline Colonial d'arrêter le service pendant cinq jours. Cette attaque a créé une énorme pénurie de carburant pour les États de l'Est et du Sud, et forcé Pipeline Colonial à payer une lourde rançon de 4.4 millions de dollars.

Les attaques de ransomwares se sont poursuivies sans relâche depuis lors, les plus récentes étant notamment LAPSUS$ et ONYX. (Ceux-ci non seulement chiffrent le fichier, mais menacent également de détruire l'ensemble du système.) Black Kite a publié son rapport 2022 Third-Party Breach Report, soulignant que Ransomware est devenu la méthode d'attaque la plus courante des attaques tierces en 2021. Tout ce qu'il faut est un trou : un mot de passe volé, un port ouvert (même juste pour une courte période de test), ou une vulnérabilité logicielle telle que Log4j pour laisser la porte Ransomware ouverte.

Un an plus tard : les leçons de l'attaque du rançongiciel Colonial Pipeline

Voici quelques leçons que nous avons tirées de la Attaque du pipeline colonial et ce que les organisations devraient faire pour se protéger :

 1 : Sensibiliser à la sécurité et appliquer les politiques de sécurité, par exemple :

  • Utilisez l'authentification multifacteur (MFA) pour rendre l'accès beaucoup plus difficile aux attaquants. Le compte VPN de Colonial Pipeline a été compromis car le mot de passe a été trouvé sur le dark web. L'activation de MFA rendrait l'attaque beaucoup plus difficile que la simple obtention d'un mot de passe.
  • Sauvegardez régulièrement les systèmes. Une fois la rançon payée, l'outil de décryptage fourni était si lent que les outils de planification de la continuité des activités de l'entreprise étaient plus efficaces pour rétablir la capacité opérationnelle.

2 : Un système de détection et de réponse est obligatoire

Après la réception du message de rançon, Colonial Pipeline a dû arrêter la production car ils ne savaient pas comment cela s'était passé et jusqu'où cela avait progressé. Il leur a fallu plusieurs jours pour déterminer de manière concluante que l'attaque était entièrement contenue. Disposer d'un système de détection et d'intervention aurait pu éviter l'arrêt. Un système de détection et de réponse doit :

  • Détectez les premiers signes d'une attaque et arrêtez-la rapidement avant qu'elle ne progresse pour minimiser les dégâts. Dans l'affaire Colonial Pipeline, l'exfiltration de données s'est produite avant l'attaque du rançongiciel. Un système de détection et de réponse aurait pu déclencher une alerte d'exfiltration, ce qui aurait déclenché une enquête et une réponse pour empêcher l'attaque de se transformer en une attaque de ransomware.
  • Détecter tout comportement suspect en plus d'avoir une couverture sur MITRE ATT & CK techniques et tactiques. Les attaquants peuvent simplement acheter des identifiants sur le dark web et se connecter en tant qu'utilisateur légitime. Ils ne déclencheront pas de détections basées sur les tactiques et techniques MITRE ATT&CK. Cependant, après leur entrée, ils présenteront très certainement des comportements suspects.
  • Montrez une image claire de la façon dont l'attaque s'est produite, pour montrer de manière concluante que l'attaque a été contenue. Colonial Pipeline a engagé Mandiant pour effectuer une recherche exhaustive de son environnement afin de déterminer qu'il n'y avait aucune autre activité connexe avant que l'attaquant n'ait accès au réseau le 29 avril en utilisant le compte VPN. Cependant, un bon système de détection aurait montré cela en temps réel sans jours de traçage et de balayage manuels.
  • Montrez jusqu'où l'attaque est allée et comprenez l'impact. A-t-il atteint des actifs critiques ? Cela permet de déterminer l'impact sur l'entreprise afin d'éviter des perturbations inutiles. La cible principale de l'attaque était l'infrastructure de facturation de l'entreprise. Les systèmes de pompage d'huile réels étaient encore en mesure de fonctionner. Cependant, il n'était pas clair pour Colonial Pipeline si l'attaquant avait compromis leur réseau technologique opérationnel - le système d'ordinateurs qui contrôlent le flux réel d'essence, jusqu'à quelques jours plus tard après que Mandiant ait balayé et tracé l'ensemble de leur réseau. Un système de détection doit montrer clairement jusqu'où l'attaque a progressé et quels sont les actifs impactés pour déterminer les actions correspondantes.
  • Montrez toutes les nouvelles attaques de suivi en cours. Au cours de l'enquête, Mandiant a installé des outils de détection pour surveiller toute attaque ultérieure. Un système de détection et de réponse solide surveillera 24 heures sur 7, XNUMX jours sur XNUMX, peu importe quand (ou si) une attaque se produit.

La leçon principale ici est d'utiliser un système de détection et de réponse unifié qui surveille l'ensemble de l'infrastructure de sécurité 24 heures sur 7, XNUMX jours sur XNUMX, détecte les premiers signes d'une attaque, corrèle différents signaux pour montrer comment l'attaque s'est produite et dans quelle mesure elle a progressé. C'est exactement ce que Stellar Cyber Plateforme ouverte XDR offre.

Remonter en haut