Cyber-sécurité : des produits, oui. Mais avant, il s’agit d’investiguer !
Cyber-sécurité : WannaCry hier, NotPetya aujourd’hui… et demain ? Face aux nouvelles menaces, EBRC et Guidance Software vont bien plus loin que la détection et la protection.
Le 19 avril dernier, Honda était contrainte d’interrompre sa production pendant 24 heures dans son usine de Sayama au Japon, victime de l’infection du ransomware WannaCry, tout comme l’Alliance Renault-Nissan pour cinq de ses usines co-gérées en France, Slovénie, Roumanie et en Inde. Si la propagation du programme a été contenue, des systèmes hors ligne non protégés ont été affectés. Un exemple de plus de l’onde de choc mondiale de ce malware qui a frappé 150 pays et a déjà infecté plus de 200 000 victimes, essentiellement des entreprises selon l’agence d’Europol. Depuis hier, le ransomware NotPetya se propage au niveau mondial avec plus de 2 000 ordinateurs corrompus comptabilisés à 19:00 le 27 juin. Les experts s’accordent à estimer que l’impact de cette dernière cyber-attaque serait pire encore que WannaCry…
WannaCry exploite une vulnérabilité connue du protocole SMB (Server Message Block), un protocole de réseau de Microsoft et non un e-mail de phishing ou une publicité malveillante. L’efficacité de WannaCry tient à sa capacité à se propager latéralement sur le même réseau et à s’installer automatiquement sur d’autres systèmes du réseau, sans aucune intervention de la part des utilisateurs. Le malware est particulièrement redoutable dans les environnements hébergeant des machines sous Windows XP, encore nombreuses dans le milieu industriel.
WannaCry nous renvoie à certaines réalités qu’il s’agit de prendre en compte en matière de cyber-sécurité de nos jours : la première : les nouvelles cyber-menaces qui sont à l’œuvre aujourd’hui profitent de la moindre négligence en matière de sécurité de la part des entreprises et particuliers. La seconde découle de ce fait : il est nécessaire d’implémenter une politique de sécurité garantissant les mises à jour sur tout le périmètre des réseaux d’entreprise, à savoir le réseau interne mais aussi tout ce qui relève du «shadow IT» car un seul poste vulnérable non à jour connecté à votre organisation suffit pour diffuser un malware tel que WannaCry. La troisième : les anciennes technologies de sécurité, notamment les antivirus se limitant à la correspondance de signature de virus et spyware (donc inefficaces face à une souche non connue ou un code malveillant ne relevant pas du virus ou du spyware) encore présents dans de nombreuses entreprises, n’offrent plus qu’une protection illusoire. En effet, les attaquants aujourd’hui portent leurs efforts de contournement en testant la capacité de détection de leur création par les AV et s’orientent plus volontiers vers des infections s’exécutant en mémoire seule via dropper, injection de processus, injection de DLL, ..) échappant ainsi à l’écriture au niveau disque qui fait l’objet des scans des AV.
Une approche de la sécurité «vivante»
Pour EBRC, on ne peut plus se contenter de produits pour répondre aux enjeux de la sécurité. Par essence, les produits sont figés, alors que les menaces sont volatiles -WannaCry en est un bon exemple. «Par essence, un produit est fonctionnellement figé alors qu’un service est ouvert; dans un monde où les risques sont mouvants, une appliance est insuffisante», estime Philippe Dann, EBRC Head of Risk and Business Advisory Services. Via son offre Trusted Advisory & Security Europe, EBRC propose une approche de la sécurité IT globale et, plus encore, «vivante» dans le sens où elle s’adapte aux besoins des sociétés en fonction de la nature de leurs risques et à leurs budgets. Sécuriser ne signifie pas seulement protéger et détecter. Il est primordial de mettre en place des solutions de résolution adaptées pour ne plus être exposé à des attaques sans savoir gérer les «scènes de crime». C’est dans ce cadre qu’EBRC et Guidance Software (NASDAQ:GUID), leader de l’industrie en matière de solutions d’investigation numérique, ont scellé leur collaboration.
Les solutions de cybersécurité forensique de Guidance Software sont conçues autour des modules EnCase; elles permettent aux organisations de répondre aux demandes de collecte et de préservation de la preuve électronique, d’analyse et de communication de documents en cas de litige, de rechercher des données sensibles à des fins de conformité réglementaire (Recherche d’IoC, recherches de données personnelles / GDPR), de mener des interventions rapides et approfondies en cas d’incidents liés à la sécurité et de révéler les grandes menaces persistantes, jusqu’ici masquées, ou des activités malveillantes de l’intérieur, sans aucune interruption des activités (fraude interne en utilisant des outils et droits d’accès légitimes ou contournés).
«Avec les produits de sécurité EnCase, qui constituent la norme mondiale dans les enquêtes numériques pour la sécurité et la réponse aux incidents, nous aidons nos clients -des entreprises et organisations de toute taille- à identifier rapidement les failles et à les contenir, de mener des enquêtes internes et de localiser des données sensibles errant au travers du système d’information, y compris les ordinateurs portables, les mobiles et les serveurs, poursuit Philippe Dann. EBRC peut ainsi définir le plan de remédiation le plus efficace pour la remise en service du système d’information impacté lors d’une cyber-attaque.»
EnCase, logiciel d’«investigation numérique»
Aujourd’hui, EnCase arrive en version 6. Fondamentalement, rien de changé, l’esprit est préservé : EnCase est -et reste- un logiciel d’«investigation numérique» dont la fonction première consiste à «faire ressortir la vérité, sur la base de faits et non pas de présomptions ou de doutes». Cette nouvelle version se caractérise d’abord par une interface utilisateur complètement redessinée, intuitive et simplifiée destinée à améliorer l’expérience de bout en bout des utilisateurs «non experts de la méthodologie forensique». Cette mouture se distingue également par des interfaces de programmation améliorées (API) pour étendre les capacités d’intégration avec des outils d’automatisation tiers (ThreatGrid, ThreatQuotient, Lastline, Splunk, QRadar, ArcSight, LogRhythm, Palo Alto, SourceFire…) Et pour affiner les capacités de détection, EnCase® 6 intègre le support des renseignements sur les menaces afin d’identifier plus rapidement les menaces cachées avant qu’elles ne conduisent à une brèche, mais également d’aider les équipes de réponse à incident à hiérarchiser leurs actions. EnCase® 6 doit enfin simplifier certaines actions liées à la réponse à incident, comme l’analyse de la mémoire vive, ou encore la recherche d’indicateurs de compromission.
Jeudi 6 juillet, EBRC et Guidance Software présenteront la version 6 d’EnCase dans les locaux d’Editus, à Kayl. Outre les nouvelles fonctionnalités, les deux partenaires démontreront l’importance d’une stratégie d’investigation dans le contexte de la protection des données avec trois cas d’étude. Un : comment améliorer la précision et accélérer la réponse et les investigations suite à un cyber-incident entre un SOC et un CSIRT (ex : WannaCry). Deux : comment mettre en oeuvre une réponse et des investigations appropriées en cas de cyber-attaque (ex : enquête sur les activités du DarkNet). Trois : comment contrôler te maîtriser votre conformité avec le GDPR ?
Renseignements et inscriptions :
http://www.ebrc.com/NewsRoom/Events/free-cybersecurity-breakfast-event-encaser-endpoint-security