Comment le CDS de StreamScan accélère la réponse aux incidents de type rançongiciel

Lors de la réponse à un incident de type rançongiciel, l’une des tâches les plus ardues consiste à identifier l’ensemble des machines (serveurs, ordinateurs, etc.) infectées et celles sur lesquelles le pirate a déjà déposé une copie de rançongiciel pour une exécution plus tard. Chaque minute compte et il faut agir vite pour minimiser les impacts.

L’identification des machines douteuses liées au rançongiciel est l’un des cauchemars des directeurs(trices) TI et CISO car s’ils/elles oublient une seule machine, ils/elles prennent le risque que le rançongiciel persiste dans le réseau et se propage à nouveau. Quelle tragédie! Personne n’a envie de vivre cela.

Comment ça marche actuellement?

En cas de rançongiciel, les équipes TI et la plupart des firmes de cybersécurité spécialisées en réponse aux incidents utilisent une méthode manuelle pour identifier les machines infectées et celles sur lesquelles le pirate a déposé une copie du rançongiciel. Pour cela, des techniciens TI seront appelés à la rescousse. Ils feront une analyse antivirale de chaque ordinateur du réseau, afin de vérifier s’il est infecté ou non. Imaginez que le réseau infecté ait 2000 ordinateurs. Quelle tâche ardue! L’identification manuelle des ordinateurs douteux peut prendre plusieurs jours, ralentissement de facto la réponse à l’incident. Nous avons vu des cas où cela a pris de 3 à 6 jours.

Souvent il faut trouver des techniciens TI externes (à travers une firme de placement) si on veut aller vite. Ceci crée encore plus de délais et rallonge le retour en production… dans le cas idéal.

Dans le pire des cas, ceci conduit à ce qu’on appelle le Cauchemar du lundi! Au retour de la fin de semaine, plusieurs employé(e)s essaient de se connecter au réseau alors que l’équipe TI doit vérifier si leur ordinateur est infecté par le rançongiciel ou non. Le défi: que fait-on passer en premier? La Haute Direction, la Production, Les Ventes, le Marketing, etc.? Évidemment chacun pense être prioritaire. Inutile de vous dire que vous allez devoir gérer les frustrations et les plaintes des employés.

Conclusion: en plus de rallonger les délais de retour en production, l’identification manuelle des machines douteuses augmente vos coûts (embauche de techniciens TI temporaires) et augmente vos pertes financières (les systèmes de production sont à l'arrêt, pas de vente, etc.).

La méthode Streamscan : l’automatisation

Les organisations qui appellent Streamscan pour les aider à gérer leur incident n’ont pas à vivre ce cauchemar. Nous utilisons une approche automatisée en 2 temps pour identifier et isoler toutes les machines douteuses liées à un cas de rançongiciel.

Etape 1- trouver une copie du rançongiciel et identifier ses indicateurs de compromission

Lorsque nous aidons une organisation à gérer un cas de rançongiciel, nous commençons par isoler le ou les machines infectées trouvées par l’équipe TI. Ensuite nous cherchons une copie du rançongiciel sur l’une des machines infectées. À partir de cette copie, nous identifions de manière automatisée les signes de la présence du rançongiciel (aussi appelés Indicateurs de compromission ou IOC) : quels processus et fichiers sont créés? Avec quelles adresses IP ou domaines externes il communique? Comment se propage dans le réseau? Quel est le Hash du rançongiciel?

Etape 2 - recherche automatisée et isolation de toutes les machines douteuses

Nous injectons ensuite certains des IOC pertinents du rançongiciel dans notre technologie de détection de cybermenaces CDS qui va analyser tout le parc informatique pour identifier l’ensemble des machines sur lesquelles il y’a des signes de la présence du rançongiciel. Ceci se fait en quelques heures maximum dans un réseau qui a plus de 2000 ordinateurs! Le gain de temps est énorme et ceci favorise un retour rapide en production.

De plus, vous n’avez pas à vous soucier du Cauchemar du lundi. Chaque fois qu’un ordinateur est branché au réseau, il est analysé automatiquement par le CDS.

Le bonus: la mise sous surveillance active de votre réseau pendant la réponse à l’incident

En plus de permettre une identification rapide de tous les ordinateurs douteux lors d’un cas de rançongiciel, la technologie CDS de Streamscan protège votre réseau tout au long de la gestion de l’incident. Lorsque l’incident est corrigé, nous continuons à surveiller votre réseau pendant quelques jours afin de nous assurer que vous n’êtes plus ciblé. Tout ceci vous donne une tranquillité d’esprit pour le retour en production.

N'hésitez pas à nous contacter si vous avez besoin d’aide pour gérer un cas de rançongiciel. Vous pouvez aussi nous appeler au 1-877-208-9040.