Détection et prévention des ransomwares avec IBM QRadar SIEM
Détecter les ransomwares et y répondre
Les ransomwares sont devenus l'un des modèles de gestion les plus solides de la cybercriminalité et coûtent aux organisations des milliards de dollars chaque année. Lors d'une attaque de logiciel rançonneur, les cybercriminels volent ou chiffrent des données précieuses et exigent ensuite un paiement pour les récupérer en toute sécurité. Ces attaques, auparavant de simples nuisances pour les consommateurs, sont maintenant des logiciels malveillants sophistiqués dotés de capacités de chiffrement avancées qui touchent tous les secteurs d'activité, toutes les zones géographiques et des entreprises de toute taille.
La protection de votre organisation contre les ransomwares et autres types de logiciels malveillants exige une réponse rapide, car à chaque seconde qui passe, davantage de fichiers sont chiffrés et davantage d'unités sont infectées, ce qui augmente à la fois les dommages et les coûts. IBM QRadar SIEM vous aide à détecter rapidement ces menaces, afin que vous puissiez prendre des mesures immédiates et éclairées pour prévenir ou réduire les effets de l'attaque.
La menace des ransomwares
Dans la lutte contre les ransomwares, la détection et la prévention précoces sont essentielles. QRadar SIEM offre une analyse de sécurité intelligente permettant de dégager des connaissances exploitables contre les menaces les plus critiques.
des cyberattaques sont des ransomwares.¹
Le coût moyen d'une attaque par ransomware est de 5,13 millions de dollars.¹
Les organisations disposant d'une IA de sécurité et d'automatisation ont identifié et contenu une violation de données 108 jours plus rapidement.¹
Comment QRadar SIEM aide à se protéger contre les ransomwares
Les ransomwares, comme la plupart des logiciels malveillants, passent par plusieurs phases. QRadar SIEM peut repérer les ransomwares connus et inconnus au cours de ces phases. Une détection précoce peut aider à prévenir les dommages causés lors des phases ultérieures. QRadar fournit des extensions de contenu qui incluent des centaines de cas d’utilisation pour générer des alertes au cours de ces phases. Les extensions de contenu sont distribuées par l’intermédiaire d’App Exchange et permettent d’obtenir les cas d’utilisation les plus récents.
La plupart des logiciels malveillants et des ransomwares « connus » peuvent être détectés dès les premières phases. Pour détecter les ransomwares inconnus, QRadar SIEM propose des cas d'utilisation qui se concentrent sur la détection des comportements des ransomwares. La visibilité sur les points de terminaison, les serveurs d'application (sur site et dans le cloud) et les périphériques réseau (pare-feu) permettent à QRadar SIEM Use Case Manager de détecter les modèles de comportement des ransomwares qui s'étendent à votre infrastructure informatique et technique. Use Case Manager peut vous permettre de visualiser les cas d'utilisation ou les règles qui portent sur ces phases à l'aide de la matrice MITRE ATT&CK.
Au cours de cette phase, les ransomwares ressemblent à d'autres logiciels malveillants. Ils utilisent des techniques d'hameçonnage pour inciter vos employés peu méfiants à cliquer sur un lien ou un fichier exécutable dans un courrier électronique, un Honeypot, un média social ou un message texte.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements de distribution et des ransomwares connus :
- Fichier exécutable incorporé dans un courrier électronique
- Communication par courrier électronique ou par Internet avec un hôte hostile
- Objet du courrier électronique suspect
C'est à ce moment que le chronomètre se déclenche. Le ransomware se trouve désormais dans votre environnement. Si le ransomware a utilisé un injecteur (dropper) pour éviter d'être détecté lors de la phase de distribution, c'est à ce moment-là que l'injecteur passe un appel à IBM, télécharge l'exécutable réel et l'exécute.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements d'infection :
- Détection d'un fichier ou d'un processus malveillant
- Détection d'IOC malveillants
- Décodage ou téléchargement de fichiers suivi d'une activité suspecte
Le ransomware scanne la machine pour analyser les droits d'administration qu'il pourrait obtenir, s'exécuter à l'amorçage, désactiver le mode de récupération, supprimer les copies miroir, etc.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements d'installation :
- Tentative de suppression des copies miroir et des sauvegardes
- Récupération désactivée dans la configuration d'amorçage
Maintenant que le ransomware détient la machine depuis la phase de lancement, il va entamer une phase de reconnaissance du réseau (chemins d'attaque), des dossiers et des fichiers avec des extensions prédéfinies, et autres.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements de reconnaissance :
- Tentative de suppression des copies miroir et des sauvegardes
- Tailles limites du transfert de données
C'est à ce moment que commencent les véritables dommages. Les actions typiques sont les suivantes : création d'une copie de chaque fichier, chiffrement des copies, placement des nouveaux fichiers à l'emplacement d'origine. Les fichiers originaux peuvent être exfiltrés et supprimés du système, ce qui permet aux attaquants de faire chanter la victime en la menaçant de rendre la violation publique, ou même de divulguer des documents volés.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements de chiffrement :
- Suppression ou création excessive de fichiers
- Nombre suspect de fichiers renommés ou déplacés sur la même machine (UNIX)
- Tailles limites du transfert de données
Les dommages sont causés et l'utilisateur reçoit une notification lui indiquant comment payer la rançon pour obtenir la clé de déchiffrement. À ce stade, il n'y a plus grand-chose à détecter, si ce n'est la création du fichier d'instructions de déchiffrement.
Exemple de cas d'utilisation de QRadar SIEM pour trouver des comportements de notification de rançon :
- Création d'instructions de déchiffrement de ransomware
Les cas d’utilisation pour trouver des ransomwares sont disponibles dans les extensions de contenu suivantes sur App Exchange :
Après la phase d’infection initiale, chaque seconde est cruciale. Plus vite vous détectez le ransomware, plus vite vous pouvez lancer votre plan de réponse aux incidents (RI). Plus le plan de RI est efficace, plus il est rapide pour empêcher les ransomwares de passer par les différentes phases. En matière de RI, le NIST et le SANS suivent des lignes directrices qui ont fait leurs preuves. Tout plan de RI comporte quelques aspects clés.
Mise en place de sauvegardes.Les sauvegardes hors ligne sont essentielles en cas d'attaque par ransomware. Assurez-vous de savoir où se trouvent ces sauvegardes et comment restaurer vos systèmes. Incluez dans votre processus de RI les étapes pour savoir qui contacter pour chacun de vos actifs informatiques critiques.
Identification des équipes, des outils et des rôles.La composition de l'équipe de réponse aux incidents change au fur et à mesure que le ransomware passe par ses différentes phases, de l'infection initiale au chiffrement. Cela signifie généralement que davantage de personnes au sein de l'organisation doivent s'impliquer. Souvent, il peut s'agir de faire appel à des services tiers ou, en cas de violation, de contacter le service juridique, les régulateurs externes et les clients. Il est essentiel de savoir qui contacter et quand. Il est important de tenir une liste de contacts à jour, mais l'intégration des rôles de ces contacts dans votre processus est vitale pour une réponse efficace. Les documents physiques et les PDF sont suffisants, mais il est essentiel de disposer des bons outils et d'une automatisation qui permettent à l'ensemble de l'équipe d'accéder au processus de réponse aux ransomwares, aux actions et à la documentation historique.
Un processus et une automatisation bien définis.Un processus de RI peut comporter de nombreuses tâches et de multiples points de décision. C'est une bonne pratique que d'aligner votre processus sur les phases décrites par le NIST et le SANS. Par exemple, vous pouvez organiser votre processus de RI selon les phases suivantes :
- Découverte et identification
- Enrichissement et validation
- Confinement et résolution
- Récupération et communication
QRadar SOAR fournit des protocoles permettant de définir votre processus de RI et d’automatiser les nombreuses actions qu’un analyste pourrait avoir besoin d’exécuter pour progresser rapidement de phase en phase. La riposte post-violation de QRadar SOAR peut créer les tâches de reporting nécessaires au régulateur en fonction des informations personnelles exposées.
Inventaire des actifs informatiques, des propriétaires, des informations personnelles.Lorsqu'un système est infecté, l'analyste de sécurité doit connaître le propriétaire du système, ses applications et ses données. Les solutions de gestion des actifs telles que ServiceNow ou SAP peuvent aider à gérer les contacts pour les systèmes. IBM Guardium Discover and Classify peut aider à trouver des sources de données et des informations personnelles dans chaque source. Ainsi, en cas de violation de données, les analystes savent si des réglementations sont concernées.
Études de cas
La ville de Los Angeles, le LA Cyber Lab et IBM collaborent pour fournir des renseignements sur les menaces et protéger les entreprises locales vulnérables.
L’intégration des données, l’analyse des logs et la définition de priorité des incidents permettent à l’entreprise vietnamienne d’investissement et de développement immobilier de détecter les menaces et d’y répondre.
En hébergeant une solution QRadar SIEM sur un système de stockage IBM FlashSystem hautes performances, Data Action (DA) offre une sécurité accrue aux banques alternatives.
Cas d’utilisation connexes
La détection des menaces du centre au point de terminaison qu'offre QRadar SIEM protège votre organisation de plusieurs façons.
Incorporez les solutions de chasse aux cyber-menaces d’IBM Security à votre stratégie de sécurité pour contrer et diminuer les menaces plus rapidement.
Intégrez des packs de conformité dans QRadar SIEM pour assurer la conformité et automatiser la production de rapports.
Arrêtez rapidement les cyberattaques grâce à la détection de menace en temps quasi réel de QRadar SIEM.
Ressources connexes
Découvrez comment QRadar permet aux entreprises de se défendre contre les menaces croissantes tout en modernisant et en dimensionnant les opérations de sécurité grâce à une visibilité, une détection, un examen et une réponse intégrés.
Découvrez comment QRadar SIEM permet à un analyste d’enquêter sur une infraction, de l’identifier comme une menace et de l’envoyer à SOAR pour y remédier.
Une approche efficace de la traque des menaces réduit le temps entre l’intrusion et la découverte, diminuant ainsi les dommages que les attaquants peuvent infliger.