Article vedette

Déjouez les attaques et transmettez-les : La réponse aux incidents de sécurité de F5 est à la charge de la Chambre

Image SIRT

La plupart des attaquants ne vous recherchent pas. Du moins, pas au début. Ils adoptent généralement une approche extrêmement large avant de cibler les organisations qui démontrent la vulnérabilité spécifique qu’ils tentent d’exploiter. À moins que vous ne soyez une cible de grande valeur (pensez au secteur financier, à la grande distribution ou au gouvernement), cela ne vous concerne pas. Il se peut que vous ayez par hasard la faiblesse recherchée, ce qui, il faut l’admettre, n’est pas d’un grand réconfort lorsque vous êtes attaqué.

En prenant du recul, les attaquants recherchent généralement les mêmes types de choses partout, ce qui rend le partage des connaissances très bénéfique en théorie. Cependant, cela échoue généralement dans la pratique, car la plupart des organisations ne disposent pas d'un mécanisme permettant soit a) d'intégrer les leçons tirées des événements de sécurité précédents du secteur, soit b) de signaler leurs expériences de manière anonyme afin que d'autres puissent éviter les mêmes faux pas. En conséquence, les informations sur les campagnes d’attaque actuelles exploitant des vulnérabilités nouvelles (ou connues) dans la nature ne parviennent pas aussi loin qu’elles le devraient, et nous voyons constamment des gros titres liés aux violations qui découlent des mêmes vulnérabilités et exploits sous-jacents. À titre d’exemple, en 2017, combien de victimes de WannaCry utilisaient des logiciels en fin de vie ou non pris en charge, largement documentés comme problématiques ? La réponse : beaucoup .

Pour être juste, une grande partie de tout cela est compréhensible dans le contexte. Fournir des informations à la communauté au sens large n’est pas la première chose à laquelle pense un professionnel de la sécurité lorsqu’il est attaqué, potentiellement victime d’une violation, et qu’il doit faire face à la pression d’une réponse à un incident d’urgence – et simultanément sous le microscope d’un service juridique faisant de son mieux pour contenir les informations concernant l’incident jusqu’à ce que les faits soient déterminés. En supposant que vous ne subissiez pas un stress écrasant et que vous vous sentiez toujours suffisamment altruiste, hypothétiquement, que pourriez-vous faire pour aider l'industrie environnante ? Partager les fichiers découverts avec VirusTotal pourrait être une option, mais vous ne pourriez probablement pas faire grand-chose de plus que de les laisser là avant de revenir à la tâche plus urgente de protéger votre organisation (et peut-être plus particulièrement, votre travail). Idéalement, vous souhaiteriez disposer d’une équipe de renforts qualifiés, prêts et capables de vous aider rapidement à répondre à la crise. Des professionnels dédiés qui peuvent analyser les informations, fournir des conseils d'atténuation immédiats, puis vous aider (ainsi que vos collègues internautes) à mieux préparer le réseau pour repousser toute attaque future.

Retour aux affaires

Appuyez sur F5. Si vous êtes client, une assistance gratuite (oui, GRATUITE ) en cas d'incident d'urgence est incluse dans votre contrat d'assistance. Cela vous permet non seulement d’obtenir l’aide dont vous avez besoin aux moments les plus cruciaux, mais également d’analyser, d’agréger et d’abstraire les expériences de plusieurs organisations pour l’amélioration du groupe plus large. Si vous êtes confronté à une menace imminente, un simple appel téléphonique au support technique F5 expliquant que vous rencontrez un événement de sécurité vous dirigera directement vers l'équipe de réponse aux incidents de sécurité F5 (SIRT). Cette équipe mondiale comprend des ingénieurs de sécurité (prenant en charge plus d'une douzaine de langues) dotés d'une vaste expérience en matière de réponse aux incidents, disponibles 24h/24, 7j/7 et 365j/an. Et même s’ils reviendront certainement sur les sujets de sécurité plus larges et pertinents pour mieux se préparer aux événements futurs, l’objectif principal du F5 SIRT est de vous aider à arrêter l’hémorragie et de vous donner le temps de développer une solution d’atténuation à plus long terme pour votre entreprise.

Le personnel mondial de F5 SIRT peut également s'appuyer sur une vaste sélection d'options d'atténuation rendues possibles par les produits ou offres F5 dans les environnements clients tels que Advanced WAF (y compris Proactive Bot Defense, CAPTCHA, etc.), AFM , IP Intelligence (IPI), GeoIP, diverses options de protection par force brute et plusieurs autres options ; ils peuvent également faire appel à l'équipe Silverline de F5 ou recommander une protection DDoS ou WAF supplémentaire basée sur le cloud, le cas échéant. Dans les cas applicables, ces solutions et d’autres sont disponibles via F5 Sales.

L'équipe SIRT est particulièrement compétente avec les iRules programmables de F5, qui sont développées et déployées rapidement pour modifier les flux de trafic. À quelle vitesse ? Même si la complexité du problème entrera toujours en jeu, des iRules personnalisables peuvent être préparées en quelques minutes et déployées par le client en quelques heures (en suivant les procédures de contrôle des modifications d'urgence appropriées, bien sûr).

Prenons un exemple rapide : Un client F5 était victime d'une attaque par force brute contre des serveurs RDP équipés d'un appareil F5. Les serveurs étaient ouverts à Internet et devaient être accessibles pour soutenir leur activité, mais uniquement pour un ensemble spécifique de plages de réseaux. Pour atténuer l’attaque, une iRule a été développée avec F5 SIRT qui utilisait un groupe de données comme moyen de vérifier l’IP du client par rapport à un ensemble de réseaux externes « connus et fiables » et de supprimer tout trafic ne provenant pas de l’un d’entre eux. Cela a permis d’atténuer proprement l’attaque et d’améliorer la posture de sécurité du client. De plus, cette approche a permis de conserver la possibilité d’ajouter ou de supprimer des réseaux de la liste de confiance (le client pouvant configurer des groupes de données spécifiques dans l’interface graphique) afin de parer à des attaques similaires à l’avenir.

Retour à la communauté

Si, au cours d'une enquête sur un incident, des détails pertinents sont découverts, tels qu'un nouvel exploit, une nouvelle campagne, un logiciel malveillant ou une nouvelle vulnérabilité qui n'a jamais été observé auparavant ou qui n'est pas particulièrement bien compris, le F5 SIRT peut accéder à un réseau d'équipes à travers l'entreprise pour obtenir une perspective supplémentaire. Cette approche rassemble efficacement les connaissances des chercheurs en menaces, des développeurs de produits de sécurité et d’autres experts de F5 pour analyser les résultats et proposer des mesures correctives améliorées à l’avenir. Si un élément particulier est susceptible d’être publié au profit de l’ensemble du secteur, aucun détail n’est divulgué concernant des clients spécifiques ou des incidents particuliers. Les détails se limitent à la découverte et au comportement d’une menace particulière, comme nous l’avons fait avec PyCryptoMiner , ainsi qu’aux conseils généraux applicables. 

Vous pouvez mieux protéger et gérer votre infrastructure en sachant que des équipes d’experts F5 sont prêtes à vous aider et qu’il n’y aura pas une montagne de paperasse entre vous et l’aide dont vous avez besoin en cas d’attaque. Au-delà de cela, il y a aussi l’avantage de savoir que d’autres clients n’auront pas à subir le même sort et que votre organisation sera également plus en sécurité au fil du temps grâce à cette approche de partage de connaissances inestimables.

Alors, qu'est-ce que F5 apporte ? Bien entendu, nous souhaitons que les entreprises soient opérationnelles et qu'elles mènent leurs activités avec succès et en toute sécurité ; la réussite des clients alimente le succès de F5. De plus, nous reconnaissons que les événements de sécurité n’impactent pas seulement l’entité ciblée, mais ont souvent un effet d’entraînement pour leurs clients et partenaires, et parfois bien au-delà. (À titre d’exemple, les utilisateurs utilisent souvent les mêmes mots de passe ou des mots de passe similaires pour plusieurs sites, ce qui augmente considérablement la portée d’un incident de sécurité. Par exemple, les utilisateurs de Sony et de Yahoo ont utilisé les mêmes mots de passe pour les deux comptes dans 59 % des cas.) Sans verser dans l’exagération, cet effet d’entraînement peut avoir un impact sur tous ceux qui font des affaires sur Internet. (Autre aparté : Les recherches indiquent qu’il y a en moyenne trois enregistrements compromis pour chaque utilisateur en ligne aujourd’hui.)

Nous, en tant qu’industrie, pouvons améliorer notre capacité à traiter les problèmes sous-jacents qui rendent les systèmes vulnérables en créant des opportunités de partager les détails pertinents des attaques et les enseignements clés. Avec le SIRT F5, cela commence par positionner les clients pour contribuer avantageusement au bien commun tout en améliorant également leur propre réputation.


Pour plus d'informations et pour contacter l'équipe d'intervention en cas d'incident de sécurité F5 (SIRT), veuillez visiter leur page Web .