J’ai vu un jour un tweet ou une citation sur internet qui posait une question intéressante : « Bon, est-ce que vous voulez pouvoir défendre votre réseau ou pas ? » Cette citation m'a marqué au fil des ans, car elle demandait essentiellement (en bien moins de 140 caractères) : "Avez-vous la bonne technologie, les bons points de vue, les bons processus, les bonnes procédures, la bonne formation, le bon soutien exécutif, le bon personnel, la bonne politique, les bons contrôles, les bons journaux, etc. pour vous protéger ? "Que faire en cas d’attaque de phishing réussie ?
Il y a beaucoup de choses possibles pour réduire l'impact d'une attaque de phishing réussie. Mais comme tout ce qui concerne la sécurité informatique, nous ne pouvons pas éliminer complètement le risque, et il est donc important de préparer de manière proactive une stratégie de réponse efficace. Alors, que faire en cas d'attaque de phishing, ou si vous êtes victime de phishing ?
Voici une liste de 14 choses à faire immédiatement:
1. Activez les procédures Incident Response pour faire face à une tentative de phishing
Vous avez un plan de réaction aux incidents, n'est-ce pas ? Vous avez fait un test IR pour vérifier si tout se passe bien ?
Après avoir confirmé que vous avez affaire à un incident réel, prenez une tasse de café et posez-vous.
Vous devrez déterminer qui, quoi, quand et où s'est produit l'incident, ainsi que l'heure à laquelle pensez rentrer chez vous demain
2. Obtenez une copie de l'e-mail avec les en-têtes complets et les éventuelles pièces jointes originales
Assurez-vous que vous recevez l'email de phishing avec des en-têtes complets indiquant les informations de routage, etc. Dans Outlook 365, vous devez consulter les propriétés du message pour voir toutes les informations de routage du courrier électronique. Prenez note de l'adresse IP d'où provient le message.
Dans la plupart des cas, il provient d'une machine compromise :soit le bureau d'un utilisateur final qui joue le rôle de robot pour le message, soit un serveur compromis ou vulnérable.
Dans tous les cas, il est utile de disposer de toutes ces informations
3. Exploitez le web pour obtenir des renseignements sur les menaces de phishing
Il existe de nombreux sites de recherche et d'information sur les menaces.
Testez toutes les URL, pièces jointes, etc., sur www.virustotal.com ou n'importe quel autre sandbox et site de recherche. (Personnellement, j'aime bien www.hybrid-analysis.com.) Testez les domaines, les adresses IP, etc., sur des sites comme IPVoid.com. Cherchez sur Google l'adresse IP, les hostnames, les URL, les fichiers, etc. de ce que vous voyez
Mais faites attention à ne pas aller sur des sites malveillants. Si vous collez une adresse IP dans votre navigateur, celui-ci la changera en URL et ira à l'adresse IP. C'est embarrassant (et potentiellement dangereux). Mettez plutôt l'adresse IP entre guillemets pour vous assurer que votre navigateur sait que vous êtes en train de chercher.
4. Parlez au(x) clicker(s) pour réagir efficacement à une attaque de phishing
C'est une étape simple qui est parfois négligée. N'évitez pas l'utilisateur final !
Demandez à tous les internautes ce qui s'est passé, ce qu'ils ont vu et s'ils ont remarqué quelque chose d'étrange ou de déplacé avant ou après avoir interagi avec le phish.
5. Ajustez les filtres de courrier électronique du périmètre pour bloquer les messages similaires
Afin d'éviter que d'autres utilisateurs ne soient victimes de la même attaque, recherchez dans le courrier électronique des attributs sur lesquels vous pouvez filtrer. Dans certains cas, les champs "From", "Subject" et autres peuvent être modifiés. Cherchez quelque chose qui restera statique. Une liste noire basée sur une regex n'est évidemment pas une solution à long terme, mais à court terme, elle peut aider à empêcher tout autre message d'arriver.
6. Commencez à rechercher dans les systèmes internes
Recherchez dans les journaux de votre pare-feu toutes les IP, URL, etc. suspectes de l’email, de l'URL, de la pièce jointe, etc. pour voir si du trafic quittant votre réseau est allé vers ces IP. N'oubliez pas que certains domaines de commande et de contrôle des attaquants changent d'adresse IP toutes les quelques minutes.
C'est pourquoi vous devez rechercher dans vos logs DNS (vous enregistrez bien toutes les requêtes DNS ?) et voir si un hôte de votre réseau a effectué une recherche sur eux.
Gardez à l'esprit que vous devrez probablement aussi chercher dans les journaux DHCP pour voir quel poste de travail avait l'IP au moment de la consultation DNS. (Vous avez bien des journaux DHCP ?). Utilisez Splunk ou Elasticsearch/Logstash/Kibana (ELK).
7. Examiner le proxy ou les journaux Web sortants
Si vous utilisez un proxy comme BlueCoat, WebSense ou autre, il est judicieux de consulter les journaux pour voir si d'autres utilisateurs ont accédé au site ou à d'autres URL témoins. Ou si vous enregistrez toutes les requêtes sortantes du pare-feu, vérifiez l'adresse IP du serveur sur lequel le site fonctionne.
Vous voulez en savoir plus sur les attaques de phishing ? Téléchargez notre rapport sur l'état du phishing.
Want to learn more about phishing attacks? Download our State of the Phish Report .
8. Examiner les journaux du serveur de messagerie
Vérifiez quels utilisateurs ont reçu le message en consultant les journaux de votre serveur de messagerie. Si possible, effectuez une recherche sur l'ID du message, les IP sources, le nom du destinataire, le sujet, le nom de la pièce jointe, etc.
9. Examinez les logs DNS
L'enregistrement du trafic DNS n'est plus difficile. Il n'est pas difficile non plus d'activer la journalisation DNS dans BIND. Lorsque cette option est activée, vous pouvez importer ces journaux dans Splunk, puis lancer des requêtes sur ces logs pour savoir lequel de vos hôtes a effectué une recherche sur les domaines malveillants que vous trouvez.
10. Assurez-vous que les logs sont conservés
Rien n'arrête une enquête à froid comme l'absence totale de registres critiques. Assurez-vous que vos journaux DNS, DHCP, pare-feu, proxy et autres ne sont pas désactivés.
En fonction de la manière dont les choses se passent, vous devrez peut-être sauvegarder ces journaux et les traiter de manière à ce qu'ils puissent être utilisés au tribunal. Votre plan d'IR devrait tenir compte de ce problème.
11. Que faire en cas d'attaque de phishing ? En faire un exemple
Rahm Emanuel a dit un jour : "On ne laisse jamais une crise grave se perdre. Et ce que j'entends par là, c'est une opportunité de faire des choses que vous pensiez ne pas pouvoir faire auparavant".
Rappelez-vous cette citation la prochaine fois que vous serez confronté à une attaque de phishing réussie, et utilisez cet événement comme une occasion de sensibiliser la direction et vos utilisateurs à la sécurité.
Après tout, ce n'est pas pour rien que les lycées mettent des voitures accidentées devant leurs bâtiments pendant la saison des bals de fin d'année. Les gens qui sont forcés de faire face à une possibilité ne peuvent souvent pas s'empêcher de penser : « Ça aurait pu être moi ! » Mais soyez prudent : vous ne voulez pas que les utilisateurs aient l'impression que le fait de signaler quelque chose entraîne une gêne professionnelle.
12. Si vous êtes victime d'une attaque de phishing, il va falloir nettoyer
En règle générale, vous devrez modifier les mots de passe des utilisateurs concernés, même si vous êtes presque sûr que rien de grave ne s'est produit.
Pourquoi ?
Parce que vous n'aurez jamais l'assurance à 100 % que les victimes n'ont pas été complètement compromises.
Si les identifiants d'un utilisateur (en particulier ceux utilisés pour l'accès à distance) sont compromis, un attaquant pourrait revenir et utiliser des méthodes d'accès légitimes comme OWA ou le VPN. Une fois les mots de passe changés, examinez l'activité de tout compte utilisateur touché pendant une période de temps avant et après l'incident.
13. Vérifiez les sessions actives des utilisateurs concernés
Une technique populaire parmi les attaquants consiste à utiliser des méthodes d'accès légitimes comme les VPN et Citrix pour maintenir une présence au sein du réseau et exfiltrer des données. Après une attaque, il faut dresser une liste des utilisateurs touchés et vérifier qu'il n'y a pas de connexions en cours qui ne devraient pas être actives.
Vous avez bien une liste de toutes les méthodes d'accès à distance ?
14. Formez vos utilisateurs à être des "sceptiques intelligents".
Soyez proactif !
Avez-vous déjà reçu un email et pensé : "Il y a un truc qui cloche ..." ?
Ceux d'entre nous qui sont dans l'espace de sécurité aiment à dire qu'ils ont "le spider sense de l'infosec". Mais nous ne l'avons pas acquis du jour au lendemain ; c'est une compétence que nous avons acquise passivement au fil du temps.
Ne serait-ce pas formidable si, au lieu d'une réponse pavlovienne pour cliquer sur n'importe quoi dans leur boîte de réception, vos utilisateurs s'arrêtaient même pendant 500 millisecondes et se disaient : "Attendez une seconde... est-ce que ça pourrait être un PHISHING ?" Utilisez les tests de phishing et les formations de sensibilisation à la sécurité à votre avantage.
C'est possible ! Faites-nous confiance, nous sommes des professionnels.
Note: This article originated on the ThreatSim® blog. ThreatSim was acquired by Wombat Security in October 2015.