Subir une attaque de ransomware peut être une expérience stressante et il existe une peur innée non seulement chez les professionnels de la sécurité , mais aussi chez les propriétaires d'entreprise que leur propre organisation pourrait être la prochaine. Bien que les ransomwares soient un problème largement discuté, il y a toujours un sentiment de choc chaque fois qu'une attaque réussie a se produit.
Dépoussiérez le plan de réponse aux incidents
[Chaotique, Frénétique, Confus, Bouleversé] Ce sont quelques-uns des mots que je décrirais certaines des victimes (Entreprises) avec lesquelles j'ai parlé lorsqu'une attaque de ransomware s'est produite. C'est une réaction compréhensible, surtout si c'est la première fois qu'ils subissent une attaque qui a paralysé l'entreprise.
Cela dit, il devrait toujours y avoir un plan de réponse aux incidents en place. De plus, il doit être soumis à des tests de résistance afin que l'ensemble de l'organisation comprenne son rôle dans une telle situation. Les personnes clés doivent savoir ce qui doit être communiqué en interne et en externe aux partenaires et aux forces de l'ordre, par exemple.
Tout comme les exercices d'alarme incendie, les plans d'intervention en cas d'incident doivent être considérés de la même manière. Connaissez les processus et la technologie qui devraient être utilisés pour aider à réduire les dommages potentiels de la menace et testez-les régulièrement afin que rien ne surprenne. Le simple fait de discuter dans une salle de réunion sur la réponse à un incident de cybersécurité sans pression ni sentiment d'urgence ne fera qu'endormir l'organisation dans (littéralement) un faux sentiment de sécurité.
En fin de compte, il doit y avoir une chaîne de commandement avec une seule personne prenant les décisions finales lors d'un incident de ransomware. Si un MSSP externe vous aide, ne vous attendez pas à ce qu'il prenne des décisions à votre place. Idéalement, il s'agira d'une personne de l'organisation et de préférence d'une personne expérimentée dans le traitement des incidents de sécurité.
Localisez les actifs
Corriger les périphériques physiques, les référentiels cloud , le stockage, les applications et tous les serveurs. Pour appliquer correctement les correctifs, les organisations doivent connaître chaque actif connecté à leurs réseaux. Vous seriez surpris par le nombre d'organisations qui ne disposent pas d'un inventaire précis des actifs, ce qui signifie qu'elles n'ont aucune idée de ce qui est connecté au réseau. Plusieurs fois, lorsque je demande au personnel ce qui est connecté, je suis souvent confronté au silence.
N'oubliez pas que vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir. L'inventaire des actifs doit être effectué en temps réel pour donner une lecture précise afin qu'il soit utile pour l'analyse de récupération après attaque. Cette capacité est disponible depuis un certain nombre d'années et devrait être intégrée à la base de données de gestion de configuration (CMDB) de l'organisation.
Testez les sauvegardes
Avoir des sauvegardes des actifs critiques est essentiel, en particulier en cas d'attaque de ransomware. Cependant, un problème courant est que les entreprises ne testent pas toujours le processus de sauvegarde, en particulier dans les scénarios d'attaque simulée où les ressources peuvent être limitées. Le tester régulièrement peut mettre en évidence des faiblesses potentielles.
Beaucoup ont adopté le format de sauvegarde 3-2-1 dans lequel les actifs sont enregistrés sur trois emplacements différents, hors ligne ou en ligne.
N'ayez pas peur de demander de l'aide
La cybersécurité est un sport d'équipe, il n'est donc pas nécessaire d'y aller seul. L'utilisation de l'échelle et de l'expertise d'un MSSP peut aider à réduire considérablement le temps de réponse. Si les organisations ont du mal à répondre à leurs besoins en matière de sécurité, recherchez l'expertise des MSSP et les nombreux avantages qu'ils apportent.
En prenant des mesures dès maintenant pour résoudre certains des problèmes les plus courants associés à un scénario d'attaque de ransomware, les organisations peuvent non seulement réduire leurs risques, mais également améliorer leur réponse en cas d'attaque de ransomware