Un cabinet d'avocats international arrête un rançongiciel grâce à Illumio Core

Personne n'aime les mauvaises nouvelles. Ensuite, il y a une nouvelle qu'aucun DPI ne veut entendre.

Mais à 16h00, un lundi soir de fin septembre 2021, le DSI d'un cabinet d'avocats international a été informé que l'entreprise était victime d'une attaque de rançongiciel.

Un code malveillant s'est introduit dans le réseau par le biais d'une URL contenue dans un courriel d'hameçonnage qui s'est retrouvé sur le poste de travail d'un service d'assistance. Le réseau du cabinet d'avocats a été violé. En quelques heures, le rançongiciel s'est propagé à 12 serveurs. Le temps presse.

Mais ce cabinet d’avocats avait quelque chose que les cybercriminels n’attendaient pas : la segmentation zero trust d’Illumio.

Plus de déplacements latéraux - ou de déplacements tout court

En quelques secondes, l’entreprise a utilisé Illumio pour mettre fin à l’attaque de rançongiciel. Après avoir identifié les 12 serveurs compromis, ils ont rapidement mis en place une politique pour isoler et confiner les machines infectées, c’est-à-dire qu’ils ont placé une boîte sur les attaquants pour arrêter leurs déplacements sur le réseau.

"En quelques clics, nous avons pu mettre en quarantaine tous les systèmes concernés", explique le responsable informatique qui a dirigé l'équipe de réponse à l'incident du cabinet d'avocats. "Nous avons agi si rapidement que les attaquants ont été bloqués hors du réseau avant même de savoir ce qui s'était passé. Ils n'avaient aucun moyen de sauter ailleurs pour nous échapper et continuer à se répandre. Leur plaisir pour la soirée était terminé".

Le dirigeant affirme que la rapidité avec laquelle ils ont pu utiliser Illumio pour mettre en quarantaine les serveurs compromis a fait toute la différence.

"Nos consultants en sécurité ont déclaré qu'ils n'avaient jamais vu une réponse aussi rapide — et efficace — à une violation par rançongiciel", explique-t-il. "Dans la plupart des cas, lorsqu'une entreprise se rend compte qu'elle est attaquée et qu'elle prend des mesures avec des méthodes conventionnelles pour contenir l'accès, il est trop tard et le rançongiciel s'est propagé à des centaines de systèmes."

La rapidité avec laquelle nous avons pu utiliser Illumio pour mettre en quarantaine le rançongiciel a fait toute la différence. Cadre informatique Cabinet d'avocats international

Aider à vaincre une attaque de rançongiciel

Bien qu’Illumio ait joué un rôle essentiel dans la mise en quarantaine rapide du rançongiciel pour l’empêcher de se propager dans le réseau, il a contribué à la réussite de l’attaque de plusieurs façons, explique le dirigeant.

• Ralentir l'attaque: Avant l'attaque, l'entreprise avait déjà grandement limité les voies ouvertes sur son réseau en déployant les contrôles d'accès Zero Trust Segmentation d'Illumio.
• Suivre les intrus: En s'intégrant de façon transparente à son outil de gestion des informations et des événements de sécurité (SIEM), la télémétrie des communications d'Illumio a permis d'obtenir une vue plus complète de la propagation du rançongiciel.
• Visualisez l’activité: La carte des communications d’applications en temps réel d’Illumio dans l’environnement cloud hybride du cabinet d’avocats a clairement montré l’activité réseau inhabituelle due aux discussions sur le rançongiciel.
• Mettre en quarantaine les actifs compromis: Les capacités de génération de règles simples d'Illumio ont facilité la création d'une politique en moins d'une minute pour isoler les serveurs infectés à la fois dans le centre de données et dans un service en nuage Microsoft Azure.
• Aider l’enquête: Illumio a permis d’accéder en toute sécurité aux données des serveurs compromis et de les transférer en toute sécurité à un organisme d’intervention pour analyse.

Nos consultants en sécurité ont déclaré qu’ils n’avaient jamais vu une réponse aussi rapide — et efficace — à une violation par rançongiciel. Cadre informatique Cabinet d'avocats international

En particulier, le dirigeant affirme que la microsegmentation déjà mise en place avec Illumio Core (le produit phare d'Illumio) a fait une grande différence. Il a limité de manière proactive les déplacements et les activités des attaquants, pour finalement les piéger dans une clôture circulaire.

Illumio Core a laissé aux attaquants un éventail d'options beaucoup plus restreint et a permis à l'entreprise de gagner du temps pour les retrouver.

"Si nous n'avions pas déjà mis en place Illumio Core avec des politiques d'application en direct, je pense que l'attaque aurait été beaucoup plus difficile à contenir", déclare-t-il. "Les mauvais acteurs auraient eu plus de voies d'accès à partir du poste de travail du service d'assistance et se seraient répandus beaucoup plus loin, beaucoup plus vite, ce qui aurait rendu notre tâche de les arrêter beaucoup plus complexe".

Défendre les données des clients et la réputation de l'organisation

Il est doublement essentiel pour les cabinets d'avocats de pouvoir arrêter les rançongiciels. Ils doivent non seulement protéger leur propre organisation, mais les cabinets d'avocats sont tenus par une obligation fiduciaire de protéger les informations relatives à leurs clients et à leurs affaires juridiques.

"Aucun cabinet d'avocats ne peut se permettre de perdre les données de ses clients lors d'une attaque, car cela nuit à sa réputation et, dans certains cas, il peut être très difficile de s'en remettre", explique-t-il.

Par exemple, le dirigeant connaît un autre cabinet d'avocats qui a subi une attaque majeure par rançongiciel qui a exposé les données de ses clients et l'a contraint à fermer son réseau pendant un mois, ce qui a considérablement nui à ses activités et à la confiance de ses clients.

"Leur exposition a été énorme. On ne sait pas exactement combien de clients ou de clients potentiels ils ont pu perdre à la suite de l'incident", précise le dirigeant. "Je ne voulais pas qu'il nous arrive quelque chose de semblable.

En étant capable de réagir aussi rapidement pour mettre fin à son attaque de rançongiciel grâce à Illumio, le cabinet d'avocats a pu… :

• Empêcher les attaquants de causer des dommages importants à ses systèmes informatiques ou à ses données
• Arrêter le vol ou le cryptage de toutes les données, y compris les dossiers des clients ou les dossiers juridiques.
• Éviter les perturbations de ses activités commerciales

Et comme aucune donnée client n'a été volée, l'entreprise a préservé son actif le plus précieux : sa réputation.

Si nous n'avions pas déjà mis en place une partie de notre segmentation Illumio, l'attaque aurait pu être impossible à contenir. Cadre informatique Cabinet d'avocats international

Recherche de la sécurité du back-office

Le dirigeant du cabinet d'avocats affirme qu'il est toujours à la recherche de nouveaux moyens d'améliorer la sécurité numérique de l'entreprise et de garder une longueur d'avance sur les cyberattaques de plus en plus sophistiquées.

"Il s'agit d'être en mesure de combler les lacunes de votre réseau qui offrent aux attaquants un point faible à exploiter", explique-t-il.

Historiquement, le cabinet d'avocats a utilisé plusieurs technologies pour sécuriser ses données et ses systèmes, telles que des outils de détection et de réponse aux points finaux (EDR), des logiciels antivirus pour les ordinateurs portables des employés et la détection de rançongiciel pour les systèmes de fichiers.

Mais avant Illumio, elle ne disposait pas de méthodes solides pour protéger le "back office" - toutes les applications et les données qui gèrent ses opérations commerciales - qui se trouvent maintenant dans des centres de données et des plates-formes en nuage.

L'exécutif a reconnu que la microsegmentation serait un moyen essentiel de renforcer la protection de ces systèmes.

En étant en mesure de contrôler et de bloquer facilement les voies de circulation jusqu'au niveau de l'application, l'entreprise pourrait limiter considérablement les "portes déverrouillées" qui permettent si souvent aux cybercriminels de se déplacer facilement dans les réseaux pour voler des données et prendre les entreprises en otage, explique-t-il.

Lorsqu'il s'est mis à la recherche d'une plate-forme de microsegmentation, il a constaté que les approches conventionnelles de segmentation ne fonctionnaient tout simplement pas comme elles le devaient.

"Je voulais mieux contrôler les communications de notre réseau, mais je savais que je ne pourrais pas le faire avec des méthodes telles que la restriction manuelle des listes de contrôle d'accès sur les commutateurs physiques du réseau", explique-t-il. "Il faut trop de main-d'œuvre pour les programmer, et comment cartographier tout cela par la suite ?

Illumio vous donne la visibilité et le contrôle sur les flux de communication des applications d'une manière que vous n'avez pas avec une autre solution de sécurité. Cadre informatique Cabinet d'avocats international

Illumio résout ces problèmes, selon le dirigeant.

Sur la base d'un examen approfondi et des conseils des principaux cabinets d'analystes, le dirigeant a choisi Illumio pour apporter à son organisation une segmentation simple et évolutive de type " Zero Trust ".

"Illumio vous donne une visibilité et un contrôle sur les flux de communication des applications que vous n'avez avec aucune autre solution de sécurité ", dit-il. "Avec Illumio, vous pouvez facilement passer en revue vos politiques et faire les mises à jour et les modifications nécessaires.

Le dirigeant explique que la capacité d'Illumio à fournir de manière transparente les mêmes capacités de segmentation pour les charges de travail en nuage que pour les centres de données sur site a également été un argument de vente important.

"Vous ne pouvez pas vous contenter de penser aux limites de votre propre centre de données", explique-t-il. "L'informatique dématérialisée hybride est aujourd'hui une réalité. Plutôt que d'être liés à une solution matérielle de réseau ou à une plate-forme de virtualisation, nous voulions opter pour une plate-forme SaaS de premier ordre qui nous offre la flexibilité dont nous avons besoin. Je dirais qu'Illumio est exactement cela".

Il est certain que le cabinet d'avocats est plus qu'heureux qu'Illumio ait été en place, prêt à l'aider à vaincre le rançongiciel et à éviter les dommages à ses opérations, à ses clients et à sa réputation. Elle se concentre maintenant sur l'expansion d'Illumio afin d'appliquer des politiques à un éventail beaucoup plus large de son parc informatique.

"À notre époque, il est essentiel de mettre en place une microsegmentation pour limiter les mouvements latéraux de tout attaquant ou logiciel malveillant qui s'introduit dans votre réseau", explique-t-il. "Ce n'est qu'une question de temps avant que vous n'ayez votre propre violation. Il faut donc être prêt".