Un cabinet d'avocats mondial arrête les rançongiciels grâce à Illumio

Personne n'aime les mauvaises nouvelles. Ensuite, il y a des nouvelles qu'aucun DSI ne veut jamais entendre.

Mais à 16 h 00, un lundi soir de fin septembre 2021, le DSI d'un cabinet d'avocats international a été informé que l'entreprise était attaquée par un rançongiciel.

Un code malveillant s'est introduit dans le réseau via une URL contenue dans un e-mail de phishing qui a été transmis au poste de travail du service d'assistance. Le réseau du cabinet d'avocats a été piraté. En quelques heures à peine, le ransomware s'est propagé à 12 serveurs. Le temps était compté.

Mais ce cabinet d'avocats avait quelque chose à quoi les cybercriminels ne s'attendaient pas : Zero Trust Segmentation d'Illumio.

Plus aucun mouvement latéral, ni aucun mouvement

En quelques secondes, l'entreprise a utilisé Illumio pour mettre fin à l'attaque du ransomware. Une fois qu'ils ont identifié les 12 serveurs compromis, ils ont rapidement mis en place une politique visant à « clôturer » et à isoler les machines infectées, en lançant essentiellement une boîte sur les attaquants pour les empêcher de se déplacer sur le réseau.

« En quelques clics par glisser-déposer, nous avons pu mettre en quarantaine tous les systèmes concernés », explique le responsable informatique qui dirigeait l'équipe de réponse aux incidents du cabinet d'avocats. « Nous l'avons fait si rapidement que les attaquants ont été empêchés d'accéder au réseau avant même de savoir ce qui s'était passé. Ils n'avaient aucun moyen de sauter ailleurs pour nous échapper et continuer à se propager. Leur soirée était terminée. »

L'exécutif affirme que la rapidité avec laquelle ils ont pu utiliser Illumio pour mettre en quarantaine les serveurs compromis a fait toute la différence.

« Nos consultants en sécurité ont déclaré qu'ils n'avaient jamais vu de réponse aussi rapide et efficace à une violation de rançongiciel », explique t-il. « Dans la plupart des cas, lorsqu'une entreprise se rend compte qu'elle est attaquée et prend des mesures à l'aide de méthodes classiques pour limiter l'accès, il est trop tard et le ransomware s'est propagé à des centaines de systèmes. »

La rapidité avec laquelle nous avons pu utiliser Illumio pour mettre le rançongiciel en quarantaine a fait toute la différence. Dirigeant informatique Cabinet d'avocats mondial

Aider à vaincre une attaque par rançongiciel

Bien qu'Illumio ait joué un rôle essentiel dans la mise en quarantaine rapide du ransomware afin de l'empêcher de se déplacer sur le réseau, il a contribué à vaincre l'attaque de plusieurs manières, explique l'exécutif.

• Ralentissez l'attaque: Avant l'attaque, l'entreprise avait déjà considérablement limité les voies ouvertes sur son réseau en déployant les contrôles d'accès Zero Trust Segmentation d'Illumio.
• Suivez les intrus: En s'intégrant parfaitement à son outil de gestion des informations et des événements de sécurité (SIEM), la télémétrie des communications d'Illumio a permis de fournir une vision plus complète de la propagation du ransomware.
• Visualisez l'activité: La carte des communications applicatives en temps réel d'Illumio dans l'environnement cloud hybride du cabinet d'avocats a clairement mis en évidence l'activité réseau inhabituelle due aux discussions sur les rançongiciels.
• Mettez en quarantaine les actifs compromis: Les fonctionnalités simples de génération de règles d'Illumio ont permis de créer facilement une politique en moins d'une minute pour isoler les serveurs infectés à la fois dans le centre de données et dans un service cloud Microsoft Azure.
• Facilite l'enquête: Illumio a sécurisé l'accès aux données de serveur compromises et leur transfert sécurisé à une agence de réponse aux incidents pour analyse.

Nos consultants en sécurité ont déclaré n'avoir jamais vu de réponse aussi rapide et efficace à une violation de rançongiciel. Dirigeant informatique Cabinet d'avocats mondial

En particulier, l'exécutif affirme que microsegmentation qu'ils avaient déjà mis en place avec Illumio Core (le produit phare d'Illumio) a fait une profonde différence. Il a limité de manière proactive les endroits où les attaquants pouvaient aller et ce qu'ils pouvaient faire, pour finalement les piéger dans une clôture.

Illumio Core a laissé aux attaquants un éventail d'options beaucoup plus restreint et a permis à l'entreprise de gagner du temps pour les retrouver.

« Si Illumio Core n'avait pas déjà mis en place des politiques d'application en temps réel, je pense que l'attaque aurait pu être beaucoup plus difficile à contenir », déclare-t-il. « Les acteurs malveillants auraient eu plus de voies depuis le poste de travail du service d'assistance et se seraient répandus beaucoup plus loin, beaucoup plus rapidement, ce qui aurait rendu notre tâche de les arrêter encore plus complexe. »

Défendre les données des clients et la réputation de l'organisation

La capacité de stopper les rançongiciels est doublement essentielle pour les cabinets d'avocats, affirme l'exécutif. Ils doivent non seulement protéger leur propre organisation, mais les cabinets d'avocats ont l'obligation fiduciaire de protéger les informations concernant leurs clients et leurs affaires juridiques.

« Aucun cabinet d'avocats ne peut se permettre de perdre les données de ses clients à la suite d'une attaque, car cela nuit à la réputation et, dans certains cas, il peut être très difficile de s'en remettre », affirme-t-il.

Par exemple, le dirigeant connaît un autre cabinet d'avocats qui a été victime d'une attaque majeure par rançongiciel qui a exposé les données de ses clients et les a contraints à fermer leur réseau pendant un mois, ce qui a considérablement nui à ses activités et à la confiance de ses clients.

« Leur visibilité a été énorme. On ne sait pas combien de clients ou de clients potentiels ils ont pu perdre à la suite de cet incident », explique le dirigeant. « Je ne voulais pas qu'il nous arrive quelque chose de similaire. »

En étant capable de réagir si rapidement pour stopper son attaque de ransomware avec Illumio, le cabinet d'avocats a pu :

• Empêcher les attaquants de causer des dommages importants à ses systèmes informatiques ou à ses données
• Empêchez le vol ou le cryptage de toutes les données, y compris les dossiers clients ou les fichiers juridiques
• Éviter les interruptions de ses activités commerciales

Et comme aucune donnée client n'a été volée, l'entreprise a préservé son actif le plus précieux : sa réputation.

Si une partie de notre segmentation Illumio n'avait pas déjà été mise en place, l'attaque aurait pu être impossible à contenir. Dirigeant informatique Cabinet d'avocats mondial

À la recherche de la sécurité du back-office

Le dirigeant du cabinet d'avocats affirme qu'il est toujours à la recherche de nouveaux moyens d'améliorer encore la sécurité numérique de l'entreprise et de garder une longueur d'avance sur les cyberattaques de plus en plus sophistiquées.

« Il s'agit de pouvoir résoudre les failles de votre réseau qui offrent aux attaquants une faiblesse à exploiter », explique t-il.

Historiquement, le cabinet d'avocats a utilisé de multiples technologies pour sécuriser ses données et ses systèmes, telles que des outils de détection et de réponse aux terminaux (EDR), un logiciel antivirus pour les ordinateurs portables des employés et la détection des rançongiciels pour les systèmes de fichiers.

Mais avant Illumio, l'entreprise ne disposait pas de méthodes efficaces pour protéger le « back office », c'est-à-dire l'ensemble des applications et des données qui gèrent ses opérations commerciales, qui se trouvent désormais à la fois dans des centres de données et sur des plateformes cloud.

L'exécutif a reconnu que la microsegmentation serait un moyen essentiel de renforcer la protection de ces systèmes.

En étant capable de contrôler et de bloquer facilement les voies de circulation jusqu'au niveau de l'application, l'entreprise pourrait considérablement limiter les « portes déverrouillées » qui permettent si souvent aux cybercriminels de se déplacer facilement sur les réseaux pour voler des données et prendre des entreprises en otage, explique t-il.

Lorsqu'il a commencé à rechercher une plateforme de microsegmentation, il a découvert que les approches classiques de segmentation ne fonctionnaient tout simplement pas comme elles le devraient.

« Je voulais mieux contrôler nos communications réseau, mais je savais que je n'y arriverais pas avec des méthodes telles que la restriction manuelle des listes de contrôle d'accès sur les commutateurs réseau physiques », déclare-t-il. « Il faut tout simplement trop de main-d'œuvre pour les programmer, et ensuite, comment cartographier tout cela par la suite ? »

Illumio vous offre la visibilité et le contrôle des flux de communication des applications comme aucune autre solution de sécurité n'offre. Dirigeant informatique Cabinet d'avocats mondial

Illumio résout ces défis, explique l'exécutif.

Sur la base de contrôles approfondis et de conseils fournis par des cabinets d'analystes de premier plan, le dirigeant a sélectionné Illumio pour apporter une segmentation Zero Trust simple et évolutive à son organisation.

« Illumio vous offre la visibilité et le contrôle des flux de communication des applications comme aucune autre solution de sécurité ne vous offre », déclare-t-il. « Avec Illumio, vous pouvez facilement consulter vos politiques et les mettre à jour et les modifier si nécessaire. »

Le dirigeant affirme que la capacité d'Illumio à fournir de manière fluide les mêmes fonctionnalités de segmentation pour les charges de travail dans le cloud que pour les centres de données sur site constituait également un argument de vente important.

« Vous ne pouvez pas vous contenter de penser aux limites de votre propre centre de données », déclare-t-il. « Le cloud computing hybride est une réalité aujourd'hui. Plutôt que de nous limiter à une solution matérielle réseau ou à une plateforme de virtualisation, nous voulions opter pour une plateforme SaaS de pointe qui nous offre la flexibilité dont nous avons besoin. Je dirais qu'Illumio est exactement cela. »

Le cabinet d'avocats est certainement très content qu'Illumio soit en place, prêt à l'aider à vaincre les rançongiciels et à éviter de porter atteinte à ses opérations, à ses clients et à sa réputation. Elle se concentre désormais sur l'expansion d'Illumio afin d'appliquer la politique à un éventail beaucoup plus large de son parc informatique.

« De nos jours, il est essentiel de mettre en œuvre la microsegmentation pour limiter les mouvements latéraux de tout attaquant ou malware qui entre dans votre réseau. » il dit. « Ce n'est qu'une question de temps avant que vous ne commenciez votre propre faille. Il faut donc être prêt. »