Dans le paysage tumultueux de la cybersécurité, l’année 2023 a laissé une marque indélébile avec les exploits effrontés du groupe menaçant Scattered Spider. Leurs attaques ont ciblé les centres névralgiques des principales institutions financières et d’assurance, aboutissant à ce qui constitue l’une des attaques de ransomware les plus percutantes de mémoire récente.
Lorsque les organisations ne disposent d’aucun plan de réponse à une telle attaque, il peut devenir difficile de tenter de prioriser les prochaines étapes qui auront un impact aggravé sur la capacité de l’acteur malveillant à conserver l’accès et le contrôle d’un réseau compromis.
L’équipe de recherche sur les menaces de Silverfort a interagi en étroite collaboration avec les menaces d’identité utilisées par Scattered Spider. et en fait, nous avons créé un manuel de réponse en temps réel pour répondre à une attaque active de Scattered Spider. Ce webinaire décortiquera le scénario réel dans lequel ils étaient appelés à élaborer et à exécuter un plan de réponse alors que les attaquants se déplaçaient dans l’environnement hybride d’une organisation.
Écoutez directement l’équipe Silverfort parler des défis auxquels elle a été confrontée, notamment de la manière d’atteindre rapidement et efficacement (et de la manière la plus automatisée possible) les objectifs de réponse suivants :
- Mettez immédiatement en place des « barrages routiers » pour vous protéger contre tout mouvement latéral supplémentaire à partir de ce point.
- Identifiez les comptes d’utilisateurs qui ont été compromis, avec un accent particulier sur les comptes de service (une cible privilégiée du Scattered Spider)
- Éradiquer la présence malveillante potentielle de l’infrastructure d’identité de l’organisation (encore une fois – une technique Scattered Spider favorable et publiquement documentée)
De plus, vous obtiendrez un aperçu des mesures prises en réponse, en vous concentrant sur trois dimensions du mouvement latéral :
- Comptes d’utilisateurs – Nous examinerons les politiques et la surveillance nécessaires pour les comptes de service, les utilisateurs administrateurs et les utilisateurs de domaine.
- Infrastructure d’identité – Nous discuterons de la limitation de l’accès des utilisateurs, de la désactivation des protocoles d’authentification non sécurisés et du renforcement des exigences d’authentification.
- Autres machines jointes à un domaine – Nous envisagerons de limiter la communication entre machines pour les postes de travail des utilisateurs, en bloquant temporairement les protocoles d’authentification non sécurisés.
On se voit là-bas!