Commentaire de de Steve Stone qui est à la tête du laboratoire de recherche en cybersécurité de Rubrik, Rubrik Zero Labs, suite de la cyberattaque qui a touché les MGM Resorts aux États-Unis.
“Les décisions en matière de récupération des données deviennent cruciales : Après de tels événements, les entreprises doivent se concentrer sur la récupération des données afin de fournir des capacités opérationnelles essentielles. Ces opérations de récupération seront soit guidées par la visibilité, l’établissement de priorités et la compréhension de l’accès actuel de l’attaquant, soit menées comme des événements “aveugles”. Les organisations qui procèdent à une récupération à l’aveugle risquent de perdre trop de données, car elles risquent de les récupérer sur une période plus longue que nécessaire, ou de réintroduire les attaquants si le point de récupération est postérieur à l’accès des attaquants. Une récupération réussie et rapide est guidée par une prise de décision intelligente sur la séquence de récupération (tout ne peut pas être récupéré en même temps), en s’assurant que les attaquants perdent l’accès en récupérant avant l’intrusion, et qu’une perte minimale de données se produit en récupérant rapidement et aussi proche que possible du moment de l’intrusion. Les organisations qui réussissent le mieux les récupérations sont capables de tirer parti de la visibilité de leurs données dans des situations hors-lignes et immuables, combinées à la compréhension et à la connaissance des intrusions.”
– La reprise orchestrée porte ses fruits : Les organisations qui disposent d’un plan de reprise préexistant se rétablissent presque généralement beaucoup plus vite, car elles ne font qu’exécuter un processus. Les organisations qui ne disposent pas d’un plan préexistant doivent également procéder à la découverte et à la cartographie des flux de travail au moment de la crise, avec une visibilité considérablement réduite. Les organisations qui ne disposent pas d’un plan préexistant doivent également procéder à la découverte et à la cartographie des flux de travail au moment de la crise, avec une visibilité considérablement réduite. Les organisations les plus performantes auront préalablement testé la reprise pour s’assurer de la viabilité de leurs plans et auront procédé à des ajustements sur la base des enseignements tirés.
– Les organisations sont mieux préparées au chiffrement qu’à l’extorsion : De plus en plus de ransomwares utilisent à la fois le chiffrement et le vol de données en les affichant publiquement sous forme d’extorsion. La plupart des organisations ont un certain niveau de préparation à la menace du chiffrement, mais ne sont pas préparées à l’étape suivante de l’extorsion par vol de données. Cette situation est particulièrement difficile lorsqu’un environnement est activement chiffré et/ou fait l’objet d’une intrusion. La capacité à évaluer si des données ont été volées, ce qu’elles contiennent et comment faire face à une menace potentielle d’extorsion de perte de données s’avère essentielle dans les intrusions de ransomware actuelles.”