Barracuda full logo

Les dossiers du SOC : la réponse automatisée aux menaces de XDR offre une protection à grande vitesse à un employé dans le cloud

Thèmes:
16 janv. 2025
|

Résumé de l’incident

  • Un employé d'une entreprise de télécommunications s'est connecté comme d'habitude à son compte cloud.
  • Ils a ensuite semblé parcourir une distance de 361 km à près de deux fois la vitesse du son avant de se reconnecter, selon les données parvenues aux systèmes de détection automatisés de Barracuda Managed XDR.
  • Ces systèmes de détection ont simultanément enregistré que :
    • La deuxième connexion de l'utilisateur a été effectuée à partir d'un autre appareil.
    • La deuxième connexion provenait d'une adresse IP et d'un emplacement inhabituels pour cet utilisateur.
    • Cette adresse IP a été signalée comme malveillante.
  • Il y avait globalement 99 % de risques que le compte soit compromis par un pirate.
  • Comme l'employeur de l'utilisateur disposait de la réponse automatisée aux menaces dans le cadre de la sécurité cloud XDR, le compte concerné a été automatiquement suspendu, le client a été alerté et l'incident a été résolu.

L'incident a été détecté, contenu et neutralisé par la fonctionnalité de réponse automatisée aux menaces de Barracuda Managed XDR Cloud Security. Barracuda Managed XDR est un service de visibilité, de détection et de réponse étendues (XDR) qui fonctionne en continu pour nos clients et fournit des prestations de détection des menaces, d’analyse des réponses aux incidents et d’atténuation des risques. Il recourt à des méthodes basées aussi bien sur des interventions humaines que sur l'IA, afin de protéger nos utilisateurs contre les menaces complexes.

Le déroulement de l'attaque

Un après-midi, vers 15 h 25, un employé d'une entreprise de télécommunications s'est connecté à son compte cloud avec son appareil habituel et depuis son lieu habituel.

  • Il a ensuite semblé se déplacer à plus de 2 160 km/h, à la vitesse d'un avion de reconnaissance avancé Lockheed SR-71 Blackbird, vers un lieu qu'il avait rarement voire jamais visité, et s'est reconnecté à son compte en utilisant un autre appareil.
  • Cette activité anormale a déclenché toute une série de signaux d’alarme dans les systèmes de détection Barracuda XDR.
  • La deuxième connexion a été identifiée comme suspecte et non autorisée.
  • Elle présentait quatre caractéristiques indiquant une compromission de compte avec un indice de confiance de 99 % :
    • Le scénario du « voyage impossible », couvrant une distance de 361 km à près de deux fois la vitesse du son entre les connexions.
    • Un appareil différent a été utilisé lors de la deuxième connexion suspecte.
    • Les indicateurs d'apprentissage automatique de Barracuda Managed XDR ont signalé que l'adresse IP et la localisation associées à la connexion suspecte étaient considérées comme « rares » pour le compte utilisateur affecté.
    • La fonctionnalité de renseignements sur les menaces a signalé l'adresse IP utilisée lors de l'évènement de connexion suspect comme potentiellement malveillante.

Réponse et neutralisation des menaces

  • Peu de temps après la deuxième tentative de connexion, le modèle d'apprentissage automatique de XDR a validé les caractéristiques anormales de l'évènement de connexion suspect et a déclenché une alerte de détection malveillante.
  • Six minutes plus tard, XDR a automatiquement suspendu le compte concerné et a envoyé un avertissement de sécurité à l'entreprise.
  • Un analyste en cybersécurité du SOC a effectué le suivi en appelant l'entreprise pour l'informer en personne. Celle-ci a confirmé que l'incident n'était pas une fausse alerte. 
Exemple de réponse automatisée aux menaces pour les dossiers de cas SOC

Principaux enseignements clés

  • En plus de mettre en œuvre des solutions de sécurité telles que Barracuda Managed XDR avec réponse automatisée aux menaces et une protection avancée et multicouche des e-mails, les entreprises peuvent renforcer leur protection contre de tels incidents grâce à des politiques robustes et à la formation des employés.
  • Cela devrait inclure des politiques d'accès conditionnel, telles que l'autorisation de l'authentification uniquement à partir d'emplacements autorisés, des mesures d'authentification multifacteur (MFA) et une rotation régulière des identifiants pour éviter l'utilisation de mots de passe obsolètes ou divulgués.
  • La formation de sensibilisation à la sécurité aidera à empêcher les utilisateurs de devenir victimes de la lassitude des MFA et des attaques par hameçonnage de plus en plus complexes et discrètes.

Barracuda Managed XDR dispose de fonctionnalités qui apportent une protection complète contre les risques. Elles permettent de bloquer les activités malveillantes dans des délais très courts. Ces fonctionnalités comprennent la collecte et l’usage de renseignements sur les menaces, la réponse automatisée aux menaces ainsi que des intégrations avec des outils Barracuda XDR de plus large portée, comme nos outils de sécurisation des serveurs, de protection des réseaux et de sécurisation du cloud.

Pour plus d'informations sur la manière dont Barracuda Managed XDR et le centre d'opérations de sécurité peuvent vous aider, veuillez nous contacter

Gardez une longueur d’avance sur les pirates avec une cybersécurité gérée 24/7.
Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 La rentrée scolaire marque aussi le retour des escroqueries – partie 2 : l’atténuation en action
La rentrée scolaire marque aussi le retour des escroqueries – partie 2 : l’atténuation en action
 La rentrée scolaire marque aussi le retour des escroqueries
La rentrée scolaire marque aussi le retour des escroqueries
 Cybersécurité municipale : les MSP naviguent en première ligne de la défense numérique
Cybersécurité municipale : les MSP naviguent en première ligne de la défense numérique
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.