Un acteur mondial de la tech neutralise une attaque APT avec zéro temps d’arrêt

Lorsqu’un groupe affilié à la campagne TiltedTemple s’est infiltré dans l’environnement du client, qui compte plus de 10 000 terminaux, l’équipe Unit 42®a été appelée en renfort pour évaluer l’impact de l’attaque et protéger l’entreprise

Résultats
0interruption

Unit 42 a permis au client de poursuivre ses activités en toute sécurité malgré l’attaque du groupe APT

48heures

La campagne a rapidement été attribuée au groupe TiltedTemple

4jours

Pour déterminer l’ampleur de l’attaque et sécuriser l’environnement

Client

Acteur mondial de la tech

Les enjeux

Les autorités ont remarqué qu’une partie du trafic réseau quittant l’environnement du client portait les signes d’une campagne APT connue. La détection de cette menace, réputée pour sa furtivité, nécessitait une investigation spécifique approfondie. L’équipe Unit 42 s’est donc chargée de cette enquête, en évitant au client de subir la moindre interruption de service. Nos experts de la réponse à incident se sont vus confier trois missions essentielles :

  • Endiguer et éradiquer la menace ; empêcher toute forme de latéralisation, au-delà de l’impact initial
  • Identifier la cause racine et évaluer l’ampleur de l’attaque
  • Renforcer les contrôles de sécurité pour éviter tout dommage supplémentaire

Unit 42 : une approche rigoureuse et efficace de la réponse à incident

Évaluation

Étant donné la nature de la cybermenace, Unit 42 savait qu’il était indispensable d’évaluer en profondeur l’environnement impacté, mais aussi les environnements adjacents et le réseau dans son ensemble.

Investigation

Pour s’assurer de démasquer totalement les attaquants, l’équipe s’est lancée dans une opération intensive de threat hunting visant à détecter les signes de présence durable, de latéralisation et d’exfiltration de données.

Sécurité

Une opération de threat hunting et une surveillance proactive non-stop ont permis d’obtenir une visibilité complète sur les activités du réseau et de tous les terminaux.

Restauration

Après avoir bloqué l’accès des attaquants et refermé toutes leurs backdoors, les experts Unit 42 ont informé le client de l’ampleur de l’incident.

Transformation

L’équipe a ensuite identifié et comblé les angles morts de sécurité entre la société mère et l’entreprise victime.

« Unit 42 a immédiatement mobilisé ses connaissances et ses compétences pour assurer à la direction et à notre équipe de réponse à incident que les risques liés à cette menace active seraient éliminés. »

DSI

First trigger point

Évaluation

Investigation

Sécurité

Restauration

Transformation

Faites défiler à droite

Chronologie de la résolution

Évaluation

Investigation

Sécurité

Restauration

Transformation

Jours 0 à 1
Intervention d’urgence

Évaluation de l’ampleur et de la sévérité de l’incident, identification des indicateurs de compromission (IoC) et attribution de l’attaque.

Analyse forensique des systèmes impactés connus pour cerner toutes les activités non autorisées ; recherche d’IoC dans tout l’environnement de l’entreprise.

Utilisation des outils existants pour gagner rapidement en visibilité ; identification des failles de sécurité.

Jours 2 à 5
Endiguement

Identification d’un groupe APT chinois affilié à la campagne TiltedTemple, grâce aux IoC et à la CTI Unit 42.

Opération de threat hunting pour détecter les IoC connus et identification de nouvelles TTP.

Déploiement de Cortex XDR® sur les systèmes présentant des failles de sécurité identifiées pour accroître la visibilité.

Endiguement des menaces détectées ; surveillance des activités persistantes et de l’exposition des données.

Jours 6 à 10
Restauration

Opération de threat hunting étendue à l’environnement complet pour identifier les activités malveillantes non détectées à ce jour.

Analyse de la fréquence et des anomalies à l’aide de Cortex Xpanse® pour détecter les activités potentiellement malveillantes.

Confirmation de l’élimination de la menace et notification de l’impact global au client.

Identification des lacunes et conseils pour corriger les vulnérabilités et renforcer la posture de sécurité du client.

Last trigger point

Réponse à incident basée sur la Threat Intelligence

L’équipe de réponse à incident Unit 42vous aide à devancer les menaces pour mieux protéger votre entreprise. En collaborant avec le leader mondial de la cybersécurité, vous investiguez, endiguez et récupérez plus rapidement que jamais pour sortir renforcé de la crise et évoluer en toute sérénité.

L’excellence, à tous les niveaux

  • Threat Intel logo icon
    Threat Intel

    Les données télémétriques et les flux CTI accélèrent l’investigation et la remédiation

  • Technology icon
    Technologie

    La plateforme Palo Alto Networks offre une visibilité approfondie pour détecter, contenir et éliminer rapidement les menaces, tout en limitant les perturbations de l’activité

  • Experience symbol
    Expérience

    Nos experts de confiance se mobilisent rapidement pour résoudre plus de 1 000 incidents par an