Unit 42 assure la sécurité d’un fabricant d’appareils médicaux après une intrusion sur son réseau

L’équipe de réponse à incident a rapidement endigué l’intrusion, identifié les vulnérabilités et mis en place des mesures de sécurité robustes.

Résultats
1jour

Pour identifier les services connectés à Internet et les vecteurs d’attaque avec Cortex Xpanse®

2jours

pour neutraliser l’activité du serveur C2 (commande et contrôle) et repérer les politiques de sécurité à risque sur 500 NGFW grâce à l’AIOps

2jours

pour recenser les identifiants collectés par l’attaquant et lancer les premières mesures de durcissement des accès

Le client

Fabricant international d’appareils et d’équipements médicaux

Les enjeux

Le client a été victime d’une intrusion réseau imputable à une vulnérabilité de son VPN. L’alerte a été donnée après la détection d’attaques par force brute exploitant des vulnérabilités connues. Le client a aussitôt mobilisé l’équipe Unit 42® en renfort de ses propres capacités de threat hunting et de réponse à incident. Nos experts l’ont aidé à :

  • Identifier les zones affectées et les autres compromissions au sein de son réseau
  • Cerner l’ampleur de l’intrusion et mettre en place des mesures d’endiguement
  • Concevoir des plans de remédiation et de restauration

Unit 42 : une approche rigoureuse et efficace de la réponse à incident

Évaluation

L’évaluation initiale a révélé la présence d’une vulnérabilité non corrigée dans le VPN du client, point d’entrée d’une infiltration majeure sur le réseau.

Investigation

L’équipe Unit 42 a détecté des contrôleurs de domaine compromis. Grâce à Cortex Xpanse, , elle a pu identifier les risques pour l’entreprise ainsi que les autres failles dans sa sécurité.

Sécurité

Sur conseil de l’équipe Unit 42, le client a immédiatement réinitialisé ses mots de passe, mis des systèmes en quarantaine, migré le VPN et déployé des NGFW pour renforcer ses défenses périmétriques.

Restauration

Restauration des systèmes compromis aux dernières configurations saines connues et évaluations approfondies des vulnérabilités

Transformation

Fortification de la sécurité par 1) un durcissement du parc numérique, 2) une réduction des surfaces d’attaque et 3) un renforcement des politiques, des procédures et du facteur humain

« Nous sommes déjà passés par d’autres prestataires. J’en suis probablement à ma quatre centième réponse à incident, et honnêtement, l’équipe Unit 42 est la meilleure de toutes. »

Vice-président, Sécurité mondiale

First trigger point

Évaluation

Investigation

Sécurité

Restauration

Transformation

Faites défiler à droite

Chronologie de la résolution

Évaluation

Investigation

Sécurité

Restauration

Transformation

Jours 0 à 2
Intervention d’urgence

Évaluation initiale révélant l’exécution de code et l’accès à distance au réseau par un acteur malveillant

Identification d’une compromission de plusieurs contrôleurs de domaine, avec extraction des identifiants d’administrateur de domaine

Lancement de la réinitialisation des identifiants pour tous les utilisateurs affectés, mise en quarantaine des terminaux touchés et blocage du trafic C2 grâce aux politiques appliquées sur les NGFW

Jours 3 à 5
Remédiation

Utilisation de Cortex Xpanse pour découvrir les autres failles de sécurité, telles que les nombreux VPN obsolètes et les points d’accès RDP non surveillés

Lancement de la restauration des systèmes compromis aux dernières configurations saines connues et évaluations approfondies des vulnérabilités

Jours 6 à 8
Restauration

Déploiement de NGFW supplémentaires pour renforcer la défense périmétrique

Accompagnement continu pour surveiller la mise en place effective des mesures de sécurité

Partage et application des bonnes pratiques AIOps sur les NGFW du client pour améliorer l’hygiène et la visibilité réseau

Last trigger point

Réponse à incident basée sur la Threat Intelligence

L’équipe de réponse à incident Unit 42 vous aide à devancer les menaces pour mieux protéger votre entreprise. En collaborant avec le leader mondial de la cybersécurité, vous investiguez, endiguez et récupérez plus rapidement que jamais pour sortir renforcé de la crise et évoluer en toute sérénité.

L’excellence, à tous les niveaux

  • Threat Intel logo icon
    Threat Intelligence

    Les données télémétriques et les flux CTI accélèrent l’investigation et la remédiation

  • Technology icon
    Technologie

    La plateforme Palo Alto Networks offre une visibilité approfondie pour détecter, contenir et éliminer rapidement les menaces, tout en limitant les perturbations de l’activité

  • Experience symbol
    Expérience

    Nos experts de confiance se mobilisent rapidement pour résoudre plus de 1 000 incidents par an