Phil Spencer
Responsable global du portefeuille Security & Compliance de Getronics
Dans cet article :
L'un des plus grands défis à relever pour assurer la sécurité d'un réseau informatique est que, quelle que soit la force de vos défenses, il y a toujours des vulnérabilités non découvertes qui se cachent quelque part dans le système. Nos équipes de sécurité rencontrent souvent des systèmes qui sont vulnérables depuis des années, des bombes à retardement qui n'attendent qu'un cybercriminel pour les trouver et les déclencher.
3 Menaces cachées récentes
Trois des menaces cachées les plus récemment découvertes (et qui pourraient se trouver dans votre système) sont :
1. SolarWinds
En décembre 2020, il a été révélé que la plateforme de gestion des infrastructures SolarWinds Orion avait été piratée et utilisée pour violer la sécurité des agences gouvernementales américaines. La brèche permet aux acteurs de la menace de se faire passer pour n'importe quel compte d'utilisateur d'une organisation, y compris ceux ayant un accès privilégié. Plus de 250 organisations ont été touchées jusqu'à présent, y compris des agences gouvernementales et des entreprises privées. Bien que les premières attaques aient été signalées en 2020, on pense que les acteurs de la menace vendent l'accès au système depuis au moins 2017.
2. Linux Sudo
Dans l'une des plus anciennes vulnérabilités connues, un bogue majeur a été découvert dans l'application en ligne de commande Linux Sudo après avoir été présent pendant près d'une décennie. Cette vulnérabilité, connue sous le nom de "Baron Samedit", permet aux attaquants de transformer n'importe quel compte utilisateur en super-utilisateur, ce qui leur permet de se déplacer facilement dans le système pour accéder à des données sensibles ou effectuer un certain nombre d'activités malveillantes.
3. Logiciel malveillant Android Oscorp
Les acteurs de la menace ciblent de plus en plus les appareils mobiles en plus des terminaux de travail standard, en misant sur le fait que les utilisateurs sont plus susceptibles d'accepter simplement des messages comme les autorisations d'installation et d'application. L'un des exemples les plus récents est un logiciel malveillant appelé Oscorp qui cible les appareils Android.
Oscorp trompe les utilisateurs en leur donnant accès au service d'accessibilité Android. À partir de là, les attaquants peuvent effectuer un nombre illimité d'actions malveillantes, y compris l'enregistrement des touches, les appels, l'envoi de SMS, le vol de codes PIN 2FA et bien plus encore. Nous avons récemment mis en garde nos clients italiens contre Oscorp, mais le logiciel malveillant est susceptible d'apparaître également au niveau international.
Gestion des menaces cachées
En raison du besoin d'interconnectivité, les menaces non découvertes comme celles mentionnées ci-dessus, qui se cachent dans les anciens systèmes, peuvent créer un chemin d'attaque facile pour accéder même aux actifs mobiles et cloud les plus récents.
Et bien sûr, tout nouveau logiciel peut avoir sa propre part de vulnérabilités cachées.
Comment les entreprises peuvent-elles donc protéger leurs systèmes contre ces menaces ?
1. Le facteur hygiène : Commencer par les bases
L'impact de la plupart des vulnérabilités cachées peut être grandement atténué par la mise en œuvre d'une bonne hygiène en matière de cybersécurité. Voici quelques-unes des activités de base les plus importantes :
- Des mots de passe forts et bien gérés pour empêcher les attaquants de détourner facilement les comptes d'utilisateurs.
- Mettre en œuvre la gestion de l'accès privilégié (PAM), les modèles de moindre privilège et de confiance zéro pour réduire considérablement les capacités des acteurs de la menace à l'intérieur du système.
- Des correctifs réguliers pour maintenir tous les actifs à jour et entièrement sécurisés, en donnant la priorité aux nouvelles vulnérabilités pertinentes.
Il est essentiel de bien comprendre les principes de base, car une chaîne n'est pas plus solide que son maillon le plus faible. Le plus souvent, nos clients font presque tout correctement, mais ils oublient une petite chose qui pourrait être exploitée par un cybercriminel.
2. Trouver les vulnérabilités cachées
Si une bonne hygiène de sécurité permet de réduire l'impact d'une menace cachée, vous pouvez également être plus proactif en les recherchant avant qu'elles ne soient exploitées.
Le plus important est d'être conscient de ce qui se trouve sur le système. Nos équipes rencontrent souvent des logiciels anciens qui ont été oubliés, mais qui sont toujours connectés et qui mettent vos environnements en danger.
Une fois que l'on connaît l'étendue des ressources du réseau, une analyse régulière des vulnérabilités permet d'identifier les problèmes connus, en s'appuyant sur des renseignements actualisés sur les menaces à la cybersécurité. Il est possible d'aller plus loin en effectuant des tests de pénétration pour trouver des vulnérabilités plus complexes.
La capacité à réagir rapidement et à fermer les vulnérabilités nouvellement découvertes est de plus en plus importante, y compris l'examen des données historiques pour détecter les violations non détectées auparavant.
Dans un exemple, notre centre des opérations de sécurité (SOC) a réagi à un avis et a utilisé une recherche structurée dans les archives des journaux, ce qui a permis d'identifier un petit nombre de correspondances pour l'un de nos clients. Un changement d'urgence a immédiatement été effectué pour contenir l'impact, suivi d'investigations supplémentaires pour déterminer s'il s'agissait d'une véritable violation de la sécurité et pour comprendre pleinement l'étendue de la compromission. Cela a permis de s'assurer que l'atténuation et l'éradication de la menace seraient complètes et que l'impact sur l'entreprise serait pleinement compris.
3. Réponse aux violations de la sécurité
Enfin, il est important de disposer d'un manuel solide sur la manière de réagir en cas de violation. À notre avis, le cadre du NIST constitue un excellent guide et une base solide permettant aux organisations de mettre en place une gestion des risques et une réponse efficaces.
Pourtant, même avec des cadres en place, de nombreuses organisations ont du mal à mettre en place et à maintenir une capacité de réaction, surtout lorsqu'elle n'est utilisée que rarement, et préfèrent l'externalisation à un MSSP spécialisé bien établi qui peut offrir une réaction redondante 24 heures sur 24 et 7 jours sur 7, avec des gestionnaires d'incidents hautement qualifiés et expérimentés qui peuvent rapidement passer à l'action.
Sécurisons votre entreprise
Suivre ces étapes peut vous aider, vous et votre équipe, à trouver des vulnérabilités cachées avant qu'elles ne puissent être exploitées et à réduire l'impact si une brèche se produit. Si vous avez besoin de plus d'expérience, d'outils et de ressources pour garder vos biens à l'abri des bombes à retardement de sécurité, contactez nos experts et découvrez comment l'équipe de Getronics Security peut vous aider.
Non seulement nous défendons le cadre du NIST, mais nous l'avons intégré dans notre modèle global de prestation de services basé sur l'ITIL lorsque nous avons créé notre équipe de réponse aux incidents de sécurité (GTN-CERT).
Grâce à des processus éprouvés, des exercices d'équipe conjoints et des plans d'action préétablis prêts à être adaptés au contexte spécifique du client et à la nature de la violation, Getronics peut vous assurer la tranquillité d'esprit en vous garantissant que votre organisation bénéficiera d'une assistance experte, en particulier au moment où elle en a le plus besoin.
