3 failles de cybersécurité négligées


Voici trois des pires violations, tactiques et techniques d’attaque de 2022, et les contrôles de sécurité qui peuvent leur fournir une protection de sécurité d’entreprise efficace.

#1 : 2 attaques RaaS en 13 mois

Le ransomware en tant que service est un type d’attaque dans lequel le logiciel et l’infrastructure du ransomware sont loués aux attaquants. Ces services de rançongiciels peuvent être achetés sur le dark web auprès d’autres acteurs de la menace et gangs de rançongiciels. Les plans d’achat courants incluent l’achat de l’ensemble de l’outil, l’utilisation de l’infrastructure existante tout en payant par infection ou la possibilité pour d’autres attaquants d’exécuter le service tout en partageant les revenus avec eux.

Dans cette attaque, l’auteur de la menace consiste en l’un des groupes de rançongiciels les plus répandus, spécialisé dans l’accès via des tiers, tandis que l’entreprise ciblée est un détaillant de taille moyenne avec des dizaines de sites aux États-Unis.

Les acteurs de la menace ont utilisé le rançongiciel comme service pour violer le réseau de la victime. Ils ont pu exploiter les informations d’identification de tiers pour obtenir un accès initial, progresser latéralement et rançonner l’entreprise, le tout en quelques minutes seulement.

La rapidité de cette attaque était inhabituelle. Dans la plupart des cas RaaS, les attaquants restent généralement dans les réseaux pendant des semaines et des mois avant d’exiger une rançon. Ce qui est particulièrement intéressant dans cette attaque, c’est que l’entreprise a été rachetée en quelques minutes, sans qu’il soit nécessaire de la découvrir ou de se déplacer latéralement pendant des semaines.

Une enquête du journal a révélé que les attaquants ciblaient des serveurs qui n’existaient pas dans ce système. Il s’avère que la victime a initialement été violée et rançonnée 13 mois avant cette deuxième attaque de ransomware. Par la suite, le premier groupe d’attaquants a monétisé la première attaque non seulement grâce à la rançon qu’il a obtenue, mais également en vendant les informations réseau de l’entreprise au deuxième groupe de rançongiciels.

Dans les 13 mois séparant les deux attaques, la victime a changé de réseau et supprimé des serveurs, mais les nouveaux attaquants n’étaient pas au courant de ces modifications architecturales. Les scripts qu’ils ont développés ont été conçus pour la carte de réseau précédente. Cela explique également comment ils ont pu attaquer si rapidement – ils avaient beaucoup d’informations sur le réseau. La leçon principale ici est que les attaques de ransomwares peuvent être répétées par différents groupes, surtout si la victime paie bien.

« Les attaques RaaS telles que celle-ci sont un bon exemple de la façon dont une visibilité totale permet une alerte précoce. Une solution globale, convergée, plate-forme SASE native du cloud qui prend en charge tous les bords, comme Cato Networks, offre une visibilité complète du réseau sur les événements réseau qui sont invisibles pour les autres fournisseurs ou qui peuvent passer sous le radar en tant qu’événements bénins. Et, être capable de contextualiser pleinement les événements permet une détection et une correction précoces.

#2 : L’attaque des infrastructures critiques sur les réseaux d’alerte aux radiations

Les attaques contre les infrastructures critiques sont de plus en plus courantes et dangereuses. Les ruptures des usines d’approvisionnement en eau, des systèmes d’égouts et d’autres infrastructures similaires pourraient exposer des millions d’habitants à un risque de crise humaine. Ces infrastructures deviennent également plus vulnérables, et les outils de gestion de surface d’attaque pour OSINT comme Shodan et Censys permettent aux équipes de sécurité de trouver facilement ces vulnérabilités.

En 2021, deux pirates ont été suspectés de cibler des réseaux d’alerte aux radiations. Leur attaque reposait sur deux initiés qui travaillaient pour un tiers. Ces initiés ont désactivé les systèmes d’alerte aux radiations, affaiblissant considérablement leur capacité à surveiller les attaques aux radiations. Les attaquants ont ensuite pu supprimer des logiciels critiques et désactiver les jauges de rayonnement (qui font partie de l’infrastructure elle-même).

Violations de la cybersécurité

« Malheureusement, l’analyse des systèmes vulnérables dans les infrastructures critiques est plus facile que jamais. Bien que de nombreuses organisations de ce type disposent de plusieurs couches de sécurité, elles utilisent toujours des solutions ponctuelles pour essayer de défendre leur infrastructure plutôt qu’un système capable d’examiner de manière globale le cycle de vie complet de l’attaque. . Les violations ne sont jamais simplement un problème de phishing, ou un problème d’informations d’identification, ou un problème de système vulnérable – elles sont toujours une combinaison de multiples compromissions effectuées par l’auteur de la menace », a déclaré Etay Maor, directeur principal de la stratégie de sécurité chez Réseaux Cato.

#3 : L’attaque de ransomware en trois étapes qui a commencé par le phishing

La troisième attaque est également une attaque de ransomware. Cette fois, il s’agissait de trois étapes :

1. Infiltration – L’attaquant a pu accéder au réseau via une attaque de phishing. La victime a cliqué sur un lien qui a généré une connexion vers un site externe, ce qui a entraîné le téléchargement de la charge utile.

2. Activité du réseau – Dans la deuxième phase, l’attaquant a progressé latéralement dans le réseau pendant deux semaines. Pendant ce temps, il a collecté les mots de passe administrateur et utilisé des logiciels malveillants sans fichier en mémoire. Puis, le soir du Nouvel An, il a effectué le cryptage. Cette date a été choisie car il était (à juste titre) supposé que l’équipe de sécurité serait en vacances.

3. Exfiltration – Enfin, les attaquants ont téléchargé les données hors du réseau.

En plus de ces trois étapes principales, des sous-techniques supplémentaires ont été employées lors de l’attaque et les solutions de sécurité ponctuelle de la victime n’ont pas été en mesure de bloquer cette attaque.

Violations de la cybersécurité

« Une approche à points d’étranglement multiples, une approche qui regarde horizontalement (pour ainsi dire) l’attaque plutôt que comme un ensemble de problèmes verticaux et disjoints, est le moyen d’améliorer la détection, l’atténuation et la prévention de ces menaces. Contrairement à la croyance populaire, le l’attaquant doit avoir raison plusieurs fois et les défenseurs n’ont besoin d’avoir raison qu’une seule fois. basé sur ZTNA« , a déclaré Etay Maor, directeur principal de la stratégie de sécurité chez Cato Networks.

Comment les solutions Security Point s’empilent-elles ?

Il est courant que les professionnels de la sécurité succombent au « sophisme du point de défaillance unique ». Cependant, les cyberattaques sont des événements sophistiqués qui impliquent rarement une seule tactique ou technique à l’origine de la violation. Par conséquent, une perspective globale est nécessaire pour atténuer avec succès les cyberattaques. Les solutions de point de sécurité sont une solution pour les points de défaillance uniques. Ces outils peuvent identifier les risques, mais ils ne relieront pas les points, ce qui pourrait conduire et a conduit à une violation.

À surveiller dans les mois à venir

Selon les recherches en cours sur la sécurité menées par l’équipe de sécurité de Cato Networks, ils ont identifié deux vulnérabilités et tentatives d’exploitation supplémentaires qu’ils recommandent d’inclure dans vos prochains plans de sécurité :

1. Log4j

Alors que Log4j a fait ses débuts dès décembre 2021, le bruit qu’il faisait ne s’est pas éteint. Log4j est toujours utilisé par les attaquants pour exploiter les systèmes, car toutes les organisations n’ont pas été en mesure de corriger leurs vulnérabilités Log4j ou de détecter les attaques Log4j, dans ce que l’on appelle le « correctif virtuel ». Ils recommandent de donner la priorité à l’atténuation Log4j.

2. Pare-feu et VPN mal configurés

Les solutions de sécurité telles que les pare-feu et les VPN sont devenues des points d’accès pour les attaquants. Les corriger est devenu de plus en plus difficile, en particulier à l’ère de la cloudification de l’architecture et du travail à distance. Il est recommandé de porter une attention particulière à ces composants car ils sont de plus en plus vulnérables.

Comment minimiser votre surface d’attaque et gagner en visibilité sur le réseau

Pour réduire la surface d’attaque, les professionnels de la sécurité ont besoin de visibilité sur leurs réseaux. La visibilité repose sur trois piliers :

  • Informations exploitables – qui peuvent être utilisées pour atténuer les attaques
  • Des informations fiables – qui minimisent le nombre de faux positifs
  • Informations opportunes – pour s’assurer que l’atténuation se produit avant que l’attaque n’ait un impact

Une fois qu’une organisation a une visibilité complète sur l’activité sur son réseau, elle peut contextualiser les données, décider si l’activité observée doit être autorisée, refusée, surveillée, restreinte (ou toute autre action) et avoir ensuite la possibilité d’appliquer cette décision. Tous ces éléments doivent être appliqués à chaque entité, qu’il s’agisse d’un utilisateur, d’un appareil, d’une application cloud, etc. Tout le temps et partout. C’est de cela qu’il s’agit.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57