Le blog de la Cybersécurité

by OpenSphere.

Revenir au blog

Trois erreurs fréquentes dans la planification de la sécurité des rançons

À mesure que la fréquence et l'intensité des attaques de logiciels contre rançon augmentent, une chose devient évidente : les organisations peuvent faire plus pour se protéger. Malheureusement, la plupart des organisations laissent tomber la balle.

La plupart des victimes sont averties de manière adéquate des vulnérabilités potentielles, mais elles ne sont malheureusement pas préparées à s'en remettre lorsqu'elles sont touchées. Voici quelques exemples récents d'échecs en matière de prévention et de réaction aux incidents :

  • Deux mois avant que la ville d'Atlanta ne soit frappée par une demande de rançon en 2018, un audit a identifié plus de 1 500 vulnérabilités de sécurité graves.

  • Avant que la ville de Baltimore ne subisse plusieurs semaines d'interruption de service à la suite d'une attaque par un logiciel de rançon en 2019, une évaluation des risques avait identifié une grave vulnérabilité due à des serveurs utilisant un système d'exploitation obsolète (et donc dépourvus des derniers correctifs de sécurité) et à des sauvegardes insuffisantes pour restaurer ces serveurs, si nécessaire.

  • Honda a été attaquée en juin dernier, et l'accès public au protocole RDP (Remote Desktop Protocol) pour certaines machines pourrait avoir été le vecteur d'attaque exploité par les pirates. Pour compliquer encore les choses, il y avait un manque de segmentation adéquate du réseau.

Parmi les autres victimes récentes, on peut citer Travelex, Blackbaud et Garmin. Dans tous ces exemples, il s'agit de grandes organisations qui devraient avoir des profils de sécurité très matures. Alors, quel est le problème ?

Trois erreurs courantes conduisent à une prévention inadéquate et à une réponse inefficace, et elles sont commises par des organisations de toutes tailles :

1. Ne pas présenter le risque en termes commerciaux, ce qui est crucial pour persuader les dirigeants d'entreprise de fournir un financement approprié et de s'engager dans une politique.

2. Ne pas aller assez loin dans la manière dont vous testez votre état de préparation à l'obtention d'une rançon.

3. Une planification insuffisante de la DR qui ne tient pas compte d'une menace de rançon qui pourrait infecter vos sauvegardes.

Erreur fréquente n°1 - Ne pas présenter de risque de sécurité en termes commerciaux pour obtenir des financements et des politiques

J'ai été rappelé à quel point il est facile de contourner la sécurité de base (par exemple, les pare-feu, les passerelles de sécurité pour le courrier électronique et les solutions anti-malware) lorsque j'ai récemment assisté à une simulation d'attaque par un logiciel de rançon : la charge utile initiale avant le logiciel de rançon a mis un pied dans la porte, suivie par des techniques telles que la recherche DNS inverse pour identifier un service Active Directory, qui a les privilèges nécessaires pour faire vraiment des dégâts, et enfin le Kerberoasting pour prendre le contrôle.

Aucune organisation n'est à l'épreuve des balles, mais les attaques prennent du temps - ce qui signifie qu'une détection précoce avec une détection des intrusions plus avancée et une série de barrages routiers que les pirates doivent surmonter (par exemple, une plus grande segmentation du réseau, des restrictions appropriées pour l'utilisateur final, etc.
Ce n'est pas une nouveauté pour les praticiens de la sécurité. Mais convaincre les chefs d'entreprise de faire des investissements supplémentaires dans la sécurité est un autre défi à relever.

Comment corriger l'erreur n°1 : Quantifier l'impact sur les entreprises pour permettre une décision commerciale fondée sur les coûts

Le renforcement des contrôles de sécurité (via la technologie et la politique) est une source de friction pour l'entreprise. Et si aucun chef d'entreprise ne veut être victime de rançon, les budgets ne sont pas illimités.

Pour justifier les coûts supplémentaires et les contrôles plus stricts, vous devez présenter un dossier commercial qui présente non seulement un risque, mais aussi un impact commercial quantifiable. Aidez les dirigeants à comparer des pommes avec des pommes - dans ce cas, le coût d'une amélioration de la sécurité (investissements et frictions potentielles sur la productivité) par rapport au coût d'une faille de sécurité (le coût direct d'un temps d'arrêt prolongé et le coût à long terme de l'atteinte à la réputation).

L'évaluation de l'impact sur les entreprises n'est pas nécessairement onéreuse. Des évaluations d'impact assez précises des systèmes critiques peuvent facilement être réalisées en une journée. Concentrez-vous sur quelques applications et ensembles de données clés pour obtenir un échantillon représentatif et obtenir une estimation approximative des coûts, de la bonne volonté, de la conformité et/ou des impacts sur la santé et la sécurité, en fonction de votre organisation. Il n'est pas nécessaire d'être précis à ce stade pour reconnaître le potentiel d'un impact critique.

Vous trouverez ci-dessous un exemple des principaux points de discussion qui en résultent pour une présentation à la haute direction :

 

ransomware security planning
Source: Groupe de recherche Info-Tech, Résumé de l'analyse de l'impact sur les entreprises - Exemple, 2020

Erreur fréquente n°2 - Ne pas aller assez loin dans les tests de préparation des rançons

Si vous n'êtes pas encore engagé dans des tests de pénétration pour valider la technologie et la configuration de la sécurité, commencez dès maintenant. Si vous ne pouvez pas obtenir de financement, relisez Comment réparer l'erreur n°1.

Les organisations se trompent lorsqu'elles s'arrêtent aux tests de pénétration et ne valident pas la réponse de bout en bout aux incidents. Cela est particulièrement critique pour les grandes organisations qui doivent rapidement coordonner l'évaluation, le confinement et la récupération avec plusieurs équipes.

Comment corriger l'erreur n°2 : effectuer des exercices de planification approfondis sur table pour couvrir une série de scénarios de simulation

Le problème de la plupart des exercices de planification sur table est qu'ils sont conçus pour valider simplement vos plans de réponse aux incidents (IRP) existants.
Plongez plutôt dans la manière dont une attaque pourrait avoir lieu et dans les mesures que vous prendriez pour la détecter, la contenir et vous remettre de l'attaque. Par exemple, si votre IRP vous demande de vérifier la présence d'autres systèmes infectés, précisez comment cela pourrait se produire. Quels outils utiliseriez-vous ? Quelles données examineriez-vous ? Quels modèles rechercheriez-vous ?

C'est toujours une révélation lorsque nous faisons de la planification sur table avec nos clients. Je n'ai pas encore rencontré de client qui ait un plan de réponse aux incidents parfait. Même les organisations ayant un profil de sécurité mature et des plans de réponse documentés trouvent souvent des lacunes telles que :

  • Une mauvaise coordination entre le personnel de sécurité et celui des infrastructures, avec des transferts peu clairs pendant la phase d'évaluation.

  • Les outils existants ne sont pas pleinement exploités (par exemple, la configuration des fonctions de confinement automatique).

  • Visibilité limitée de certains systèmes (par exemple, les dispositifs IdO et les systèmes existants)..

Erreur courante n°3 - Les stratégies de sauvegarde et les plans de DR ne tiennent pas compte des scénarios de rançon

Les instantanés et les sauvegardes quotidiennes standard sur des supports réinscriptibles, comme dans l'exemple ci-dessous, ne sont tout simplement pas suffisants :

 

ransomware security planning
 
Source: Groupe de recherche Info-Tech, Exemple de stratégie de sauvegarde obsolète, 2020

 

Le réseau de sécurité ultime en cas de piratage est votre capacité à restaurer à partir d'une sauvegarde ou d'un basculement vers un site ou un système de secours propre.

Toutefois, l'un des principaux objectifs d'une attaque par logiciel rançon est de désactiver votre capacité de restauration, ce qui signifie que vous devez cibler les sauvegardes et les systèmes de secours, et pas seulement les données primaires. Si vous ne vous protégez pas explicitement contre les logiciels de rançon en permanence, l'argent que vous avez investi pour minimiser les pertes de données dues aux pannes informatiques traditionnelles - des pannes de disque aux ouragans - devient inutile.

Comment corriger l'erreur n°3 : appliquer la défense en profondeur à votre stratégie de sauvegarde et de DR

La philosophie de la défense en profondeur est la meilleure pratique pour la sécurité, et la même philosophie doit être appliquée à vos sauvegardes et à vos capacités de récupération.

La défense en profondeur ne consiste pas seulement à essayer d'attraper ce qui passe entre les mailles du filet de sécurité de votre périmètre. Il s'agit aussi de gagner du temps pour détecter, contenir et récupérer après une attaque.

Pour atteindre la défense en profondeur, suivez l'approche suivante :

1. Créez plusieurs points de restauration afin d'être plus précis dans votre retour en arrière et de ne pas perdre autant de données.

2. Réduire le risque d'infection des sauvegardes en utilisant différents supports de stockage (par exemple, disque, NAS et/ou bande) et différents lieux de sauvegarde (par exemple, sauvegardes hors site). Si vous pouvez faire en sorte que les attaquants passent par plus d'obstacles, vous aurez plus de chances de détecter l'attaque avant qu'elle n'infecte toutes vos sauvegardes. Commencez par vos données les plus critiques et concevez une solution qui tienne compte des besoins de l'entreprise, des coûts et de la tolérance au risque.

3. Investissez dans des solutions qui génèrent des sauvegardes immuables. La plupart des principales solutions de sauvegarde offrent des options pour garantir que les sauvegardes sont immuables (c'est-à-dire qu'elles ne peuvent pas être modifiées après avoir été écrites). Bien entendu, il faut s'attendre à ce que le coût soit plus élevé. Il faut donc tenir compte de l'impact sur l'entreprise au moment de décider ce qui nécessite des niveaux de protection plus élevés.

Résumé : Planification de la sécurité des rançons

Les attaques par rançon peuvent être sophistiquées, les pratiques de sécurité de base ne sont tout simplement pas suffisantes. Obtenez l'adhésion des hauts responsables sur ce qu'il faut faire pour être prêt à recevoir des rançons en présentant non seulement le risque d'attaque, mais aussi l'impact potentiel important sur les affaires. Supposez que vous serez touché, soyez prêt à réagir rapidement, testez de manière réaliste et mettez à jour votre stratégie de lutte contre les logiciels espions pour qu'elle englobe cette menace en évolution rapide.

Source : HelpNetSecurity.com

Sur le même thème

Zerologon : Microsoft signale des attaques

Sécurité : Microsoft annonce avoir détecté des attaques exploitant la faille Zerologon. Plusieurs exploits ont été publiés en ligne au cours des derniers jours. Le patch corrigeant cette importante vulnérabilité dans NetLogon est disponible depuis le mois d'août. Des pirates informatiques exploitent activement la vulnérabilité de Zerologon dans des attaques réelles, annonçait ce matin l'équipe de renseignement sur la sécurité de Microsoft. « Microsoft suit activement les activités d'acteurs malveillants utilisant des exploits pour la vulnérabilité EoP CVE-2020-1472 Netlogon, surnommée "Zerologon". Nous avons observé des attaques où des exploits publics ont été incorporés dans les outils des attaquants », a écrit la société dans une série de tweets. Selon les experts de l'industrie de la sécurité, ces attaques étaient attendues. Une vulnérabilité facilement exploitable Plusieurs versions de l'exploit de cette vulnérabilité ont été publiées en ligne sous une forme librement téléchargeable depuis que des détails sur la vulnérabilité de Zerologon ont été révélés le 14 septembre par la société de sécurité néerlandaise Secura BV. Le premier exploit a été publié quelques heures après la publication du post, confirmant l'analyse de Secura selon laquelle le bug Zerologon est facile à exploiter, même par des acteurs peu qualifiés. Le CERT-FR signalait la semaine dernière que des exploits étaient déjà publiquement disponibles, et a remis à jour son bulletin d'information sur Zerologon lundi pour y ajouter des informations d'aide à la détection. Une explication plus approfondie du bug Zerologon est disponible dans notre couverture initiale de la vulnérabilité. Le bug Zerologon est une vulnérabilité de Netlogon, le protocole utilisé par les systèmes Windows pour s'authentifier sur un serveur Windows fonctionnant comme contrôleur de domaine. L'exploitation du bug Zerologon peut permettre à des pirates de prendre le contrôle du contrôleur de domaine et, par essence, du réseau interne d'une organisation. Mises à jour nécessaires Zerologon a été décrit par beaucoup comme la plus dangereuse des failles de sécurité révélées cette année. Au cours du week-end, le DHS a donné trois jours aux agences fédérales pour corriger le bug sur les contrôleurs de domaine, ou les déconnecter des réseaux fédéraux. Dans une alerte publiée lundi, la CISA explique que le bug Zerologon affecte également le logiciel de partage de fichiers Samba, qui doit aussi être mis à jour. Le CERT-FR a également publié un bulletin d'information concernant l'impact de Zerologon sur Samba : l'utilisation de cette vulnérabilité permet ici une élévation de privilèges lorsque le serveur Samba est utilisé comme contrôleur de domaine. Bien que Microsoft n'ait pas donné de détails sur les attaques, il a publié des hashs de fichiers pour les exploits utilisés dans les attaques. Comme plusieurs experts en sécurité l'ont recommandé depuis que Microsoft a révélé ces attaques, les entreprises dont le contrôleur de domaine est exposé sur internet doivent mettre leurs systèmes hors ligne pour les réparer. Les serveurs accessibles par internet sont particulièrement vulnérables, car les attaques peuvent être mises en œuvre directement, sans que le pirate ait besoin de s'introduire dans les systèmes internes. Source :ZDNet.com        

Assises de la cybersécurité 2020 : positivons !

Les Assises de la cybersécurité viennent de s’ouvrir au Grimaldi Forum de Monaco. L’événement fête ses vingt ans et a débuté avec une session plénière de Guillaume Poupard, en charge de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). En substance il a salué le travail effectué et a voulu porter un message positif pour l’avenir. La session plénière a débuté avec un message d’accueil du ministre de l’Intérieur de la Principauté de Monaco qui a tenu à démontrer comment son pays était engagé dans une vaste transformation autour du numérique et donc de la cybersécurité pour créer un espace de confiance exemplaire afin d'attirer les entreprises et les parties prenantes autour des nouvelles technologies. Il a pris pour exemple le projet autour d’Extended Monaco qui met en avant chaîne de blocs, Cloud et 5G. Un message positif  Guillaume Poupard a pris un peu l’assistance a contre-pied avec un discours mettant en avant les points positifs qu’il a distingué durant la période récente. Tout le monde s’attendait à un énième message d’alerte vers les entreprises pour les sensibiliser sur une « menace toujours croissante ». Il s’est expliqué de ce contre-pied en indiquant qu’il « avait le sentiment que la phase d’évangélisation était enfin terminée. Aucun dirigeant d’entreprise ne « peut pas dire qu’il n’était pas au courant » et qu’il était fautif dans le cas contraire. Il a continué : « c’est un message d’espoir car nous pouvons maintenant nous concentrer sur les solutions » pas seulement techniques mais humaines et de gouvernance. Il a rappelé le dernier opus de son agence pour préparer et aider les entreprises par un guide de la gestion de crise. Ancien militaire il ne peut croire qu’en la vertu de l’entraînement ! Il a ensuite mis en exergue le travail autour des certifications réalisées par son agence et en particulier autour de prestataires de confiance et d’un référentiel nouveau PAMS pour aider les entreprises à reconstruire leur réseau au lendemain d’une attaque ou encadrer un prestataire autour de l’assistance à la conception.  Il a aussi évoqué des projets pour aller plus loin dans l’éducation à la cybersécurité avec des programmes qui existent déjà à destination des élèves de première et de seconde. Il a ajouté : « les outils pour le faire arrivent ainsi que la formation des enseignants ». Éviter angélisme et naïveté Il a pris en point d’orgue les différents projets et efforts dans la coopération européenne autour de la cybersécurité et nous a assuré que l’entraide à ce niveau était nécessaire à défaut de ne pouvoir lutter du fait du morcellement européen. Il souhaite que cette coopération apporte de l’objectivité dans les débats car « le caricatural est mauvais mais il faut aussi éviter l’angélisme et la naïveté ». Cette collaboration peut faire notre force indique le directeur de l’ANSSI.  La keynote s’est conclue par un point de Michel Van Den Berghe concernant le campus de cyberdéfense dont L’Informaticien a largement parlé au cours des dernières semaines. Guillaume Poupard apprécie cette initiative : « il nous fallait un lieu à l'image de ce qui s’est fait en Bretagne ». Il conclut par le besoin de continuer l’ensemble de ces efforts. Source : Linformaticien.com

Google révèle la plus grande attaque DDoS de l'histoire

Technologie : Tenue secrète jusqu'à vendredi dernier, l'attaque DDoS a eu lieue en septembre 2017 et serait le fait d'un cyberattaquant parrainé par un Etat. Image : Google Cloud. L'équipe Google Cloud a révélé vendredi dernier une attaque DDoS non divulguée qui a ciblé le service Google en septembre 2017. Elle avait atteint 2,54 Tb/s, faisant d'elle la plus grande attaque DDoS enregistrée à ce jour. Une attaque venue de Chine Dans un article séparé publié au même moment, le Google Threat Threat Analysis Group (TAG), l'équipe de sécurité de Google qui analyse les groupes de menaces haut de gamme, précise que l'attaque a été menée par un acteur de la menace parrainé par un Etat. Les chercheurs du TAG affirment que l'attaque est venue de Chine, car elle avait pour origine le réseau de quatre fournisseurs chinois de services internet (ASN 4134, 4837, 58453 et 9394). Damian Menscher, un ingénieur en fiabilité et sécurité pour Google Cloud, raconte que le pic de 2,54 Tb/s correspond à « l'aboutissement d'une campagne de six mois » qui a utilisé de multiples méthodes d'attaques pour marteler l'infrastructure des serveurs de Google. Il n'a cependant pas révélé quels services étaient visés. L'attaque DDoS la plus importante jamais enregistrée « L'attaquant a utilisé plusieurs réseaux pour usurper 167 Mp/s (des millions de paquets par seconde) à 180 000 serveurs CLDAP, DNS et SMTP exposés, qui nous envoyaient ensuite des réponses importantes », explique Damian Menscher. Ces informations « démontrent les volumes qu'un attaquant bien équipé peut atteindre : c'est quatre fois plus que l'attaque record de 623 Gb/s du botnet Mirai un an plus tôt [en 2016] ». En outre, cette attaque est également plus importante que l'attaque DDoS de 2,3 Tb/s qui a ciblé l'infrastructure AWS d'Amazon en février de cette année. Les attaques DDoS vont augmenter avec la bande passante Bien que l'attaque ait été gardée secrète pendant trois ans, Google a révélé l'incident la semaine dernière pour différentes raisons. Tout d'abord, l'équipe TAG de Google veut sensibiliser à la tendance croissante des groupes de cyberattaquants parrainés par des Etats, qui utilisent des attaques DDoS pour perturber leurs cibles. L'équipe de Google Cloud voulait également mettre en avant le fait que les attaques DDoS vont s'intensifier dans les années à venir, à mesure que la bande passante disponible pour internet va augmenter. Dans un rapport publié mercredi dernier, la société de datacenters Equinix prévoit une augmentation d'environ 45 % (~16 300+ Tb/s) de la bande passante d'interconnexion mondiale d'ici 2023. Pour tout savoir sur les attaques de DDOS Qu'est-ce qu'une attaque DDoS ? Tout savoir pour les reconnaître et s'en protéger Source : ZDNet.com