Archives par mot-clé : Compromission

70% des cyber-incidents dus à l’hameçonnage et aux vulnérabilités logicielles

Un rapport sur la réponses aux incidents révèle les tendances et les implications futures et propose des recommandations basées sur les données recueillies au cours d’une année entière d’enquêtes. 7 cas sur 10 de cyber attaques dus à l’hameçonnage et aux vulnérabilités logicielles.

Selon un nouveau rapport de Palo Alto Networks, l’utilisation intensive des vulnérabilités logicielles est le reflet du comportement opportuniste des acteurs de la menace, qui écument l’Internet à la recherche de failles et de points faibles à exploiter. Le rapport 2022 des équipes de l’Unit 42 offre un très large éventail d’informations extraites du travail sur la réponse aux incidents. S’appuyant sur un échantillon de plus de 600 cas de réponse aux incidents étudiés, le rapport a pour but d’aider les RSSI et les équipes de sécurité à comprendre les principaux risques de sécurité auxquels ils sont confrontés, et à déterminer les domaines auxquels affecter en priorité des ressources pour limiter ces risques.

Dans ce rapport, les secteurs de la finance et de l’immobilier figuraient parmi ceux qui recevaient les montants moyens de demandes de rançon les plus élevés : en moyenne, environ 8 millions et 5,2 millions de dollars, respectivement. Dans l’ensemble, les ransomware et la compromission des emails professionnels (BEC) ont été les deux principaux types d’incidents que l’équipe de réponse aux incidents a dû gérer au cours des 12 derniers mois. Ils représentent environ 70 % des cas de réponse aux incidents.

« A l’heure actuelle, la cybercriminalité est une activité dans laquelle il est facile de se lancer, en raison de son faible coût et de sa rentabilité souvent élevée. Dans ce contexte, des acteurs de la menace novices et non qualifiés peuvent très bien se lancer grâce à des outils tels que le hacking-as-a-service (piratage en tant que service), qui connaissent une popularité grandissante et sont disponibles sur le dark web, explique Wendi Whitmore, responsable de l’Unit 42. Les auteurs des attaques par ransomware ont en outre perfectionné leur organisation, en proposant un service client et des enquêtes de satisfaction lorsqu’ils interagissent avec les cybercriminels et les organisations victimes. »

Ransomware

Le nom d’une nouvelle victime des ransomware est publié sur les sites de fuite toutes les quatre heures. Il est vital pour les entreprises d’identifier très tôt l’activité des ransomwares. En général, les acteurs des ransomwares ne sont découverts qu’après le chiffrement des fichiers, l’entreprise victime recevant alors une demande de paiement de rançon. L’Unit 42 a constaté que le temps d’infiltration médian – c’est-à-dire le temps que les acteurs de la menace passent dans l’environnement ciblé avant d’être détectés – observé pour les attaques par ransomware était de 28 jours. Les demandes de rançon ont atteint jusqu’à 30 millions de dollars et le montant record des paiements effectivement réalisés par les victimes est de 8 millions de dollars, soit une augmentation constante par rapport aux conclusions du rapport 2022 de l’Unit 42 sur les ransomware. De plus en plus souvent, les entreprises touchées peuvent également s’attendre à ce que les acteurs de la menace utilisent la double extorsion, en menaçant de diffuser publiquement leurs informations sensibles si elles refusent de payer la rançon.

BEC (Compromission des emails professionnels)

Les cybercriminels ont utilisé toute une variété de techniques pour compromettre les emails des entreprises dans le cadre de fraude par courrier et de fraude électronique. Les formes d’ingénierie sociale, telles que le hameçonnage, sont un moyen facile et rentable de se procurer un accès secret, avec un faible risque d’être détecté. Selon le rapport, dans de nombreux cas, les cybercriminels se contentent de demander à leurs cibles involontaires de leur communiquer leurs informations d’identification, ce qu’elles font. Une fois l’accès obtenu, la durée médiane d’infiltration des attaques de type BEC est de 38 jours, et le montant moyen dérobé est de 286 000 dollars.

Les secteurs touchés

Les attaquants ciblent les secteurs d’activité lucratifs. Néanmoins, de nombreux attaquants sont des opportunistes et scrutent tout simplement l’Internet à la recherche de systèmes leur permettant d’exploiter des vulnérabilités connues. L’Unit 42 a identifié les secteurs les plus touchés parmi ses cas de réponse aux incidents : finance, services professionnels et juridiques, fabrication, soins de santé, haute technologie, commerce de gros et de détail. Les organisations de ces secteurs stockent, transmettent et traitent de gros volumes d’informations sensibles et monnayables qui attirent les acteurs de la menace.

La technologie PAM au service des cyber-investigations et de la remédiation en 2019

Nul ne veut être amené à devoir gérer un incident de sécurité ou une compromission, encore moins en tout début d’année ! La priorité absolue devrait être de pouvoir bloquer une cybermenace avant qu’elle compromette l’entreprise. Mais dans la réalité, il n’est quasiment jamais possible de prévoir une cyberattaque. De la recherche de menaces aux investigations pour détecter des indicateurs de compromis (IoC) manifestes, la procédure à suivre pour identifier un incident ou une compromission est bien connue. Si les processus varient d’une entreprise à une autre, les malwares, les comptes compromis, les mouvements latéraux, etc. doivent tous faire l’objet d’un plan de nettoyage formel.

Si un cas de compromission est suffisamment grave (par exemple, la compromission des contrôleurs de domaine), les entreprises n’auront d’autre choix que de réinstaller tout l’environnement en entier. Certes, c’est le pire scénario, mais il se produit parfois. Souvent, les entreprises choisiront de nettoyer à fond les serveurs du mieux possible plutôt que d’effectuer une réinstallation complète. C’est une décision interne basée sur le risque, la faisabilité et le coût. Et ce scénario est vain si la menace est persistante et qu’elle emploie des techniques lui permettant de contourner les mesures d’identification traditionnelles. Si vous pensez que c’est de la science-fiction, étudiez les menaces comme rootkits, Spectre et Meltdown qui prouvent qu’il y a toujours un moyen d’attaquer une ressource technologique. Sans parler des spams envahissant. Ils peuvent d’ailleurs se contrer avec des outils tels qu’Altospam.

Les criminels en ont après vos identifiants

Quelle que soit votre stratégie corrective, vous pouvez être certain que, d’une façon ou d’une autre, ceux qui emploient les vecteurs de menace auront accès à vos identifiants. Ceci implique de ne jamais réutiliser des mots de passe ou clés préexistants dans votre travail de nettoyage. Si possible, modifiez (lancez la rotation) tous les identifiants de toutes les ressources affectées ou reliées à ces dernières. C’est là qu’intervient la gestion des accès privilégiés ou Privileged Access Management (PAM). L’étape de nettoyage ou de redéploiement doit être protégée de la réutilisation d’un ancien mot de passe ou du fait qu’un criminel puisse regagner sa présence persistante en raison d’une mauvaise gestion des identifiants dès le début des efforts de remédiation.

La gestion des mots de passe est un aspect central d’une stratégie PAM. Elle inclut l’intégration automatique, la rotation, la gestion des sessions, le reporting et les étapes de check-in et check-out des mots de passe conservés dans un coffre-fort. Si l’on utilise surtout la technologie PAM pour les mots de passe privilégiés, comme ceux des comptes admin, root, de service ou DevOps, elle peut aussi servir de solution selon le principe du moindre privilège pour supprimer les droits administratifs d’applications et de tâches. Ainsi, les utilisateurs n’auront plus besoin d’un compte admin secondaire pour effectuer leurs tâches.

Le rôle de la technologie PAM dans le nettoyage post-compromission

Cela étant dit, en quoi la technologie PAM est-elle utile pour nettoyer les compromissions de sécurité ? Lors d’un incident ou d’une compromission de sécurité, vous devez d’abord mener des investigations sur ce qui suit :

  • Déterminez quels comptes ont été compromis et utilisés pour obtenir l’accès et pour opérer un mouvement latéral.
  • Déterminez la présence et les ressources de tous les comptes compromis et ceux y étant reliés. Par exemple, le même compte compromis sur l’actif X ou l’application Y est également utilisé sur les actifs A, B et C pour les applications D, E et F afin qu’ils puissent communiquer.
  • Identifiez et purgez tous les comptes illicites ou irréguliers créés par le criminel à l’origine de la menace.
  • Identifiez et supprimez ou segmentez tout élément dit de « shadow IT », de l’IoT ou toute autre ressource faisant partie de la chaîne de la cyberattaque pour vous protéger de menaces ultérieures.
  • Analysez les comptes qui ont été compromis et déterminez le niveau minimum de privilèges nécessaire pour pouvoir exécuter les fonctions. La plupart des utilisateurs et des comptes système n’ont pas besoin de comptes root ou admin locaux ou couvrant tout un domaine.
  • Analysez comment les données ont été utilisées et rendues accessibles par l’agresseur lors de la compromission. Est-ce que des données révélatrices d’indicateurs de compromis (IoC) ont été capturées lors de l’utilisation abusive du compte privilégié ? Si des données ont effectivement été capturées, est-ce que cela aide à identifier la menace ? Faute de données capturées, déterminez ce qu’il faut changer pour surveiller de prochaines utilisations abusives des comptes privilégiés. Ceci inclut l’usage qui est fait des comptes privilégiés, ainsi que la surveillance de session et l’enregistrement de frappe, si nécessaire.

Cette analyse n’est pas triviale. Il faut se doter d’outils pour découvrir les comptes, identifier les ressources, déterminer les schémas d’usage et, surtout, repérer les abus potentiels. Même si toutes les données des logs sont envoyées à un système SIEM (Security Information and Event Management), il faut une étape de corrélation ou d’analyse du comportement des utilisateurs pour répondre à ces questions.Une fois que vous avez mené l’investigation initiale, voici cinq manières dont une technologie PAM peut vous aider après une compromission et qui font qu’elle devrait être considérée comme centrale dans vos efforts de nettoyage :

  1. Après l’étape de découverte, intégrez automatiquement vos comptes privilégiés et instaurez des mots de passe uniques et complexes en leur imprimant une rotation automatique. Vous vous assurez ainsi qu’une présence persistante ne puisse pas exploiter vos comptes compromis.
  2. Pour tous les comptes reliés, utilisez votre solution PAM pour programmer de façon régulière leur rotation, y compris pour les comptes de service. Ainsi, les comptes sont synchronisés et potentiellement isolés d’autres formes de réutilisation des mots de passe.
  3. Si cela est possible, supprimez tous les comptes privilégiés inutiles jusqu’au PC. Ceci vaut pour les comptes admin secondaires associés à une identité. Pour toute application, commande ou tâche qui requiert des droits admin, envisagez le modèle du moindre privilège qui élève l’application, et non l’utilisateur, à exercer la gestion privilégiée.
  4. Avec la technologie PAM, recherchez les IoC qui suggèrent un mouvement latéral, émanant de commandes ou d’un comportement irrégulier de l’utilisateur. C’est une portion critique de la chaîne de cyberattaque où la technologie PAM peut être utile pour identifier si des ressources ont, ou non, été compromises.
  5. Le contrôle d’application est l’une des meilleures défenses contre les malwares. Il s’agit de rechercher les applications de confiance qui sont vulnérables aux menaces en se servant de différentes formes de services basés sur la réputation. La technologie PAM peut ici aussi être utile. Décidez d’exécuter une application en vous fondant sur la confiance et les risques connus avant de l’autoriser à interagir avec l’utilisateur, les données, le réseau et le système d’exploitation.

La gestion des accès privilégiés ne doit pas se résumer aux nouveaux projets et aux systèmes hérités pour bloquer les vecteurs d’attaques privilégiées. On peut penser au phishing. On doit l’envisager également pour les besoins de forensics et de contrôle de la remédiation après un incident ou une compromission. La technologie PAM aidera à empêcher un criminel de s’emparer de ce qui est le plus à sa portée dans votre entreprise : une mauvaise gestion des mots de passe et des identifiants.

Comme meilleure pratique de sécurité, l’accès privilégié doit toujours être limité. Quand un vecteur de menace s’empare d’identifiants admin ou root, il s’empare des clés de votre royaume. L’objectif est de l’empêcher d’y parvenir et de reprogrammer fréquemment les comptes avec des mots de passe : ainsi, même s’il vole un mot de passe, il ne pourra en faire qu’un usage limité et toute tentative d’utilisation abusive sera surveillée. Après un incident ou une compromission, c’est donc une aide précieuse pour atténuer toute présence persistante et une méthodologie tout aussi précieuse dans le processus de nettoyage et pour la pérennité de votre système. (Par William Culbert, directeur Europe du Sud de BeyondTrust)

Près de la moitié des entreprises ont subi une compromission de données en 2016

La forte progression du trafic Internet émanant de bots crée un sérieux angle mort pour la sécurité IT, et 79% des entreprises ne savent toujours pas si leur trafic web provient d’humains ou de bots selon une étude de Radware.

La publication d’une nouvelle étude intitulée Radware Research: Web Application Security in a Digitally Connected World ne laisse rien présagé de bon. Ce rapport, qui examine la façon dont les entreprises protègent leurs applications web, identifie des lacunes de sécurité au sein des actuelles pratiques DevOps, recense les principaux types et vecteurs d’attaques et identifie les principaux risques.

L’étude qui s’intéresse aux secteurs d’industrie les plus ciblés, comme la vente au détail, la santé et les services financiers, souligne la prolifération du trafic web généré par des bots et son impact sur la sécurité applicative des entreprises. En réalité, les bots sont à l’origine de plus de la moitié (52%) de tout le flux du trafic Internet. Pour certaines entreprises, les bots constituent plus de 75% du trafic total. Les résultats soulignent ainsi qu’une entreprise sur trois (33%) ne sait pas distinguer les « bons » bots des « mauvais ».

Le rapport révèle également que près de la moitié (45%) des sondés ont expérimenté une compromission de données l’année passée et que 68% ne sont pas certains de pouvoir préserver la sécurité de leurs informations internes. De plus, les entreprises protègent souvent mal leurs données sensibles. 52% n’inspectent pas le trafic échangé depuis et vers des API. 56% ne sont pas en capacité de suivre les données une fois qu’elles quittent l’entreprise.

Toute entreprise qui collecte les informations de citoyens européens va bientôt devoir se conformer aux réglementations strictes sur la confidentialité des données imposées par le nouveau règlement général sur la protection des données (GRPD) ou GDPR (General Data Protection Regulations).

Ces nouvelles obligations prendront effet en mai 2018. Toutefois, à moins d’un an de l’échéance, 68% des entreprises craignent de ne pas être prêtes à temps.

« Il est alarmant que les dirigeants d’entreprises qui recueillent les données sensibles de millions de consommateurs doutent de la sécurité des informations qu’ils détiennent », déclare Carl Herberger, vice-président des solutions de sécurité chez Radware. « Ils connaissent les risques mais des angles morts, potentiellement vecteurs de menaces, persistent. Tant que les entreprises ignoreront où se situent leurs vulnérabilités et qu’elles n’auront pas pris les bonnes mesures pour se protéger, les attaques d’ampleur et les compromissions de données continueront de faire les gros titres. » Selon le Dr Larry Ponemon, « Ce rapport montre clairement que la pression exercée à fournir des services applicatifs en continu limite la capacité des méthodes DevOps à assurer la sécurité des applications Web aux différentes étapes du cycle de vie des développements logiciels.»

La sécurité applicative est trop souvent négligée. Tout le monde veut bénéficier des avantages de l’automatisation totale et de l’agilité conférées permis par le déploiement continu. La moitié (49%) des sondés utilisent actuellement le déploiement continu des services applicatifs et 21% envisagent de l’adopter au cours des 12 à 24 mois. Toutefois, ce modèle peut aggraver les problématiques de sécurité du développement applicatif : 62% reconnaissent que la surface d’attaque s’en trouve étendue et la moitié environ déclare ne pas intégrer la sécurité au processus.

Les bots prennent le dessus. Les bots sont la dorsale du e-commerce aujourd’hui. Les e-commerçants utilisent les bots pour les sites comparateurs de prix, les programmes de fidélité électroniques, les chatbots, etc. 41% des commerçants ont même déclaré que plus de 75% de leur trafic émane de bots, alors que 40% ne font toujours pas la différence entre les bons et les mauvais bots. Les bots malveillants constituent un risque réel. Certaines attaques de web scrapping volent la propriété intellectuelle des commerçants, cassent les prix et rachètent des stocks de façon à écouler la marchandise via des canaux non autorisés en dégageant une marge. Mais les bots ne sont pas le seul problème des commerçants. Dans le secteur de la santé, où 42% du trafic émane de bots, 20% seulement des responsables de la sécurité IT étaient certains qu’ils pourraient identifier les « mauvais » bots.

La sécurité des API est souvent négligée. Quelque 60% des entreprises partagent et consomment des données via les API, y compris des informations personnelles, des identifiants et mots de passe, des détails de paiements, des dossiers médicaux, etc. Pourtant, 52% n’inspectent pas les données échangées avec leurs API, et 51% n’effectuent aucun audit de sécurité ni n’analysent les failles éventuelles des API en amont de l’intégration.

Les périodes de vacances sont à haut risque pour les commerçants. Les commerçants sont confrontés à deux menaces distinctes mais très dommageables pendant les périodes de vacances : les pannes et les compromissions de données. Des pannes d’Internet lors de la haute saison quand les commerçants dégagent le plus de bénéfices peuvent avoir des conséquences financières désastreuses. Pourtant, plus de la moitié (53%) ne sont pas certains de la disponibilité à 100% de leurs services applicatifs. Les périodes où la demande est forte comme celles du Black Friday et du Cyber Monday, exposent également les données des clients : 30% des détaillants laissent entendre qu’ils peinent à protéger correctement leurs données sensibles au cours de ces périodes.

Les données médicales des patients courent des risques également. 27% seulement des sondés dans le secteur de la santé ont confiance dans leur capacité à protéger les dossiers médicaux de leurs patients, même s’ils sont près de 80% à devoir se conformer aux réglementations d’état. Il est primordial de déployer des correctifs de sécurité pour faire face aux actuelles menaces et mieux pouvoir atténuer leur impact, mais 62% environ des sondés dans le secteur de la santé n’ont peu ou pas confiance dans la capacité de leur établissement à pouvoir adopter rapidement des correctifs de sécurité et déployer les mises à jour, sans compromettre la conduite des opérations. Plus de la moitié (55%) des établissements de santé déclarent n’avoir aucun moyen de suivre les données partagées avec une tierce partie une fois qu’elles ont quitté le réseau interne. Les organisations du secteur de la santé sont les moins enclines à rechercher des données volées sur le Darknet : 37% ont déclaré le faire contre 56% dans le secteur des services financiers et 48% dans le secteur de la vente au détail.

La multiplication des points de contact aggrave le niveau de risque. L’avènement des nouvelles technologies financières (comme celles liées aux paiements mobiles) facilite l’accès des consommateurs et leur degré d’engagement, ce qui a pour effet d’accroître le nombre des points d’accès comportant des vulnérabilités et de majorer le niveau de risque auquel sont confrontés les responsables de la sécurité. Alors que 72% des organisations de services financiers partagent les identifiants et mots de passe et que 58% partagent les détails des paiements réalisés via des API, 51% ne chiffrent pas le trafic, avec le risque d’exposer les données en transit des clients.

Compromission : On ne vole pas loin sans de bonnes pratiques de sécurité

Compromission – De nombreuses personnes vivent à proximité de la ville de Tampa, en Floride, pour diverses raisons, l’une d’entre elles étant de pouvoir transiter régulièrement par l’un des meilleurs aéroports des Etats-Unis, le Tampa International Airport (TIA). Malheureusement, comme beaucoup d’autres en ce moment, TIA a récemment fait les frais d’une compromission de sa sécurité informatique. Mais plus que d’autres, comme il s’agit d’un aéroport international, TIA a dû prendre la peine de s’expliquer.

Compromission – De ce que nous savons des failles constatées, la liste s’apparente à tout ce qu’il ne faut pas faire en matière de sécurité informatique. TIA a recruté une personne pour travailler sur un projet Oracle. Cette personne a communiqué ses identifiants VPN, ses comptes (privilégiés) et ses mots de passe à près d’une dizaine d’autres personnes dont certaines travaillant pour une agence de recrutement, qui se sont connectées au système des dizaines de fois depuis Mumbai et Pradesh, en Inde, des Emirats Arabes Unis et du Cachemire, en Inde.

Ce cas particulier met en scène la collision malheureuse de VPN mal sécurisés, des accès non contrôlés de prestataires et de la non observance des bonnes pratiques de gestion des mots de passe. Plusieurs personnes ont été licenciées, dont le directeur et le responsable informatiques. TIA en est venu à paralyser ses processus métier en prenant la décision radicale, mais probablement nécessaire, de ne plus autoriser l’accès au réseau informatique de l’aéroport qu’aux équipements délivrés par les autorités aériennes compétentes et non plus aux appareils électroniques personnels.

Suite à cette compromission, parce que TIA n’avait pas correctement encadré les conditions d’accès dès le départ, l’aéroport a dû revenir à ses pratiques d’il y a 20 ans. Or des alternatives existent.

Ne jamais faire aveuglément confiance à des prestataires extérieurs dès qu’il s’agit de la sécurité de VOS informations. Désignez clairement les tierces parties, les prestataires et les consultants qui travaillent pour vous. Les prestataires de services IT et sociétés de conseil ne sont pas réputés pour la rigueur de leur sécurité informatique. Ce n’est pas parce qu’ils détachent des consultants que leur posture de sécurité est nécessairement mature. Vérifiez comment ils recrutent les profils des professionnels qu’ils envoient en mission et s’ils leur dispensent des formations de sensibilisation aux pratiques de sécurité.

Pour l’accès des tiers à votre environnement, d’autres solutions existent que de passer par un VPN et de simplement prier pour que chacun observe les bonnes pratiques. Une solution avec une connexion de courtage permet de contrôler qui a accès à vos systèmes IoT, par quel moyen, où, quand et comment. Séparez bien les choses : vous pouvez très bien autoriser des tierces parties à collaborer à vos projets, sans leur délivrer un grappin façon IP pour s’infiltrer sur votre réseau interne.

Ne pas accorder d’accès libre sans restriction. Instaurez une procédure mature de traçabilité de vos prestataires du moment où ils font une demande d’accès au moment où vous le leur accordez et où vous le révoquez. Ainsi vous êtes informé et vous faites preuve de responsabilité.

Surveiller ce qu’ils font de leur autorisation d’accès. Prévoyez de jeter un œil par-dessus leur épaule chaque fois que vous le souhaitez. Enregistrez toute l’activité. Ce qui est gênant dans le cas du piratage de TIA, c’est que même après les investigations de sécurité, les auditeurs étaient « incapables de dire quelles données spécifiques ont pu être transférées. » L’enregistrement systématique des activités des prestataires qui se connectent à vos réseaux et systèmes permet de toujours savoir qui a fait quoi exactement. C’est une bonne pratique à observer en toutes circonstances, pour une gestion de projet, le suivi de facturation, la conduite d’un audit de sécurité annuel et la gestion post-compromission dans le cas d’un incident comme celui de l’aéroport TIA.

Renforcer la sécurité des mots de passe. Dans le cas particulier de TIA, il semble qu’aucun contrôle des règles de gestion des mots de passe ait été exercé. Une solution de référentiel sécurisé de mots de passe/identifiants peut permettre de régler cette situation rapidement. Vous éliminez le risque lié à des mots de passe dupliqués, faciles à deviner, partagés, ainsi que les menaces que posent les comptes partagés ou intégrés aux systèmes.

Chaque cas de compromission est source d’enseignements, ce sera le cas à long terme pour l’aéroport de Tampa.
(Par William Culbert, Directeur de Solutions Engineering, Bomgar)