Les effets de SolarWinds attaquent: gérer votre risque de sécurité

le attaque massive sur SolarWinds a créé une inquiétude importante en raison du compromis d’une entreprise individuelle affectant de nombreuses autres sociétés affiliées. Les attaquants ont compris que pour intensifier leurs attaques, il est plus simple d’attaquer en masse des entreprises qui ont déjà accès aux réseaux d’autres clients. Au lieu d’attaquer une entreprise à la fois, il est logique qu’un «intrus» infiltre les entreprises, enchaîne l’attaque massive contre des milliers de clients, puis utilise le système pour contrôler le réseau d’attaque. Ce n’est en aucun cas une nouvelle stratégie, mais cela reste une stratégie très efficace qu’il est difficile d’arrêter.

le violation de FireEye, par des pirates des États-nations, a été effectuée par des mises à jour malveillantes d’un produit de surveillance de réseau populaire (SolarWinds) affectant des agences gouvernementales et des entreprises. Les pirates informatiques ont compromis l’infrastructure SolarWinds et ont utilisé cet accès pour générer et distribuer des mises à jour malveillantes à de nombreux utilisateurs de logiciels.

Quelle a été l’ampleur de l’attaque SolarWinds? Les clients de SolarWinds incluaient le 425 ou le Fortune 500 américain. Cela met en évidence l’impact considérable que les attaques de la chaîne d’approvisionnement sur les entreprises peuvent avoir, nombre d’entre elles ignorant même la menace ou ayant besoin de se défendre contre elle. Souligne la nécessité de prendre des mesures pour gérer la sécurité des fournisseurs dans la mesure du possible.

Pixabay

Sécurité des fournisseurs

Il ne fait aucun doute que l’attaque SolarWinds soulève des questions sur la sécurité des fournisseurs. Il est important de s’assurer que les fournisseurs sont correctement contrôlés et maintenus selon le même niveau de sécurité ou mieux que votre entreprise. Chaque organisation doit définir une ligne de sécurité. De nombreuses organisations ont mis en place un cadre basé sur un cadre tel que ISO 27001 ou NIST 800-53 / 171, car cela facilite la comparaison des contrôles techniques et administratifs et la mesure de la maturité de la sécurité.

Il n’est pas toujours possible de garantir que les fournisseurs se conforment au même cadre de base de l’organisation. Cependant, l’entreprise aura toujours besoin de l’assurance du niveau de sécurité élevé attendu par le conseil. Lorsque le respect d’un cadre particulier n’est pas garanti dans de tels cas, il est recommandé de faire la distinction entre le fournisseur et ses services. Ainsi, l’isolation ou les voies respiratoires créées fournit au corps le niveau de protection dont il a besoin.

Créer une position de sécurité sur la cyberendurance

attaque des vents solaires

On se demande souvent si une attaque financée par l’État comme celle-ci, qui est financée par l’État et a des entreprises comme FireEye et Microsoft qui ont du mal à la détecter et à l’arrêter – peut-elle être contrôlée et quelle chance a l’entreprise de se défendre contre une attaque aussi efficace?

Ces types d’attaques sont ciblés et très difficiles à détecter, la meilleure contre-mesure pour de telles attaques est donc les niveaux de défense. En utilisant une stratégie de défense en couches (créant plusieurs obstacles), une organisation peut rendre la réussite de l’attaquant plus difficile. Bien que ces attaques soient difficiles à détecter et à arrêter, la réponse ne devrait jamais être de ne rien faire.

Plus le corps résiste au cyberespace, plus il sera difficile pour les attaquants de mettre en danger l’environnement et de passer inaperçus. Les entreprises peuvent prendre les mesures suivantes pour améliorer l’attitude de sécurité et la résilience.

1. Détection continue

La première chose à considérer est ce que l’organisation doit défendre. Il est essentiel d’identifier les actifs qui ont besoin de protection, y compris les appareils ou les données, et les clôtures afin d’être protégés et correctement protégés.

Un test de stylet ou une analyse de vulnérabilité ne suffit pas – c’est un instantané et une chronologie, ce qui ne suffit pas pour les attaques persistantes comme l’attaque SolarWinds. Le défi avec des attaques comme SolarWinds est qu’il s’agit de compromettre un plugin de confiance et éventuellement de contourner ce type d’analyse. Une plate-forme de test robuste et continue détectera les connexions sortantes, les fausses couches et les chevaux de Troie distants tels que SolarWinds.

Cependant, un défi avec la détection continue est la nécessité d’avoir «les yeux dans le verre». Les personnes qui ont de l’expérience et comprennent ce qu’elles voient et recherchent ont besoin de surveiller et d’analyser. Les entreprises doivent acquérir l’expertise nécessaire pour assurer cette fonction en toute sécurité à l’organisation.

2. Surveillez les données et les connexions qui quittent le périmètre

De nos jours, le trafic réseau traverse de nombreux réseaux. Cependant, certains sentiers sont bien classés et requis pour les opérations quotidiennes standard. Ces modèles peuvent être identifiés et un modèle peut être utilisé pour défendre le corps. Toutes les applications font partie de la génération de trafic et l’introduction d’une unité d’exploitation comme celle de SolarWinds introduirait une anomalie détectable. Cependant, s’il n’est pas surveillé, il peut voler sous le radar. Des attaques comme celle-ci ne sont pas faciles à détecter. Ceci est démontré par le fait que seuls quelques fournisseurs ont pu détecter la violation SolarWinds.

Il est également important de considérer les endpoints comme une extension du périmètre. Celles-ci doivent également être surveillées, d’autant plus que de nombreux appareils sont distants mais ont accès au réseau et aux actifs de l’entreprise. Ainsi, des infections et des invasions peuvent survenir.

3. Air aspiré et isolation

En utilisant trou d’air pour la protection des appareils, des données et de tout élément qui pourrait mettre en danger l’environnement est un mécanisme de défense approprié. L’espace d’air est une mesure de sécurité visant à garantir qu’un réseau informatique est naturellement isolé des réseaux non sécurisés.

Il pourrait être vu de la même manière qu’un fossé regarde autour d’un château. Le fossé est un obstacle. En termes simples, depuis les tours au-dessus des douves, vous pouvez repérer les assaillants qui tentent de traverser les douves pour accéder au château. Cependant, du point de vue de l’attaque SolarWinds, les attaquants vont pénétrer à travers quelqu’un qui a déjà accès aux murs intérieurs du château. Cela signifie que même les fournisseurs les plus fiables doivent être pris en compte. Par conséquent, l’utilisation de la stratégie Zero Trust serait également bénéfique dans ce cas.

4. Gestion de compte privilégiée

attaque des vents solaires

Supposons que tout système, personne, application ou appareil dispose d’un privilège plus élevé et puisse gérer ou décider où les données circulent ou autorisent l’accès. Dans ce cas, les informations d’identification doivent être gérées de manière sécurisée.

Les comptes de service et les backends sont les chemins d’attaque exacts recherchés par les intrus et tous les outils pouvant être utilisés pour gérer l’environnement seront ciblés. L’attaque SolarWinds est une leçon à tirer et les organisations doivent s’assurer que leurs défenses se développent. En outre, que les outils appropriés sont correctement mis en œuvre et surveillés pour les vulnérabilités.

5. Durcissement du système

Actuellement, les fournisseurs de périphériques tentent de libérer des périphériques renforcés par défaut. Cependant, cela ne fonctionne pas toujours aussi bien qu’il le devrait. Par conséquent, il est recommandé que le durcissement du système soit considéré comme une technique permettant de mieux protéger l’environnement. Veiller à ce que tous les outils et logiciels inutiles soient supprimés des ordinateurs et à ce que les périphériques, serveurs et services ne soient utilisés que pour leur usage prévu est la clé d’une sécurité renforcée.

Beaucoup de gens confondent flexibilité et sécurité forte alors qu’en fait, la flexibilité n’est pas toujours nécessaire pour faire un travail en toute sécurité. Par exemple, si vous avez besoin d’un appareil pour naviguer sur Internet, effectuez des tâches de bureau et ne stockez les données que sur le réseau de l’entreprise. Dans un tel cas, il n’y a aucune raison pour que toutes les autres fonctions ne puissent pas être supprimées de cet appareil, ne laissant que la fonction prévue via une interface limitée avec une authentification forte. Cela pourrait créer un obstacle potentiellement frustrant pour l’attaquant et, dans certains cas, très difficile à remarquer pour un attaquant. Cela peut distraire un intrus et se concentrer sur un point plus faible.

Trouver un équilibre réaliste est nécessaire, mais ce n’est pas facile. En conséquence, beaucoup évitent l’exercice mais ne font rien qui puisse conduire à des compromis. Il vaut la peine de prendre le temps de durcir votre environnement et de créer une culture de la sécurité afin que vous puissiez vous défendre contre ces types d’attaques. Si l’actif mérite une protection, alors l’exercice en vaut la peine!

6. Contrôle des fournisseurs

Le contrôle des fournisseurs, bien que difficile, est une étape fondamentale. Il est courant que les fournisseurs reçoivent des questionnaires de sécurité de leurs clients ces jours-ci et répondent positivement à toutes les questions pour maintenir l’entreprise à flot et se forger une perception positive de leurs clients. Lors de l’audit, on constate souvent que les fournisseurs réagissent d’une manière qui pourrait conduire à une exposition de leurs clients. Rares sont ceux qui disposent des défenses nécessaires pour assurer la sécurité de leurs clients et la raison en est que la cybersécurité n’est pas simple. De plus, les attaques peuvent pénétrer de n’importe où et de n’importe quoi d’autre.

L’attaque SolarWinds après: Analyse des risques

Un pas dans la bonne direction serait d’utiliser une manière structurée de contrôler le fournisseur et de travailler avec le fournisseur pour bien comprendre l’attitude et la maturité en matière de sécurité. Il est important d’atteindre un niveau d’honnêteté et d’être réaliste. Une fois que cela est connu, le risque peut être évalué plus efficacement. De manière réaliste, le corps peut soit accepter le risque en fonction de son appétit, soit l’atténuer en appliquant des couches de défense au besoin. Certains risques peuvent être acceptés, mais d’autres non, et les entreprises doivent donc avoir une vue à jour sur la manière de traiter chaque problème ou risque.

Image en vedette: Shutterstock


Affichage des messages:
5


Ézoïquementionner cette annonce

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *