Piratage SolarWinds

Tout au long de 2020, les entreprises, en général, ont eu les mains pleines de défis informatiques. Ils ont dû se précipiter pour s’adapter à un passage soudain au travail à distance. Ensuite, ils ont dû naviguer vers une adoption rapide des technologies d’automatisation.

Et à la fin de l’année, de plus en plus d’entreprises ont commencé à essayer d’assembler l’infrastructure de sécurité nécessaire pour revenir à un semblant de normal en 2021.

Mais à la fin de l’année, l’annonce d’une violation massive du fournisseur de logiciels de surveillance informatique SolarWinds a introduit une nouvelle complication – la possibilité d’une vague de violations de données secondaires et de cyber-attaques. Et comme les produits de SolarWinds sont présents dans de nombreux réseaux d’entreprise, la taille de la menace est énorme.

Jusqu’à présent, cependant, la majeure partie de l’attention est portée aux grandes entreprises comme Microsoft et Cisco (et le gouvernement américain), qui étaient la principale cible de la violation de SolarWinds. Ce dont personne ne parle, c’est du reste des quelque 18 000 clients SolarWinds qui pourraient avoir été affectés. Pour eux, le temps presse pour essayer d’évaluer leur risque d’attaque et prendre des mesures pour se protéger.

Et parce qu’un certain nombre d’entreprises touchées n’ont pas les ressources des grands, c’est un défi de taille pour le moment.

Ainsi, le mieux que de nombreuses entreprises puissent faire pour agir dès maintenant est de faire de leurs réseaux une cible un peu plus difficile – ou du moins de minimiser leurs chances de subir une brèche majeure. Voici comment:

Commencez par les étapes de sécurité de base

La première chose que les entreprises doivent faire est de s’assurer que leurs réseaux sont aussi sécurisés que possible en interne. Cela signifie reconfigurer les actifs du réseau pour qu’ils soient aussi isolés que possible.

Un bon point de départ est de s’assurer que tous les grands lacs de données d’entreprise suivent toutes les meilleures pratiques de sécurité et restent fonctionnellement séparés les uns des autres. Cela peut limiter l’exfiltration des données si des utilisateurs non autorisés y accèdent en raison d’une faille de sécurité.

Mais ce n’est que le début. L’étape suivante consiste à segmenter le matériel réseau en VLANS de sécurité logique et à ériger des barrières pare-feu pour empêcher les communications entre eux (si possible). Ensuite, passez en revue les paramètres de sécurité de chaque groupe et apportez les ajustements nécessaires. Même durcissement des systèmes VoIP valent la peine d’être faites, car vous ne savez jamais quelle partie d’un réseau sera utilisée comme point d’entrée pour une attaque plus large.

Enfin, passez en revue les pratiques et procédures de sécurité des employés. Ceci est particulièrement important après le déploiement précipité des politiques de travail à domicile. Assurez-vous de voir que chaque employé fonctionne selon les normes de sécurité établies et n’a pas pris de mauvaises habitudes de sécurité opérationnelle. Par exemple, est-ce que quelqu’un commencez à utiliser un VPN gratuitement, pensant qu’ils amélioraient la sécurité de leur réseau domestique?

Si tel est le cas, ils doivent s’arrêter et recevoir une formation pour faire de meilleurs jugements de sécurité pendant qu’ils travaillent encore à distance.

Effectuer un audit de sécurité limité

L’un des problèmes auxquels les entreprises sont confrontées lorsqu’elles tentent de se sécuriser à nouveau après une éventuelle violation du réseau est qu’il n’y a pas de moyen facile de savoir ce que – le cas échéant – les attaquants ont changé après avoir obtenu l’accès. Pour être certain, un examen médico-légal long et complexe est la seule vraie option. Mais cela peut prendre des mois et coûter une fortune. Pour les petites entreprises qui ne sont même pas certaines qu’une violation leur soit même arrivée, il existe une meilleure approche.

Il s’agit de prélever un échantillon limité de systèmes potentiellement affectés et de mener un simple audit limitant les risques. Commencez avec au moins deux ordinateurs ou périphériques représentatifs de chaque unité commerciale ou service. Ensuite, examinez chacun des signes d’un problème.

En général, vous recherchez:

  • Logiciels de sécurité et antivirus désactivés ou modifiés
  • Événements de journal système inhabituels
  • Connexions réseau sortantes inexpliquées
  • Correctifs de sécurité manquants ou problèmes avec les mises à jour logicielles automatiques
  • Installations de logiciels inconnues ou non approuvées
  • Modification des autorisations du système de fichiers

Bien qu’un audit de ce type ne garantisse rien de mal avec chaque appareil de votre réseau, il découvrira les signes de toute pénétration majeure qui a déjà eu lieu. Pour la plupart des petites et moyennes entreprises, cela devrait suffire dans les situations où il n’y a pas de preuve claire d’une attaque active en premier lieu.

Engager des mesures défensives

Après avoir traité avec le réseau et ses utilisateurs, la prochaine chose à faire est de déployer des mesures défensives pour aider à la surveillance continue et à la détection des attaques. Un excellent point de départ est de mettre en place un pot de miel au sein du réseau pour donner aux attaquants potentiels une cible irrésistible. Cela les tient non seulement occupés à s’attaquer à un système qui n’est pas critique, mais sert également de système d’alerte précoce aux administrateurs lorsqu’une véritable attaque se produit.

Il existe plusieurs moyens d’y parvenir, allant de images système pré-construites jusqu’aux déploiements personnalisés plus sophistiqués. Il y a aussi solutions cloud disponibles pour les situations où le matériel sur site est inapproprié ou indésirable. Ce qui est important, c’est de créer un système qui surveille le type exact de comportement qui indiquerait un problème dans son environnement.

Un mot d’avertissement, cependant. Bien qu’un pot de miel soit conçu pour être une cible, cela ne signifie pas qu’il doit être laissé complètement vulnérable. L’idée est d’en faire une cible attractive, pas facile. Et il est essentiel de s’assurer qu’il ne peut pas être utilisé comme tremplin vers une attaque plus importante contre les systèmes de production réels.

Pour cette raison, il vaut la peine de faire appel aux services d’un professionnel de la cybersécurité qualifié pour s’assurer que le système ne se transforme pas en une responsabilité de sécurité au lieu d’une mesure défensive précieuse.

Restez vigilant

Après avoir suivi les étapes ci-dessus, il n’y a plus qu’à attendre et regarder. Malheureusement, il n’y a pas de meilleur moyen de maintenir la sécurité d’un réseau qu’en restant toujours vigilant. Et dans une situation comme celle déclenchée par le piratage de SolarWinds, les entreprises et les organisations informatiques, en général, sont fortement désavantagées.

En effet, ils font face à un ennemi qui se trouve peut-être ou non déjà entre les portes, ce qui signifie qu’ils ne peuvent pas se rabattre sur les approches de sécurité typiques des jardins clos.

Ainsi, alors que 2021 commence, la meilleure chose que toute entreprise puisse faire est de mettre de l’ordre dans sa maison de sécurité et d’essayer de limiter les dommages si elle a déjà été violée.

Cela en vaut la peine dans tous les cas, car l’environnement de menace actuel ne fera que s’aggraver, pas mieux. Et le piratage de SolarWinds, aussi grave et étendu soit-il, ne sera pas la dernière crise de sécurité majeure à laquelle les entreprises devront faire face.

Il est donc temps de boucler sa ceinture, car la nouvelle décennie va être une sacrée course, du point de vue de la sécurité du réseau – et il sera payant d’être prêt pour cela.



Leave a Reply