Les principales cyberattaques de ces dernières années vont de la surveillance discrète par le logiciel espion Superfish à la perturbation directe par le rançongiciel WannaCry.
Les cybercriminels affinent et actualisent constamment leurs tactiques, techniques et procédures (TTP), mais bon nombre des vecteurs d’attaque (chemins que les pirates informatiques empruntent) sont des thèmes récurrents dans les incidents de cybersécurité.
Chaque vecteur d’attaque nécessite des contremesures spécifiques, mais les pratiques recommandées de façon universelle impliquent un mélange de technologies, de personnel et de procédures. Voici certains des vecteurs et stratégies les plus courants pour prendre de l’avance sur les pirates.
Cinq principaux vecteurs d’attaque
1. Logiciel malveillant
Le logiciel malveillant est un vecteur d’attaque utilisé fréquemment, mais aussi l’une des cybermenaces les plus coûteuses à éliminer. C’est une bonne raison pour laquelle les organisations considèrent cette menace de longue date comme l’un de leurs principaux problèmes de cybersécurité.
Des chercheurs découvrent des millions de nouveaux exemples de logiciels malveillants chaque mois, selon l’institut de sécurité IT indépendant AV-TEST. Comme ce vecteur de menace est en évolution constante, rester protégé de ces attaques demande une vigilance constante.
Les pirates informatiques déploient des logiciels malveillants de différentes manières, notamment sous forme de pièces jointes malveillantes et de protocoles de communications réseau piratés (par ex. Server Message Block dans le cas de WannaCry).
Se défendre contre un logiciel malveillant nécessite d’associer la formation des utilisateurs aux techniques de réponse et de détection avancées. De nombreux cas nécessitent une interaction humaine pour que l’infection ou l’exécution du logiciel malveillant ait lieu. Comme l’e-mail est la méthode de distribution la plus courante pour les logiciels malveillants, une formation à la cybersécurité aidera vos employés à détecter les demandes et les fichiers suspects.
En outre, la meilleure solution pour endiguer les menaces liées aux logiciels malveillants est l’EDR (Endpoint Detection and Response). Elle consiste à mettre en œuvre une surveillance 24 h/24, 7 j/7 et à disposer d’une équipe d’intervention prête à suivre des processus optimisés pour chasser les menaces contournant votre périmètre.
Si votre organisation dispose d’un service IT ou d’une équipe de sécurité de taille réduite, le service MDR (Managed Detection and Response) d’un fournisseur tiers est une alternative rentable à une solution déployée en interne.
2. Hameçonnage
Tout comme les techniques d’ingénierie sociale, l’hameçonnage repose sur l’interaction humaine. Dans de nombreux incidents de cybersécurité, l’hameçonnage est la première étape. Les cybercriminels utilise ce vecteur d’attaque pour différentes fraudes, qui vont du vol d’argent au déploiement de logiciels malveillants.
Une tentative d’hameçonnage survient le plus fréquemment sous la forme d’un e-mail demandant au destinataire de cliquer sur un lien, d’ouvrir une pièce jointe, d’envoyer de l’argent vers un compte bancaire ou de fournir des informations sensibles telles qu’une association nom d’utilisateur-mot de passe.
Pour combattre ces attaques, vous devez mettre en place une prévention d’hameçonnage à différentes étapes d’une attaque : avant, pendant et après l’implication de l’utilisateur.
Avant : à l’étape d’exploitation de la chaîne de destruction, utilisez un anti-spam ou une autre solution de sécurité de messagerie pour contrôler la présence d’URL suspectes et bloquer les messages contenant des logiciels malveillants ou indésirables.
Pendant : formez vos employés sur la manière d’identifier les e-mails suspects en fonction d’indices tels que les fautes d’orthographe, les adresses de messagerie inhabituelles et les URL longues. Formez les utilisateurs sur la manière de traiter les éventuelles attaques par hameçonnage et mettez des procédures en place pour transférer les e-mails concernés à votre équipe IT.
Après : d’autres défenses telles que l’identification à deux facteurs peuvent protéger les comptes dont le mot de passe a été volé. Des capteurs réseau peuvent également détecter les tentatives de connexion sur des sites de prise de contrôle, qui sont souvent impliqués dans les attaques par logiciels malveillants en plusieurs étapes.
3. Identifiants compromis
Environ un tiers des violations de données impliquent des informations d’identification d’utilisateur volées, selon le rapport 2019 Data Breach Investigations Report de Verizon.
D’autres rapports ont estimé que des milliards d’identifiants volés sont disponibles sur l’internet clandestin, résultat de bases de données non protégées et de cyberattaques. Le site Web HaveIBeenPwnd, qui permet aux personnes de vérifier si leurs identifiant/mot de passe de messagerie sont compromis, contient plus de 500 millions de mots de passe ayant été exposés suite à des violations de données.
Les cybercriminels utilisent ce vecteur d’attaque non seulement car il est plus simple d’accéder à des informations sensibles et utiles une fois à l’intérieur de l’organisation, mais aussi car ils peuvent causer des ravages avant d’avoir été détectés
Une autre méthode est le credential stuffing, un type d’attaque brutal qui utilise la puissance informatique brute et l’automatisation pour tenter de manière répétée des combinaisons de mot de passe jusqu’à trouver les bons identifiants de connexion. Cette tactique devient toujours plus courante depuis 2018, et l’année dernière a connu des attaques majeures impliquant le credential stuffing.
Comme avec les autres vecteurs de menace, vous devez utiliser plusieurs couches de défense pour vous protéger contre les identifiants compromis. Pour suivre les pratiques recommandées, les entreprises doivent :
- exiger l’utilisation de mots de passe bien sécurisés ;
- adopter l’authentification multifacteur ;
- limiter les privilèges des utilisateurs en fonction des rôles ;
- surveiller le comportement des utilisateurs pour détecter toute activité inhabituelle ;
- mettre en place des contrôles stricts des comptes administrateurs.
Par ailleurs, pour lutter contre les attaques brutales, il faut limiter le nombre de tentatives de connexion consécutives avant le verrouillage et demander la saisie manuelle d’un CAPTCHA.
4. Systèmes obsolètes et sans correctifs
Un logiciel qui n’est pas à jour attire autant l’attention des pirates qu’un sapin de Noël. Demandez à Equifax. Une vulnérabilité non corrigée dans son infrastructure Web Apache Struts a abouti à une violation de 145 millions de numéros de sécurité sociale, d’adresses, de numéros de permis de conduire et de numéros de cartes de crédit.
Des chercheurs identifient de nouvelles vulnérabilités tous les jours, non seulement dans les logiciels, mais aussi dans le matériel et les microprogrammes. Il est critique de rester au fait de ces découvertes afin que les menaces ne vous touchent pas par inadvertance.
Les analyses des vulnérabilités identifient les systèmes nécessitant des correctifs. Et le NIST Cybersecurity Framework recommande l’utilisation de processus de gestion des risques pour éliminer les vulnérabilités en fonction des priorités.
Cependant, corriger toutes les vulnérabilités dans les temps est un défi de taille et non réalisable pour la plupart des organisations.
En réponse, mettez en place un processus d’évaluation des risques pour déterminer quels logiciels et systèmes présentent les plus grands risques pour votre organisation. Ce processus implique la tenue d’un inventaire complet de votre infrastructure IT afin de savoir ce que vous essayez de protéger et ce sur quoi vous devez faire des analyses de vulnérabilités.
Gardez à l’esprit que l’analyse des vulnérabilités et l’application de correctifs constituent des processus continus, et non pas des tâches ponctuelles.
5. Fournisseurs de la chaîne d’approvisionnement
Dans le monde numérique interconnecté d’aujourd’hui, le risque lié aux tiers croît exponentiellement. De nombreuses violations de données connues ces dernières années ont mis en évidence les conséquences d’une violation de données chez un fournisseur, tout en démontrant que les cybercriminels ciblent les fournisseurs avec une posture de sécurité faible pour pénétrer dans une autre organisation.
Peu importe l’efficacité de vos propres mesures de cybersécurité, vous êtes en fait aussi fort que votre partenaire, sous-traitant ou fournisseur le plus faible. L’infrastructure d’un tiers échappe à votre contrôle, mais atténuer les risques liés aux tiers est en votre pouvoir. Vous pouvez minimiser votre exposition à l’aide de mesures proactives :
- Demandez aux fournisseurs de maintenir certaines normes de cybersécurité via vos contrats de service.
- Validez la posture de sécurité des fournisseurs via des audits, des métriques et d’autres outils.
- Mettez en place des stratégies nécessitant l’analyse et la surveillance des appareils de vos fournisseurs une fois qu’ils sont connectés à votre réseau.
- Utilisez une solution de détection des menaces et mesures d’intervention pour surveiller les anomalies sur votre environnement réseau.
Le MDR protège contre les vecteurs d’attaque
De nombreuses organisations ont des difficultés avec l’atténuation des menaces. La détection en elle-même peut prendre des mois, et une réponse forte peut nécessiter des semaines supplémentaires de coordination. Et la fenêtre d’opportunité est croissante. En 2019, le temps moyen pour identifier une violation (206 jours) et la contenir (73 jours) a augmenté de 5 %.
Les pirates informatiques ont ainsi amplement le temps pour exploiter différents vecteurs d’attaque permettant de compromettre vos actifs et votre environnement.
Pour les équipes ne disposant pas de suffisamment de ressources internes ou voulant simplement externaliser une partie de leur sécurité et se concentrer sur les priorités stratégiques, les fournisseurs MDR (Managed Detection and Response) offrent une solution de bout en bout pour l’identification, la détection, la réponse et la récupération après des cyberattaques. Le MDR vous fournit une protection 24 h/24 7 j/7 et une équipe d’analystes expérimentés, vous permettant de mettre à l’échelle vos capacités de sécurité selon vos besoins.
En savoir plus sur la solution MDR d’Arctic Wolf pour trouver une manière efficace de commencer à améliorer votre posture de sécurité et de vous défendre contre les vecteurs d’attaque.
