Présentation d'Illumio Insights — une avancée révolutionnaire en matière d’observabilité, de détection et de confinement alimentée par l’IA.
En savoir plus

Vous avez subi une attaque ?

|
Contactez-nous
|
+1 855 426 3983
Blog
/
Isolation des ransomwares

NAME:WRECK A retenir - Comment la micro-segmentation peut aider à la visibilité et au confinement

Raghu Nandakumara
Vice-président, stratégie industrielle
Illumio Editorial
Avril 16, 2021
23 min. lire

La collection de vulnérabilités NAME:WRECK permet aux attaquants de compromettre à distance des serveurs critiques et des appareils IoT, même ceux qui se trouvent derrière des pare-feu périmétriques, en exploitant des failles dans leur traitement des réponses du système de noms de domaine (DNS). Des centaines de millions d'appareils dans le monde - y compris des technologies de santé, des appareils intelligents et des équipements industriels - pourraient être compromis par l'utilisation de NAME:WRECK.

Des recherches récemment publiées par Forescout et JSOF détaillent cette série de vulnérabilités qui exploitent l'analyse des réponses DNS. Ces défauts se trouvent dans les piles TCP/IP d'un certain nombre de systèmes d'exploitation et pourraient entraîner l'exécution de codes à distance ou un déni de service sur le système cible. Pour exploiter ces vulnérabilités, un attaquant doit être en mesure de répondre à une requête DNS valide - en s'insérant en tant qu'homme du milieu entre le client vulnérable et le serveur DNS - avec une réponse dont la charge utile est formatée pour déclencher la faiblesse. Les plates-formes qui se sont révélées vulnérables sont FreeBSD, qui est très répandu dans les centres de données, ainsi que Nucleus et NetX, qui sont tous deux largement utilisés comme systèmes d'exploitation dans les appareils IoT et OT. L'article complet sur NAME:WRECK est disponible ici.

BLOG

Étant donné que la compromission initiale dépend de l'accès réseau de l'attaquant à l'appareil cible et que le mouvement latéral après la compromission nécessite un accès réseau omniprésent ultérieur, la visibilité et la micro-segmentation offrent des capacités qui pourraient contribuer à la fois à la détection et à l'atténuation d'une attaque éventuelle.

Dans les deux cas, le point de départ est un inventaire précis des appareils dans l'environnement qui utilise les plates-formes concernées. Cela peut être simple pour les serveurs d'un centre de données, mais plus difficile pour les appareils IoT ou OT disséminés sur les campus : si ces informations ne sont pas parfaites, savoir où ils sont déployés dans le réseau (même au niveau du sous-réseau, si ce n'est pas l'IP spécifique) est un bon point de départ.

Visibilité

Étant donné qu'un attaquant devrait effectuer un MITM (man in the middle) afin d'injecter la réponse DNS malveillante, l'identification de la connexion erronée peut s'avérer difficile. Toutefois, les éléments suivants pourraient vous éclairer :

  • Tentatives de connexions DNS à des serveurs DNS non reconnus ou inattendus.
  • Volumes d'activité anormalement élevés vers un serveur DNS spécifique.
  • Réponses DNS avec des charges utiles importantes.

Les mouvements latéraux potentiels après la compromission pourraient être détectés par les moyens suivants :

  • Connectivité du domaine cible (FreeBSD, NetX, Nucleus) avec des dispositifs internes auxquels ils ne se connectent pas normalement.
  • Nouvelles tentatives de connexion à l'internet à partir du domaine cible.
  • Nouveaux transferts importants de données depuis/vers le domaine cible.

Confinement

Les organisations peuvent tirer parti de la micro-segmentation pour réduire la surface d'attaque potentielle et inhiber les mouvements latéraux :

  • Limitez l'accès des appareils aux serveurs DNS autorisés (internes et externes).
  • Restreindre l'accès aux appareils de manière à ce que les règles n'autorisent que les flux nécessaires aux activités de l'entreprise, empêchant ainsi un accès illimité au réseau.
  • Empêchez l'accès de l'appareil à l'internet ou limitez l'accès à des domaines spécifiques.

Les clients d'Illumio peuvent tirer parti de la visibilité inégalée d'Illumio Core pour permettre cette surveillance et élaborer des politiques de segmentation appropriées. Contactez l'équipe de votre compte Illumio pour savoir comment procéder.

Sujets connexes

Aucun élément n'a été trouvé.

Articles connexes

Se défendre contre le ransomware Conti : Pourquoi la CISA recommande d'urgence la microsegmentation
Isolation des ransomwares

Se défendre contre le ransomware Conti : Pourquoi la CISA recommande d'urgence la microsegmentation

Découvrez les risques auxquels les organisations sont confrontées avec le ransomware Conti et comment Illumio Zero Trust Segmentation peut aider à se défendre contre ces attaques.

En savoir plus
Démystifier les techniques de ransomware à l'aide d'assemblages .Net : Une attaque en plusieurs étapes
Isolation des ransomwares

Démystifier les techniques de ransomware à l'aide d'assemblages .Net : Une attaque en plusieurs étapes

Apprenez les principes fondamentaux d'une attaque par charges utiles en plusieurs étapes à l'aide d'une série de charges utiles échelonnées.

En savoir plus
AWS et Illumio : Aider le secteur de la santé à moderniser sa réponse aux ransomwares
Isolation des ransomwares

AWS et Illumio : Aider le secteur de la santé à moderniser sa réponse aux ransomwares

Rejoignez Illumio le 21 septembre à 9 heures PST pour un webinaire gratuit sur Amazon Web Services (AWS).

En savoir plus
Aucun élément n'a été trouvé.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

En savoir plus