.png)
Violations dans Microsoft Exchange, SolarWinds et Verkada : pourquoi l'hygiène de sécurité est plus importante que jamais
L'année 2021 n'en est qu'à quelques mois et nous avons déjà connu trois incidents informatiques majeurs : le compromis SolarWinds Orion, les attaques ciblant vulnérabilités de type « jour zéro » dans Microsoft Exchange, et le piratage de Verkada (dont nous ne serons peut-être pas en mesure de comprendre pleinement l'impact avant un certain temps). Ces événements nous rappellent la croyance désormais bien ancrée en matière de sécurité selon laquelle une violation est inévitable. Ce qui compte en fin de compte, c'est la mesure dans laquelle les individus et les organisations peuvent limiter l'impact d'une violation et l'importance de l'hygiène de sécurité de base en période de crise.
L'hygiène de sécurité consiste en des comportements de sécurité sains amplifiés par la mise en œuvre de processus de soutien et de contrôles techniques. Si l'on considère le cycle de vie d'une attaque, de la reconnaissance à la compromission initiale et aux activités post-compromission, les investissements continus d'une organisation cible dans l'hygiène de sécurité compliquent la tâche des attaquants qui souhaitent atteindre leurs objectifs en les protégeant des données cibles et en augmentant les chances de détection.
En examinant les trois principaux incidents mentionnés dans le contexte de l'hygiène de sécurité, nous pouvons identifier les domaines qui offrent de meilleurs moyens de prise en charge.
Plage de Verkada
Les attaquants ont pu contourner les processus de gestion des comptes privilégiés pour obtenir un accès « super utilisateur » aux caméras de plusieurs sites clients. En outre, les clients qui n'ont pas segmenté efficacement les caméras du reste de leur réseau d'entreprise ont laissé la possibilité aux attaquants de se déplacer latéralement et de compromettre d'autres actifs.
Où une bonne hygiène aurait pu être utile : amélioration de la gestion globale des comptes mise en œuvre contrôle d'accès basé sur les rôles (RBAC) avec le moindre privilège à tous les niveaux et a tiré parti de l'authentification multifacteur sur des comptes hautement privilégiés, ainsi que du contrôle et de la détection des mouvements latéraux.
Vulnérabilités de type Zero-Day
L'existence de multiples vulnérabilités non corrigées a permis à la fois l'exfiltration non authentifiée du contenu des boîtes aux lettres et le téléchargement de webshells pour faciliter la persistance et les mouvements latéraux.
Où une bonne hygiène aurait pu être utile : en bloquant le trafic inutile vers/depuis les serveurs Exchange, en surveillant la création de comptes et les événements de gestion des groupes, en surveillant les tentatives de connexion sortante vers/depuis des destinations inconnues et en centralisant la collecte des événements Windows et des journaux des serveurs IIS.
Compromis SolarWinds Orion
La compromission du processus d'empaquetage d'un fournisseur a permis la livraison d'une mise à jour logicielle contenant une porte dérobée de type cheval de Troie qui permettait aux attaquants d'accéder directement aux clients utilisant Orion ; les attaquants ont ensuite exploité l'accès privilégié (accordé par la plateforme Orion) pour pénétrer davantage le réseau cible.
Où une bonne hygiène aurait pu être utile : en bloquant le trafic inutile en provenance des serveurs SolarWinds Orion NPM vers Internet et en surveillant les comptes bénéficiant des privilèges les plus limités.
Améliorez la cyberhygiène grâce à la microsegmentation
Cette liste nous montre que l'hygiène de base en matière de sécurité peut être bénéfique même lorsque les États-nations sont les agresseurs présumés. Ces pratiques simples servent à exposer les antagonistes au grand jour, augmentant ainsi les chances que la sonnette d'alarme sonne et que l'incident puisse être maîtrisé.
En règle générale, certaines implémentations technologiques visant à assurer la cyberhygiène peuvent être plus complexes et prendre plus de temps que d'autres. Par exemple, la mise en œuvre complète d'une technologie de gestion des accès privilégiés à grande échelle dans un réseau mondial peut prendre beaucoup plus de temps que le déploiement microsegmentation basée sur l'hôte, qui ne nécessite aucune modification du réseau ni aucune réarchitecture sur les hôtes et les charges de travail.
Dans ce cas, le microsegmentation le contrôle, qui est plus rapide à déployer et très efficace, est à la fois essentiel mouvement latéral un contrôle préventif et un contrôle compensatoire pendant que le déploiement de la gestion des privilèges est en cours.
La microsegmentation d'Illumio Cette solution contribue à améliorer la cyberhygiène en fournissant :
- De manière significative visibilité améliorée sur les flux de trafic des centres de données et d'autres données pour aider à détecter les mouvements latéraux non autorisés.
- Politiques de microsegmentation pour limiter l'exposition à l'entrée et à la sortie de vos actifs les plus critiques. Dans le cas d'Exchange, cela implique de suivre les meilleures pratiques de Microsoft qui consistent à verrouiller l'accès aux seuls ports nécessaires. Consultez les Blog sur la sécurité de Microsoft pour plus d'informations.
En fin de compte, les organisations ne sont souvent pas conscientes des vulnérabilités à l'origine des violations. En vous concentrant sur ce que vous pouvez contrôler, comme une bonne hygiène de sécurité, vous renforcerez votre organisation. posture de sécurité. Les récentes cyberattaques qui ont fait la une des journaux soulignent une fois de plus la nécessité d'adopter Principes Zero Trust pour limiter les mouvements latéraux et mieux contrôler les brèches.
Pour en savoir plus sur comment la microsegmentation peut vous aider pour améliorer la surveillance et la protection d'Exchange et d'autres infrastructures critiques, consultez :
