.png)
Placer la barre plus haut pour les attaquants : comment la microsegmentation peut protéger les entreprises contre les attaques similaires à celles de Kaseya
L'une des raisons pour lesquelles les fournisseurs de sécurité informatique ne peuvent jamais baisser la garde est l'innovation constante émanant de la communauté de la cybercriminalité. Les connaissances se répandent largement sur des forums clandestins à une vitesse qui peut surprendre de nombreuses organisations. Ainsi, lorsque nous avons vu certaines des techniques utilisées dans le tristement célèbre Campagne SolarWinds appliqué lors des récentes attaques du rançongiciel Kaseya, nous n'aurions pas dû être surpris.
Cependant, en déployant la microsegmentation aux bons endroits, les organisations auraient pu compliquer la vie des malfaiteurs, à la fois en minimisant le risque de exploitation « jour zéro » et bloquant les communications de commande et de contrôle ultérieures.
Que s'est-il passé lors de l'attaque de Kaseya ?
Kaseya fournit des logiciels destinés principalement aux fournisseurs de services gérés (MSP) afin de rationaliser les tâches informatiques essentielles telles que l'application de correctifs et la surveillance à distance pour les petites et moyennes entreprises. Comme c'était le cas pour le logiciel SolarWinds, le Kaseya VSA Le produit visé par cette attaque bénéficie d'un accès hautement privilégié pour effectuer ses tâches principales de surveillance et de gestion à distance des réseaux et des appareils informatiques, ce qui en fait le choix idéal pour diffuser des logiciels malveillants à grande échelle.
Un avantage supplémentaire pour Filiales du ransomware REvil la nature des clients de Kaseya est à l'origine de cette attaque. En tant que MSP, ils ont chacun plusieurs clients que les attaquants peuvent infecter et extorquer. C'est un très bon retour sur investissement pour les cybercriminels qui cherchent à gagner facilement de l'argent.
Kaseya a détaillé sa réponse à l'attaque. Le fournisseur a été informé d'une violation pour la première fois le 2 juillet, juste avant le week-end de vacances aux États-Unis. Il semblerait que les acteurs de la menace aient utilisé un exploit de contournement de l'authentification Zero-Day dans l'interface Web du Kaseya VSA sur site. Cela les a aidés à obtenir une session authentifiée, à télécharger leur charge utile, puis à exécuter des commandes par injection SQL.
En accédant aux serveurs Kaseya VSA des MSP, ils ont pu envoyer une fausse mise à jour aux clients de ces organisations, baptisée « Kaseya VSA Agent Hot-fix », qui était en fait Revil/Sodinokibi ransomware.
Moins de 60 MSP sur 40 000 clients potentiels auraient été concernés. Mais en conséquence, les clients en aval des MSP ont été infectés par des rançongiciels, soit environ 1 500 organisations à travers le monde, des écoles aux supermarchés.
Un correctif pour la vulnérabilité Zero Day exploitée a été publié, mais pour ces entreprises compromises, il est trop tard.
Comment la microsegmentation peut vous aider : trafic entrant
Les MSP auraient pu atténuer la faille initiale en limitant l'accès administratif à l'interface Web de Kaseya VSA. De cette façon, seuls les utilisateurs autorisés spécifiques d'un petit ensemble de hôtes du bastion pourrait accéder au logiciel Kaseya sur les ports de gestion.
En fait, ils utiliseraient la microsegmentation pour réduire la surface d'attaque, ce qui constituerait des obstacles supplémentaires pour les cybercriminels et les obligerait à redoubler d'efforts pour déployer un exploit « jour zéro ». Ajoutez à cela l'authentification multifactorielle pour les utilisateurs autorisés dont le nombre d'utilisateurs est limité, et vous avez rendu de plus en plus difficile l'accès à votre réseau par les cybercriminels.
En les obligeant à passer plus de temps et à faire plus de « bruit » lorsqu'ils parcourent un réseau à la recherche d'une porte déverrouillée, vous aidez également vos outils de détection et de réponse aux menaces à « les entendre » lorsqu'elles se faufilent dans le noir.
Comment la microsegmentation peut vous aider : trafic sortant
La deuxième utilité de la microsegmentation est la communication sortante entre les terminaux infectés et Internet.
À un moment donné, les cybercriminels doivent généralement communiquer avec leur serveur de commande et de contrôle (C&C) pour fournir des instructions et télécharger charges utiles malveillantes. En veillant à ce que les politiques limitent la connectivité sortante de l'infrastructure Kaseya aux seules adresses IP connues et pré-approuvées, vous pourriez arrêter les attaquants. Si les criminels ne peuvent pas communiquer avec leurs propres serveurs, ils ne peuvent pas passer à l'étape suivante de l'attaque.
Zero Trust commence par la segmentation
Pour protéger votre organisation contre les attaques de rançongiciels telles que Kaseya et SolarWinds, les organisations doivent développer des solutions robustes et complètes Confiance zéro politiques et pratiques applicables à l'ensemble de leur infrastructure informatique. Et Zero Trust commence par la segmentation, car des failles peuvent se produire et des criminels trouveront une porte déverrouillée quelque part sur votre réseau. L'essentiel est de s'assurer qu'ils ne peuvent pas aller plus loin.
Il n'y a pas de solution miracle en matière de sécurité. Mais en appliquant une telle microsegmentation, vous avez de grandes chances de compliquer considérablement la vie de vos attaquants, en améliorant au moins les chances de détection et, idéalement, en les forçant à abandonner et à passer à autre chose.
