J'ai été rassuré de voir nos partenaires chez Microsoft intervenir lorsque les cyberattaques russes ont commencé parallèlement à leur invasion de l'Ukraine. Bien qu'aucune attaque n'ait encore été signalée contre les États-Unis ou leurs alliés, je ne peux m'empêcher de penser à notre état de préparation collectif, d'autant plus que les sanctions contre la Russie s'intensifient.
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA), une agence fédérale relevant du ministère américain de la sécurité intérieure, a suivi de près le conflit et a rassemblé d'excellentes ressources en collaboration avec le Federal Bureau of Investigation (FBI).
Au cours de ce blog, je vais mettre en lumière certaines des principales recommandations de la CISA et offrir un aperçu au nom de Lookout.
Nous sommes tous connectés
Nous vivons aujourd'hui dans un monde étroitement interconnecté, où aucun pays n'est moins connecté qu'un autre. Par conséquent, les cybermenaces initialement dirigées contre les organes et les infrastructures du gouvernement ukrainien pourraient facilement viser d'autres nations, qu'il s'agisse d'attaques contre les chaînes d'approvisionnement ou du déploiement de ransomware et d'autres logiciels malveillants avancés.
Il y a près de cinq ans, une série de ransomwares liés à la Russie et visant des entités ukrainiennes a fini par toucher des citoyens de plus de 60 pays et détruire 49 000 ordinateurs, impactant des organisations de toutes tailles, des compagnies maritimes aux hôpitaux. L'arme utilisée par les Russes était NotPetya, un logiciel malveillant qui se comportait comme un ransomware, mais dont la véritable motivation était de détruire les systèmes.
La cyberpréparation nécessite une approche globale
Pour que la Russie ou tout autre État-nation puisse compromettre les chaînes d'approvisionnement ou déployer des ransomwares, ils doivent accéder à votre infrastructure et se déplacer latéralement.
Il est possible d'atténuer ces risques en identifiant et en arrêtant ces attaques au début de la chaîne d'élimination. Cela signifie qu'il faut bloquer l'accès à partir de terminaux et de comptes à haut risque ou compromis, arrêter les mouvements latéraux et assurer une surveillance continue pour vous aider à traquer les menaces.
Un terrain fertile pour les attaques de phishing
Tout comme la pandémie COVID-19, la guerre en Ukraine est un événement que les attaquants vont exploiter pour des attaques d'ingénierie sociale. Qu'il s'agisse de titres accrocheurs, de faux efforts humanitaires ou de comptes se faisant passer pour des médias, les attaquants feront preuve de créativité pour inciter les particuliers et les entreprises à télécharger des logiciels malveillants ou à communiquer leurs identifiants de connexion.
Tout le monde doit être en alerte pour les campagnes de phishing qui utilisent la guerre comme un événement incontournable. Prévenez les employés, éduquez-les sur ce à quoi ces attaques pourraient ressembler et sur la manière dont ils peuvent protéger au mieux leurs appareils. Nous recommandons également de déployer un système anti-hameçonnage sur chaque appareil utilisé pour connecter des applications et des données.
La segmentation peut aider à lutter contre les mouvements latéraux
Avant de faire des ravages, les auteurs de menaces doivent se déplacer latéralement dans votre infrastructure pour trouver d'autres vulnérabilités à exploiter, ou des données sensibles à voler ou à prendre en otage. C'est la raison pour laquelle vous avez besoin d'une architecture Zero Trust qui peut déployer un accès conditionnel granulaire en place.
Pour appliquer efficacement une mentalité Zero Trust, automatisez l'évaluation des risques de vos utilisateurs, des terminaux qu'ils utilisent et ajustez leur accès aux applications et aux données en fonction du niveau de sensibilité. En résumé, ne donnez pas d'accès inutile. Par exemple, lorsque vous fournissez à un utilisateur un accès par réseau privé virtuel (VPN), il a accès à l'ensemble de votre réseau alors qu'il n'a peut-être besoin de se connecter qu'à une seule application. En cas de compromission d'un compte utilisateur ou de terminal, vous pouvez limiter les mouvements latéraux en segmentant l'accès. Ainsi, un acteur de la menace utilisant son compte ou son appareil ne peut pas se déplacer dans le reste de l'infrastructure et accéder à d'autres applications et données sensibles.
La surveillance continue peut améliorer la chasse aux menaces
Il est essentiel de surveiller en permanence toute l'activité dont j'ai parlé jusqu'à présent. Le niveau de risque d'un utilisateur ou d'un appareil peut changer en un instant. La journalisation continue et l'évaluation des risques vous permettront d'améliorer la préparation à la sécurité sans limiter la productivité.
Si de nombreux incidents peuvent être résolus rapidement, la détection et le blocage des menaces persistantes avancées (APT) nécessitent souvent une chasse aux menaces proactive. Comme le CISA l'a souligné dans son guide, cela est particulièrement important pour les organisations qui ont des connexions ukrainiennes. Grâce à la journalisation continue, vous disposez également des preuves nécessaires pour mener des enquêtes médico-légales en cas d'incident.
Les cybermenaces ne se limitent pas aux zones de conflit
Dans un monde interconnecté, les conflits régionaux peuvent facilement se propager ailleurs, notamment dans le cyberespace. La préparation au cyberespace ne doit pas être l'apanage des organisations. Les particuliers doivent eux aussi être préparés, d'autant que les attaquants profitent de cette occasion pour lancer des attaques de phishing.