Maintenant que le télétravail est devenu la norme, la mise en place d'un bon programme de cyberhygiène est indispensable pour les entreprises qui veulent survivre dans le paysage de menaces d'aujourd'hui. Cela nécessite la promotion d'une culture de prise de conscience individuelle de la cybersécurité et le déploiement des outils de sécurité adaptés, deux aspects essentiels pour la réussite du programme.

Les outils concernés sont notamment l'application de correctifs aux postes client, les solutions EDR (Détection et réaction aux menaces sur le poste client) et les logiciels antivirus. Cependant, d'après de récents rapports sur la cybersécurité, ils ne suffisent plus à limiter la surface d'attaque externe de votre entreprise.

Voici trois excellentes raisons pour cela, et des situations dans la vraie vie qui montrent ce qu'il arrive aux entreprises qui ne prennent pas la menace au sérieux.

  1. Les exploitations polymorphes générées par IA peuvent contourner les principaux outils de sécurité.
  2. Les échecs et la fatigue liés aux correctifs étouffent les équipes de sécurité.
  3. L'application de correctifs aux postes client ne fonctionne que pour les périphériques et les applis connus.
  4. Comment les entreprises peuvent-elles réduire leur surface d'attaque externe ?

1. Les exploitations polymorphes générées par IA peuvent contourner les principaux outils de sécurité.

Récemment, un malware polymorphe généré par IA a été développé pour contourner l'EDR (Détection et réaction aux menaces sur le poste client) et l'antivirus, créant pour les équipes de sécurité des angles morts face aux menaces et aux vulnérabilités.

Exemple en situation réelle : Le malware polymorphe ChatGPT échappe aux solutions EDR et antivirus « de pointe ».

Dans un rapport, des chercheurs ont créé un malware polymorphe via une utilisation abusive des invites ChatGPT, et il a échappé à la détection des logiciels antivirus. De façon similaire, des chercheurs ont créé un malware polymorphe d'enregistrement de frappe, qui a échappé à une solution EDR automatisée leader du secteur.

Ces exploitations ont été obtenues en faisant légèrement muter le code à chaque itération et en cryptant le code malveillant sans canal de communications C2 (Commande et contrôle).

Cette mutation est indétectable pour les moteurs traditionnels de détection globale de bas niveau basée sur la signature. Cela signifie que, pour l'équipe Sécurité, il y a la phase de développement et de publication d'un correctif, celle de test de l'efficacité de ce correctif, celle pendant laquelle l'équipe de sécurité priorise les vulnérabilités et celle où l'équipe IT (Technologie de l'information) déploie les correctifs sur les systèmes concernés.

Au total, cela peut représenter plusieurs semaines, voire plusieurs mois, pendant lesquels l'entreprise doit s'appuyer sur d'autres outils de sécurité pour l'aider à protéger ses actifs critiques, jusqu'à ce que le processus d'application des correctifs soit correctement exécuté.
 

2. Les échecs et la fatigue liés aux correctifs étouffent les équipes de sécurité.

Malheureusement, on constate souvent que les mises à jour endommagent les systèmes parce que les correctifs n'ont pas été rigoureusement testés. De plus, certaines mises à jour ne corrigent pas complètement toutes les faiblesses ; les systèmes restent vulnérables à d'autres attaques et nécessitent des correctifs supplémentaires pour être complètement corrigés.

Exemple en situation réelle : Attaque par ransomware sur le comté de Suffolk

Le gouvernement du comté de Suffolk (État de New York) a récemment publié les résultats de son investigation post-mortem sur la fuite de données et l'attaque par ransomware qu'il a subies, où la vulnérabilité Log4j a servi de point d'accès au pirate pour infecter ses systèmes. L'attaque a commencé en décembre 2021, au moment même où Apache publiait des correctifs de sécurité pour ces vulnérabilités.

Bien que les mises à jour aient été disponibles, l'application des correctifs n'a jamais eu lieu, et cela a permis le vol de 400 gigaoctets de données, dont des milliers de numéros de sécurité sociale, avec une demande initiale de rançon de 2,5 millions de dollars.

La rançon n'a jamais été payée, mais la perte de données personnelles et de productivité des collaborateurs, et l'enquête qui a suivi ont dépassé de 500 000 dollars le coût de mise à jour des appliances et outils de cyberhygiène, ainsi que la demande de rançon finale. Le comté essaie encore aujourd'hui de s'en remettre et de restaurer tous ses systèmes, et il a déjà dépensé 5,5 millions de dollars.

Exemple en situation réelle : La mise à jour erronée d'un serveur Windows m'a fait travailler 24 heures d'affilée.

Voilà mon expérience personnelle : un jour, j'ai travaillé 24 heures d'affilée parce que, lors d'un Patch Tuesday, une mise à jour Microsoft Windows Server a été automatiquement téléchargée et installée. Cela a rapidement provoqué un dysfonctionnement des services d'authentification entre les clients IoT (Internet des objets) et les serveurs AAA (Authentification, autorisation et comptabilisation), donnant un coup d'arrêt brutal à la production.

Le réseau de référence client interne de notre entreprise, implémenté par nos plus gros clients, a déployé Microsoft Server pour les services de certificats Active Directory (ADCS) et les serveurs de stratégie réseau (NPS) utilisés pour l'authentification EAP-TLS 802.1x de nos périphériques réseau IoT gérés par liaison radio.

C'était il y a dix ans, mais des situations similaires se sont également produites au cours des années suivantes, notamment cette mise à jour de juillet 2017, où l'authentification NPS a cessé de fonctionner pour les clients sans fil, et cela s'est reproduit en mai de l'année dernière.

À l'époque, il n'existait aucune solution de réparation du correctif erroné. J'ai donc passé les 22 heures suivantes à reconstruire les serveurs Microsoft Server pour l'infrastructure à clé publique (PKI) et les services AAA de l'entreprise afin de rétablir leur fonctionnement normal. Ce qui nous a sauvés, c'est que nous avons déconnecté l'autorité de certification racine d'origine et que le serveur n'a pas été affecté par la mauvaise mise à jour.

Cependant, on a quand même dû révoquer tous les certificats d'identité émis par les autorités de certification subordonnées. Cela concernait des milliers de périphériques, notamment des routeurs, des commutateurs, des pare-feux et des points d'accès, qu'il a fallu réinscrire dans le service AAA avec de nouveaux certificats d'identité.

Riches de cette expérience, nous avons désactivé la mise à jour automatique sur tous les serveurs Windows, et fait des sauvegardes plus fréquentes des services et données critiques.
 

3. L'application de correctifs aux postes client ne fonctionne que pour les périphériques et les applis connus.

La pandémie a entraîné le passage à l'Everywhere Work : les collaborateurs travaillaient à domicile, connectant souvent leurs périphériques personnels au réseau de leur entreprise. Pour les équipes de sécurité, cela a créé un angle mort de Shadow IT. Avec le Shadow IT, les actifs ne sont pas gérés, ils sont potentiellement obsolètes, et peuvent nuire à la sécurité des périphériques personnels et provoquer des fuites dans les applications.

Le retour de stratégies BYOD (Apportez vos propres périphériques) et l'absence d'un accès distant contrôlé par l'entreprise ont rapidement étendu la surface d'attaque externe des entreprises, exposant d'autres vecteurs d'attaques susceptibles d'être exploités par les pirates.

Exemple en situation réelle : Récente fuite de données LastPass

LastPass est un gestionnaire de mots de passe très populaire, qui stocke vos mots de passe dans un coffre-fort en ligne. Il compte plus de 25 millions d'utilisateurs, dont 100 000 entreprises. L'an dernier, LastPass a subi une fuite de données massive impliquant deux incidents de sécurité.

Lors du second incident, les pirates ont utilisé les données volées lors de la première attaque pour cibler quatre ingénieurs DevOps ou, plus précisément, leur ordinateur à domicile. Un développeur de logiciels senior a utilisé son ordinateur de bureau Windows personnel pour accéder au bac à sable (sandbox) de développement de l'entreprise. Sur cet ordinateur était aussi installée une version sans correctif de Plex Media Server (CVE-2020-5741).

Il y a déjà trois ans que Plex a fourni un correctif pour cette vulnérabilité. Les pirates ont utilisé cette vulnérabilité pour transmettre un malware, élever les privilèges (PE), puis exécuter du code à distance (RCE) afin d'accéder au stockage Cloud de LastPass et de voler les secrets DevOps, et les bases de données d'authentification multifacteur (MFA) et fédérées.

« Malheureusement, ce collaborateur LastPass n'a jamais mis à jour son logiciel pour activer le correctif. », a déclaré Plex dans un communiqué. « Pour référence, on a publié environ 75 versions depuis celle qui corrigeait cette vulnérabilité. »

Si l'application des correctifs ne suffit pas, comment les entreprises peuvent-elles réduire leur surface d'attaque externe ?

Cyberhygiène

Les collaborateurs constituent le maillon faible dans le programme de cyberhygiène d'une entreprise. Inévitablement, ils oublient de mettre à jour leurs périphériques personnels, réutilisent le même mot de passe faible pour plusieurs sites Web, installent des applications non sécurisées, et cliquent ou appuient sur des liens d'hameçonnage dans les e-mails, les pièces jointes ou les SMS.

Pour lutter contre cela, mettez en place une culture d'entreprise qui sensibilise les collaborateurs à la cybersécurité et de vigilance. Ils doivent :

· S'assurer que les dernières mises à jour logicielles sont bien installées sur leurs périphériques personnels et professionnels.

· Savoir reconnaître les techniques d'attaque par ingénierie sociale, notamment les différents types d'attaque par hameçonnage.

· Utiliser l'authentification multifacteur chaque fois que c'est possible.

· Installer et automatiquement mettre à jour les bases de données des logiciels antivirus sur les ordinateurs de bureau, et les outils MTD (Défense contre les menaces mobiles) sur les périphériques mobiles.

Une formation en continu est essentielle pour promouvoir une bonne cyberhygiène dans votre entreprise, en particulier pour les campagnes antihameçonnage.  

Outils de cyberhygiène recommandés

Dans la cybersécurité, nous avons un dicton : « Vous ne pouvez pas protéger ce que vous ne voyez pas ! ». L'exécution d'une découverte complète et d'un inventaire précis de l'ensemble du matériel, des logiciels et des données connectés au réseau, y compris les actifs en Shadow IT, est une première étape importante dans l'évaluation du profil de vulnérabilités d'une entreprise. Les données d'actif doivent être transmises à un système de gestion des correctifs de poste client d'entreprise.

Envisagez aussi de mettre en place une approche de gestion des vulnérabilités basée sur les risques pour prioriser, parmi l'énorme quantité de vulnérabilités, celles qui sont les plus dangereuses pour votre entreprise. Les solutions de gestion des vulnérabilités basée sur les risques incluent souvent un outil de Threat Intelligence (Intelligence des menaces), qui alimente le système de gestion des correctifs.

On appelle Threat Intelligence les informations concernant les menaces connues ou potentielles qui visent une entreprise. Ces données de menace émanent de différentes sources, comme les chercheurs en sécurité, les agences gouvernementales, les scanners de vulnérabilités des infrastructures et de sécurité des applications, les résultats des tests d'intrusion internes et externes, et même les pirates eux-mêmes.

Ces informations, qui incluent les échecs de correctifs spécifiques et la fiabilité signalée par divers flux de crowdsourcing, aident les entreprises à se passer des tests de correctifs en interne et à accélérer le déploiement des correctifs sur les actifs critiques.

Une plateforme de gestion unifiée des terminaux (UEM) est nécessaire pour la gestion à distance et la sécurité des périphériques mobiles, y compris les actifs en Shadow IT et BYOD.

La solution applique les correctifs aux systèmes d'exploitation (OS) et applications mobiles les plus récents, provisionne l'e-mail et sécurise les profils d'accès à distance, notamment à l'aide de références d'authentification d'identité et de méthodes d'authentification multifacteur (MFA) comme les contrôles biométriques, les cartes à puce, les clés de sécurité, et l'authentification par certificat ou par jeton.

La solution UEM doit aussi intégrer une solution MTD (Défense contre les menaces mobiles) basée sur le Machine Learning par IA pour les périphériques mobiles. Pour les ordinateurs de bureau, il faut un antivirus nouvelle génération (NGAV) avec une analyse heuristique robuste capable de détecter et de corriger les menaces visant les périphériques, les réseaux et les applis, avec une protection antihameçonnage en temps réel.

Enfin, pour vous donner toutes vos chances contre les malwares générés par IA, les outils de cyberhygiène doivent évoluer rapidement, en exploitant l'IA pour faire face aux attaques polymorphes plus sophistiquées qui se profilent à l'horizon.

La mise en place des solutions ci-dessus permet de repousser les cyberattaques en mettant des obstacles sur la route des pirates, pour les frustrer et les amener à rechercher des cibles plus faciles.