Confinez-vous et confinez votre SI !

Par Sebastien Meriot / 2020-03-26 / Security

Le 20 Mars 2020, l’ENISA (European Union Agency For CyberSecurity) a publié un bulletin appelant à la vigilance des entreprises et des particuliers suite à des tentatives d’arnaque utilisant la crise sanitaire du COVID-19. Différents organismes tels que l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), le NCSC (National Cyber Security Center) ou encore le CISA (CyberSecurity And Infrastructure Security Agency) signalent que des attaquants profitent de la crise du COVID19 pour multiplier les arnaques (phishing, arnaque au Président, …), la propagation de maliciels (rançongiciels, chevaux de Troie), ces derniers parfois attribués par les experts à des groupes APT.

Même si le télétravail se démocratise de plus en plus, un bon nombre d’entreprises a été pris de court par la crise sanitaire en cours, en devant fournir à la majorité de ses salariés une solution de travail à distance. Face à l’urgence de la situation, les équipes ont fait de leur mieux pour rendre la chose possible en tentant de maîtriser les risques cyber associés. Malheureusement, à l’heure où les attaques se multiplient à l’encontre des entreprises, difficile lorsqu’on est responsable informatique de dormir sereinement ces derniers temps. Voici donc quelques recommandations actionnables facilement et rapidement qui peuvent vous aider à retrouver le sommeil.

Pour adresser les principaux risques, nous nous baserons sur le framework ATT&CK proposé par Mitre qui référence les différentes tactiques, techniques et procédures utilisées par les attaquants pour arriver à leurs fins. La matrice ATT&CK suivante compile nos observations et établit les techniques les plus utilisées pour s’introduire dans un Système d’Information. Nous tenterons de proposer des mitigations simples pour 9 de ces 11 techniques dans l’optique de réduire les risques. Les matrices proposées sont à titre d’exemple pour illustrer les propos et n’excluent en aucun cas une analyse de risque adaptée à votre métier, votre infrastructure et votre secteur d’activité.

Prévenir les attaques en utilisant « l’empowerment »

Face à l’émergence de ces menaces, il est indéniable que la sensibilisation des utilisateurs est indispensable afin qu’ils soient vigilants. Donner le pouvoir d’agir aux utilisateurs et les responsabiliser en les impliquant dans le processus de sécurisation des Systèmes est un facteur favorisant l’adoption des bonnes pratiques parmi les salariés et qui a fait ses preuves.

Pendant longtemps, la sécurité informatique est restée entre les mains des experts alors que les principales techniques pour s’introduire dans un système reposaient sur l’ingénierie sociale. Outre les sensibilisations aux risques cyber, leur donner les moyens de remonter les signaux faibles (mails étranges, personnes fictives sur LinkedIn, réception de colis préalablement ouverts, …) et leur expliquer en quoi ces remontés permettent de contribuer à la sécurisation du Système d’Information permet de capter l’attention des utilisateurs qui se sentent investis. Pour renforcer d’autant plus ce sentiment d’appartenance à un processus global et leur montrer l’importance du rôle qu’ils ont à jouer de premier rempart face aux attaques, n’hésitez pas à leur montrer un processus où ils pourront retrouver à quel point leur action est vitale : effet garanti !

Une autre technique qui porte ses fruits notamment chez OVHcloud depuis plusieurs années : l’envoi de phishing aux salariés afin de mesurer leur niveau de maturité et de mettre en œuvre la pédagogie adaptée pour faire progresser cette maturité.

Concrètement ces actions ont un effet positif sur un grand nombre de techniques potentiellement actionnables.

Limiter l’exposition de son SI sur Internet

C’est une règle universelle qui prévaut quoi qu’il arrive : réduire à son strict minimum l’exposition de son Système d’Information sur Internet en configurant un pare-feu pour fermer tous les services exposés non essentiels. Un port ouvert, c’est une porte à laquelle un attaquant peut frapper, voir rentrer à coup de bélier.

L’urgence de mettre en place le télétravail a pu conduire certaines équipes à ouvrir les flux RDP (Remote Desktop Protocol), SSH (Secure Shell) ou encore SMB (Partage de fichiers) directement sur Internet pour permettre aux salariés de se connecter en l’absence de VPN. En attendant d’avoir un VPN fonctionnel, il est indispensable de limiter l’exposition de ces services aux seuls salariés, par exemple en configurant des IPs de confiance dans les pare-feu pour repousser les éventuels robots scannant l’Internet sans relâche, les protocoles RDP et SMB restant les plus vulnérables (souvenez-vous du vers « Wannacry » ou de la vulnérabilité « BlueKeep » par exemple).

Lorsque le VPN est en place, invitez les utilisateurs à configurer des mots de passe robustes ou, dans la mesure du possible, mettez en place un second facteur d’authentification.

Ces actions ont un effet positif sur :

La détection des comportements anormaux

Demander aux utilisateurs de configurer un mot de passe robuste est une chose, mais il est difficilement concevable de faire reposer toute la sécurité d’une organisation sur cette simple assertion.

De ce fait, il est important de compléter ces mesures par des mécanismes de détection. Que l’on parle de SIEM (Security Event Management) ou pas, le principe reste le même : détecter les comportements anormaux. Et cela commence par détecter les signaux forts. Un utilisateur se connecte la nuit ou le week-end ? Un utilisateur se connecte depuis un FAI non habituel, ou non autorisé ?

Le saviez vous ?

Vous pouvez utiliser les annonces BGP via pyasn, un outil opensource proposé par l’Université de Technologie de Delft pour enrichir les données.

En utilisant les outils Sysmon vous pouvez également monitorer l’utilisation des machines en heures non ouvrables afin de détecter une utilisation trop intensive du CPU pouvant traduire une machine infectée (cryptomineur, rançongiciel, …).

La détection, même si elle est réactive est extrêmement importante pour permettre de limiter les dégâts. En 2019, la détection d’une intrusion était en moyenne de 56 jours.

Ces actions ont un effet positif sur :

Conclusion

Au final, les recommandations précédentes permettent de réduire le risque vis-à-vis d’un bon nombre des techniques pouvant être actionnées par un attaquant pour s’introduire sur votre système. Comme souligné précédemment, il est important d’adapter les actions à votre métier, à votre infrastructure ainsi qu’à vos utilisateurs. Mais le plus important, c’est de se protéger des virus, quels qu’ils soient.

Et pour ce faire, vous pouvez également jetez un oeil aux mesures de Défense en Profondeur pour éviter les déplacements latéraux une fois l’attaquant entré dans votre SI.