aditya blog
Vue d’ensemble

Des événements tels que SaltTyphoon nous rappellent que les entreprises et les utilisateurs sont exposés à des violations en raison de leur dépendance à l’égard d’une infrastructure qu’ils ne contrôlent pas toujours. Avec des applications de plus en plus distribuées desservies par des nuages publics, des SAAS et des fournisseurs de services mondiaux pour l’informatique, le stockage et les réseaux, les surfaces d’attaque échappent à leur contrôle. Et comme on dit, les brèches sont devenues une question de « quand » contre « si ». L’approche la plus évidente pour prospérer dans cet environnement est de réduire les surfaces d’attaque externes et internes en utilisant les principes de confiance zéro pour sécuriser dès la conception. Garantir un accès sécurisé au réseau grâce à la SASE unifiée en tant que service est un grand pas en avant pour offrir une simplicité opérationnelle en éliminant la prolifération des fournisseurs de réseau et de sécurité. En cas de violation, il est encore plus important d’isoler le problème, de réduire la zone d’attaque et de continuer à répondre aux besoins de l’entreprise. SASE contrôle le déploiement de diverses technologies de sécurité et offre un temps de réponse plus rapide, ce qui contribue de manière significative à l’hygiène du réseau et à la réduction des surfaces d’attaque.

Infrastructures ciblées

Les produits d’infrastructure les plus populaires, tels que les commutateurs et les routeurs, sont largement utilisés dans l’industrie. Il est bien connu que, parfois, le mot de passe par défaut n’est pas modifié. Étant donné la prévalence des équipements Cisco, il n’est pas surprenant que SaltTyphoon cible les appareils Cisco. Plusieurs raisons sont évoquées ci-dessous :

  • Compte tenu de son omniprésence et de sa position dominante sur le marché, Cisco est l’un des plus grands fournisseurs d’équipements de réseau au monde. Ses appareils sont déployés dans les entreprises, chez les fournisseurs de services et dans les infrastructures critiques. Une compromission réussie du matériel Cisco peut permettre aux attaquants d’accéder à des réseaux contenant des informations sensibles et de grande valeur.
  • SaltTyphoon se concentre souvent sur les infrastructures gouvernementales, militaires et critiques, où le matériel Cisco est largement déployé. Les équipements Cisco tels que les routeurs, les commutateurs et les pare-feu sont au cœur de la gestion du trafic réseau, ce qui en fait des points idéaux pour l’interception, l’exfiltration de données ou la manipulation du trafic. Les équipements Cisco sont fréquemment utilisés dans des organisations gérant des opérations politiquement ou économiquement sensibles, ce qui en fait une cible parfaite pour l’espionnage. Ces appareils occupent des positions de confiance sur le réseau, et une compromission peut contourner les mesures de sécurité et perturber les opérations, donnant ainsi aux attaquants un moyen de pression sur les organisations ciblées.
  • En raison de son accès permanent et de ses opérations furtives, le matériel Cisco constitue une base solide pour l’implantation d’une porte dérobée. SaltTyphoon déploie souvent des codes malveillants persistants directement dans l’infrastructure du réseau en ciblant les appareils Cisco, car les équipements de réseau compromis échappent souvent aux systèmes de détection des points finaux, ce qui permet au groupe de s’implanter furtivement.
  • SaltTyphoon est connu pour exploiter des vulnérabilités non corrigées, et les appareils Cisco ont été associés à des vulnérabilités très médiatisées au fil des ans (par exemple, Cisco Smart Install, failles VPN). Il est facile de développer ou d’acquérir des exploits avancés ciblant les systèmes Cisco. En exploitant les équipements Cisco dans des positions stratégiques, les attaquants peuvent compromettre plusieurs organisations en aval dans une chaîne d’approvisionnement.

Défis liés au nettoyage des systèmes informatiques

La raison principale de ce travail considérable est que plusieurs entreprises fournissent souvent des solutions fragmentées et assemblées. En outre, il y a très peu de visibilité et aucun système de surveillance n’est disponible, ce qui signifie que le logiciel malveillant peut se cacher dans n’importe quelle partie de l’infrastructure. Le défi consiste donc à déterminer quels sont les systèmes infectés et à trouver un moyen d’y remédier. Comprenons les contraintes techniques :

  • Les APT utilisent des tactiques furtives (logiciels malveillants sans fichier, cryptage et obscurcissement), des mécanismes de persistance (clés de registre cachées, tâches programmées, modifications au niveau du micrologiciel) et des outils sur mesure pour éviter les tentatives de détection et de nettoyage.
  • Le manque de visibilité est dû à des environnements complexes tels que des systèmes informatiques tentaculaires avec de nombreux points d’extrémité, serveurs et intégrations dans le nuage, ce qui rend la surveillance plus difficile. De nombreuses organisations n’enregistrent pas suffisamment de données ou ne les conservent pas assez longtemps pour retracer toute l’étendue de la compromission.
  • Les limites humaines dues au manque de compétences et à la lenteur du temps de réponse permettent aux attaquants de s’implanter plus solidement. De nombreuses organisations manquent de compétences et de ressources spécialisées pour répondre aux APT. En outre, les organisations donnent la priorité aux besoins opérationnels plutôt qu’à la sécurité, ce qui laisse des lacunes dans les défenses.
  • Le retard de détection dû au temps d’attente est également un facteur contributif, car les APT peuvent rester non détectés pendant des mois, voire des années. Pendant cette période, ils peuvent déployer de multiples portes dérobées et compromettre divers systèmes. Lorsqu’ils sont découverts, les attaquants peuvent s’être infiltrés en profondeur.

SASE unifié en tant que service en tant que mesure de protection intégrée

Unified SASE as a Service, une solution clé dans l’arsenal d’Aryaka, joue un rôle essentiel dans la lutte contre les menaces persistantes avancées (APT) telles que SaltTyphoon. Ses défenses proactives et réactives sont conçues pour déjouer les attaques avancées, ce qui les rend essentielles à la stratégie de sécurité de toute organisation.

  • L’application du principe du moindre privilège est une étape essentielle dans la lutte contre les APT. Les organisations doivent mettre en œuvre des contrôles d’accès granulaires à l’aide de ZTNA pour s’assurer que les utilisateurs, les appareils et les applications ne peuvent interagir qu’avec les ressources spécifiques nécessaires à leur rôle. Cela réduit considérablement le potentiel d’une APT à causer des dommages étendus, ce qui en fait une stratégie de défense clé.
  • Les politiques tenant compte de l’identité et du contexte, qui prennent en compte la localisation, l’heure et le comportement, sont cruciales dans la lutte contre les APT. En permettant une vérification continue des utilisateurs et des appareils, ces politiques réduisent considérablement les chances qu’un attaquant réussisse à se faire passer pour un utilisateur légitime. Elles inspirent confiance dans les mesures de sécurité, ce qui en fait un élément essentiel de la stratégie de défense de toute organisation.
  • Unified SASE as a Service fournit des capacités de confinement en utilisant la micro-segmentation pour isoler les charges de travail, les applications et les appareils au sein du réseau. Cette stratégie limite les mouvements latéraux d’une APT, empêchant les attaquants de compromettre d’autres systèmes même s’ils ont pris pied.
  • Avec Unified SASE as a Service, les entreprises peuvent améliorer la surveillance et la visibilité au niveau du réseau et des couches de sécurité pour détecter les anomalies et corréler les indicateurs afin d’identifier et de répondre rapidement aux activités potentielles des APT. En outre, les fonctions de sécurité telles que SWG, FwaaS, IPS, l’analyse des fichiers, etc., fournissent des alertes en temps réel et des réponses automatisées aux activités suspectes, ce qui permet aux entreprises de détecter et de contenir rapidement les actions des APT.
  • Il est largement admis que les APT volent les données sensibles et la propriété intellectuelle des réseaux cibles, et que les attaquants ont donc besoin d’exfiltrer ces informations vers des sites distants. Avec Unified SASE as a Service, les fuites de données sensibles et les anomalies de transfert de données pendant l’exfiltration, y compris les abus de protocole, peuvent être détectées à l’aide de fonctions de sécurité telles que CASB, DLP et des moteurs de sécurité utilisant ML/AI pour la détection d’anomalies.

Recommandations générales

La simplicité opérationnelle est une considération cruciale, car ces processus peuvent ajouter des charges importantes et sont difficiles à maintenir durablement. Il est très utile de définir clairement les rôles et les responsabilités en matière de création et de gestion des politiques et des procédures de sécurité. Les organisations peuvent faire plus que ce que la CISA et le FBI ont suggéré. Voir ci-dessous :

  • Mettez en œuvre une architecture de confiance zéro pour exiger l’authentification et l’autorisation pour chaque demande d’accès, qu’elle soit interne ou externe. Lorsque les organisations suivent le principe « ne jamais faire confiance, toujours vérifier », elles contribuent à limiter les mouvements latéraux et à réduire l’impact de la compromission.
  • La chasse proactive aux menaces joue un rôle essentiel dans la détection des APT dès que possible. Recherchez régulièrement les indicateurs de compromission (IOC) liés aux APT, tels que les adresses IP, les hachages de fichiers et les domaines malveillants. Les organisations doivent également se concentrer sur l’indicateur d’attaque (IOA) pour détecter les intentions et les tactiques malveillantes, telles que le déplacement latéral, l’escalade des privilèges et l’exfiltration de données.
  • Exploitez la puissance des technologies avancées de sécurité et de mise en réseau. Tout d’abord, la segmentation divise votre réseau en zones plus petites afin de contenir les menaces et de limiter les mouvements des attaquants. Deuxièmement, les technologies de déception telles que les pots de miel et les leurres peuvent être utilisées pour détecter et étudier le comportement des attaquants. Enfin, l’automatisation pilotée par l’IA peut être utilisée pour accélérer la détection, le triage et la réponse aux activités des APT.
  • Les organisations devraient effectuer régulièrement des exercices de simulation pour déterminer l’efficacité de leur plan de RI à l’aide de scénarios réalistes, y compris des simulations d’APT et des scénarios d’attaque courants. En outre, elles devraient tester fréquemment les sauvegardes pour s’assurer qu’elles sont fonctionnelles et qu’elles peuvent être restaurées rapidement.

En utilisant la puissance d’Unified SASE as a Service, les organisations peuvent transformer leurs réseaux en environnements hautement résilients où les APT sont confrontés à des barrières constantes à chaque étape du cycle de vie de l’attaque, de la reconnaissance à l’exploitation et à l’exfiltration.