Ingénierie sociale et accès VPN : La fabrication d'une brèche moderne Lookout (2023)

Dans ce qui semble être un goutte-à-goutte constant de gros titres sur les grandes entreprises victimes d'incidents de sécurité, le monde a récemment appris l'infiltration réussie des données de la société de covoiturage et de livraison Uber. Dans une mise à jour de son blog, Uber a attribué l'attaque au tristement célèbre groupe Lapsus$, qui s'est fait un nom au cours de l'année écoulée en réussissant des intrusions dans des entreprises aussi connues que Microsoft, Rockstar Games, Samsung, Nvidia, Ubisoft et Okta.

Heureusement, les entreprises sont devenues plus aptes à divulguer les compromissions, et Uber n'a pas fait exception, fournissant rapidement des détails sur ce qui s'est passé. En conséquence, la communauté de la sécurité connaît les tactiques utilisées dans cette attaque et est mieux placée pour défendre ses organisations.

Selon des rapports de presse et le propre blog d'Uber, les informations d'identification d'un entrepreneur tiers ont été compromises soit par ingénierie sociale (selon Lapsus$), soit en achetant les informations d'identification sur le Dark Web (selon Uber). Dans les deux cas, l'acteur de la menace a bombardé l'utilisateur de demandes d'authentification multifactorielle (AMF) et a réussi à le convaincre, en se faisant passer pour un membre du personnel informatique d'Uber, d'accepter la connexion. Une fois entré, l'acteur de la menace s'est déplacé latéralement et a trouvé des informations d'identification privilégiées codées en dur dans un script d'automatisation. À partir de là, il a obtenu un accès supplémentaire à une myriade d'applications et de données cloud au sein du réseau de l'entreprise.

Cette fois-ci, c'est Uber qui était visé, mais la leçon générale à tirer est que le paysage des menaces continue d'évoluer. Cette attaque illustre les tactiques qui continuent d'être efficaces, ce qui aidera les équipes de sécurité et d'informatique du monde entier à mieux comprendre les mesures proactives qu'elles peuvent prendre pour éviter d'être les prochaines.

VPN : authentification de base et accès à l'ensemble du réseau

De nos jours, un large éventail d'utilisateurs doit pouvoir accéder à votre infrastructure où qu'ils soient, qu'il s'agisse d'employés, de partenaires ou de sous-traitants. Et la méthode par défaut pour les connecter a souvent été les réseaux privés virtuels (VPN). Mais cela peut poser un problème, et je ne parle pas seulement de la mauvaise expérience utilisateur créée par l'épuisement du réseau.

Méthodes d'authentification de base qui sont sujettes à l'ingénierie sociale

Le VPN repose sur des contrôles de sécurité de base : mots de passe et MFA. Mais ce n'est pas parce qu'une personne a saisi le bon nom d'utilisateur et peut produire un jeton MFA qu'elle est légitime. Sans télémétrie supplémentaire, telle que l'analyse du comportement de l'utilisateur, les organisations n'ont aucun moyen de savoir si un compte a été compromis.

Comme les acteurs de la menace n'ont besoin que de passer le processus de connexion pour compromettre une infrastructure, l'ingénierie sociale est devenue très efficace. C'est particulièrement vrai avec l'utilisation accrue des appareils mobiles, où il existe d'innombrables canaux pour lancer des attaques de phishing par vol d'informations d'identification, notamment les SMS et iMessage, les applications de messagerie tierces et les plateformes sociales telles que les médias sociaux et les applications de rencontre.

L'accès à l'ensemble du réseau facilite les déplacements latéraux

Un autre risque que présentent les VPN est qu'ils accordent aux utilisateurs un accès supérieur à ce dont ils ont besoin, ce que l'on appelle le surdimensionnement. Une fois qu'une personne s'est connectée à un profil VPN, elle a souvent accès à un large éventail de systèmes au sein de ce réseau. Si le profil est compromis, l'attaquant peut effectuer des opérations de découverte pour voir quelles sont les autres possibilités et se déplacer latéralement dans ce que l'on appelle une opération "land-and-expand".

Comment protéger votre organisation : trois mesures clés à prendre

Il est difficile de trouver le bon côté d'un incident de sécurité, mais nous pouvons toujours faire de notre mieux pour tirer des leçons de chacun d'eux. Voyons ce que nous pouvons glaner de cet incident.

Limitez l'accès à vos VPN, notamment pour les tiers.

Permettre une collaboration transparente avec des tiers est essentiel pour toute entreprise, mais vous devez le faire en tenant compte de la sécurité. Pour minimiser les violations, veillez à ce que vos utilisateurs n'aient accès qu'à ce dont ils ont besoin pour faire leur travail, ce que l'on appelle aussi les "privilèges suffisants". Vous pouvez également limiter la durée d'accès d'une personne en lui accordant un accès "juste à temps".

Pour obtenir ce niveau de segmentation, vous devez aller au-delà du VPN et de ses contrôles d'accès tout ou rien. Non seulement cela limite la capacité d'un acteur de la menace à se déplacer latéralement, mais cela réduit également le risque d'attaques de phishing. Recherchez des technologies, telles que zero trust network access (ZTNA), qui peuvent répondre à ces exigences supplémentaires.

Ne vous fiez pas uniquement aux mots de passe et à la MFA

Les mots de passe forts et l'AMF sont des bases de sécurité solides, mais ils ne suffisent pas. Étant donné la diversité des appareils, des réseaux et des lieux à partir desquels vos utilisateurs peuvent se connecter, il est extrêmement difficile pour les outils de sécurité traditionnels de faire la différence entre les utilisateurs légitimes et les acteurs malveillants.

C'est là que des données télémétriques supplémentaires doivent être prises en compte, comme le comportement de l'utilisateur ou le niveau de risque de l'appareil qu'il utilise. Par exemple, si un utilisateur se connecte à partir d'un endroit anormal sur un appareil qu'il n'utilise pas habituellement ou s'il essaie plusieurs fois de se connecter à partir de différents réseaux, il faut le signaler. Vous devez également détecter les changements de privilèges, car c'est l'une des premières choses qu'un attaquant tentera de faire pour obtenir un accès encore plus large à votre réseau.

Protégez vos employés contre l'ingénierie sociale

Une chaîne d'attaque complète ne peut souvent pas être exécutée sans un point d'ancrage initial, qui est le plus souvent obtenu avec un justificatif d'identité compromis. L'époque des attaques par force brute est révolue. Il est beaucoup plus facile d'acheter un kit de phishing sur le Dark Web ou de créer un proxy qui redirige l'utilisateur ciblé vers une fausse version de son identifiant d'entreprise.

Les attaquants étant de plus en plus habiles à lancer des escroqueries par ingénierie sociale, vous devez protéger vos employés sur tous les appareils. La première étape consiste à s'assurer que vos utilisateurs sont correctement formés, notamment en ce qui concerne les attaques de phishing modernes provenant de canaux liés aux mobiles. Ensuite, vous devez être en mesure de bloquer les attaques de phishing et le trafic réseau malveillant sur vos appareils mobiles, vos ordinateurs portables et vos ordinateurs de bureau. En étant capable de détecter les connexions Internet entrantes et sortantes, vous pouvez empêcher les sites malveillants d'atteindre vos utilisateurs et empêcher toute fuite de données.

Aucun problème de sécurité ne peut être résolu isolément

En tant qu'industrie, nous avons été conditionnés à considérer les différents aspects de la sécurité comme des problèmes indépendants. En réalité, une violation ne peut être arrêtée que si chacune des étapes décrites ci-dessus fonctionne à l'unisson.

Par exemple, vous devez être en mesure de restreindre ou de bloquer l'accès d'un utilisateur à partir de n'importe quel site terminal si celui-ci est compromis. Et si un compte est pris en charge, vous devez être en mesure de surveiller activement son comportement, afin de pouvoir rapidement restreindre ou supprimer l'accès. Pour appliquer ces politiques cohérentes et dynamiques, vous devez être en mesure d'automatiser les réponses basées sur la télémétrie des appareils, des utilisateurs, des applications et des données.

Tout comme aucune application cloud ne réside sur une île, aucun problème de sécurité ne peut être résolu de manière isolée. Pour réduire véritablement les risques et protéger vos données, vous avez besoin d'une plate-forme unifiée qui envisage votre sécurité de manière holistique.

Top Articles
Latest Posts
Article information

Author: Lilliana Bartoletti

Last Updated: 01/05/2023

Views: 6302

Rating: 4.2 / 5 (73 voted)

Reviews: 80% of readers found this page helpful

Author information

Name: Lilliana Bartoletti

Birthday: 1999-11-18

Address: 58866 Tricia Spurs, North Melvinberg, HI 91346-3774

Phone: +50616620367928

Job: Real-Estate Liaison

Hobby: Graffiti, Astronomy, Handball, Magic, Origami, Fashion, Foreign language learning

Introduction: My name is Lilliana Bartoletti, I am a adventurous, pleasant, shiny, beautiful, handsome, zealous, tasty person who loves writing and wants to share my knowledge and understanding with you.