Le récent piratage de SolarWinds Orion, qui a blessé des agences gouvernementales américaines et des entreprises du monde entier avec une attaque complexe contre leur écosystème logiciel, a alimenté la discussion sur la chaîne d’approvisionnement. Sécurité cette année à l’honneur. Cependant, les hacks de la chaîne d’approvisionnement en eux-mêmes ne sont pas une nouvelle tactique. Les acteurs de la menace ciblent depuis longtemps les fournisseurs tiers dans les chaînes d’approvisionnement numériques et physiques pour s’infiltrer dans des organisations plus grandes et potentiellement plus précieuses telles que les gouvernements ou les organisations multinationales.
Cette chaîne d’approvisionnement a été identifiée dans un rapport sur les principales menaces de la chaîne d’approvisionnement des entreprises en 2019 et au premier semestre 2020. Sécurité en ligne Les avertissements sur les risques ont augmenté de 80% au deuxième trimestre de 2020. Avec une augmentation des attaques de la chaîne d’approvisionnement de 78% en 2018, il n’est pas surprenant qu’il y ait eu une augmentation des attaques de la chaîne d’approvisionnement contre les entreprises de WordPress Divi ces derniers mois. Les partenaires et les fournisseurs sont souvent un maillon faible de la sécurité d’entreprise, en particulier lorsqu’ils sont combinés avec la nature profonde de la violation SolarWinds.
Il existe quatre conseils que les entreprises peuvent suivre immédiatement pour réduire considérablement l’impact d’une attaque potentielle sur la chaîne d’approvisionnement et jeter les bases de stratégies de protection proactive à plus long terme:
1. Protégez l’accès privilégié
Veiller à ce que chaque élément de votre chaîne d’approvisionnement soit protégé contre les pirates est essentiel pour que l’entreprise puisse survivre dans le climat actuel, d’autant plus que les cybercriminels continuent de créer et d’utiliser de nouveaux vecteurs d’attaque chaque jour.
Le paysage cybernétique en constante évolution et l’attaque de SolarWinds ont remis l’accent sur le rôle que joue la gestion des accès privilégiés dans la protection à la fois des entreprises et de leurs chaînes d’approvisionnement. Les discussions se concentrent désormais sur l’opportunité pour les entreprises de réduire l’accès des fournisseurs et administrateurs externes aux entreprises critiques. Données. La réponse de l’organisation devrait être un oui catégorique.
Les comptes et les informations d’identification privilégiés sont aujourd’hui des surfaces d’attaque populaires dans les organisations. La détection et la gestion des accès privilégiés sont donc d’une importance capitale pour briser la chaîne d’attaques et empêcher une attaque potentielle dans la chaîne d’approvisionnement d’atteindre l’objectif visé. En mettant en œuvre de solides méthodes et solutions de gestion des accès privilégiés dans leurs chaînes, les organisations peuvent empêcher les acteurs de la menace de prendre pied dans une organisation où ils peuvent voler et utiliser à mauvais escient des identités et des informations d’identification légitimes, augmenter les autorisations et accéder latéralement à des actifs et des données de grande valeur. -Organismes de billetterie au sein de la chaîne.
2. Adoptez une approche de défense en profondeur
Même les entreprises dotées des écosystèmes de sécurité les plus solides savent qu’il n’y a pas de solution miracle pour la cybersécurité et qu’aucun fournisseur ou outil ne peut empêcher complètement une attaque. Même ainsi, selon un rapport de 2020, 43% des PME britanniques et américaines ne manquent pas du tout de plans de défense en matière de cybersécurité.
Cependant, la cybersécurité ne doit pas nécessairement se produire en même temps et devrait être un voyage. Dans ce cadre, il est essentiel pour une bonne posture de sécurité d’adopter un état d’esprit dans lequel une entreprise accepte une attaque et construit ses défenses en conséquence. Cet état d’esprit nécessite plusieurs niveaux de sécurité (ou de défense en profondeur), tels que: B. Next-Gen Antivirus, une gestion et une application des accès privilégiés solides ainsi que des correctifs du système d’exploitation.
Pour ceux qui ont peu ou pas de plan ou de systèmes de cybersécurité, ou dont les partenaires ou fournisseurs ont un écosystème de sécurité faible, il est important d’investir d’abord dans des contrôles de sécurité qui réduisent le plus grand risque. Une fois ceux-ci en place, l’accent peut être déplacé vers le reste de la suite de sécurité pour garantir que toutes les surfaces d’attaque sont couvertes.
3. Appliquez systématiquement les privilèges les plus bas partout
Les violations sont inévitables, quelle que soit la sécurité de l’écosystème de sécurité d’une entreprise. Cependant, en suivant le principe du moindre privilège (PoLP) et en éliminant les autorisations et autorisations inutiles, les organisations peuvent prendre des mesures pour limiter les effets d’une attaque.
Le PoLP est un concept selon lequel les utilisateurs ne reçoivent que le niveau minimum d’accès nécessaire pour effectuer leurs tâches efficacement, et qui est fondamental pour la sécurité des informations et des ressources d’entreprise de haute qualité. Le principe peut également être appliqué aux applications, systèmes et appareils connectés tels que Ordinateurs portables qui nécessitent des autorisations et vont au-delà de l’accès humain.
L’application des autorisations les plus basses sur les systèmes est considérée comme une meilleure pratique de sécurité, car elle réduit la surface d’attaque d’une entreprise et empêche les systèmes de se propager. Malware. Les entreprises devraient sérieusement envisager de mettre en œuvre cette pratique pour vraiment réduire l’impact d’une violation.
4. Surveillance du vol d’informations d’identification privilégiées
Le grand soin avec lequel les acteurs évitent la détection rend particulièrement difficile la détection d’une infiltration de la chaîne d’approvisionnement. Par exemple, l’attaque SolarWinds aurait commencé au printemps 2020. Les acteurs de la menace ont utilisé un certain nombre de techniques hautement évasives pour éviter la détection et pour cacher leurs activités tout en se déplaçant latéralement. Cela inclut l’utilisation d’une pipette auparavant invisible à mémoire uniquement appelée TEARDROP. En attribuant les noms d’hôte dans l’infrastructure de commande et de contrôle aux noms légitimes de l’environnement de la victime, l’acteur a pu s’insérer davantage et éviter d’être détecté. En surveillant les sessions privilégiées, les organisations peuvent plus facilement identifier et répondre aux comportements et modèles suspects qui indiquent le vol d’informations d’identification.
Comme le montre SolarWinds, la chaîne d’approvisionnement est un vecteur critique d’attaque. En menant un état d’esprit «accepter la brèche», en sécurisant les données et les systèmes sensibles avec un accès privilégié et en développant une meilleure compréhension des actifs les plus critiques, les organisations peuvent être plus rapides. et plus déterminé Assurer des réponses à la sécurité de l’entreprise. Cela aidera à réduire la gravité d’une attaque potentielle de la chaîne d’approvisionnement. En outre, en surveillant de manière proactive le vol d’informations d’identification privilégiées et en disposant de systèmes de gestion des accès privilégiés existants, les entreprises peuvent renforcer leur écosystème de sécurité, ce qui rend beaucoup plus difficile pour les attaquants d’atteindre leurs objectifs finaux.
Les organisations doivent agir maintenant pour renforcer leur propre posture de sécurité globale ainsi que celle de leur chaîne d’approvisionnement. Suivre les étapes ci-dessus et comprendre que la cybersécurité est un voyage devrait minimiser le risque de failles de sécurité potentielles tout en jetant les bases de stratégies proactives à plus long terme pour empêcher l’infiltration de la chaîne d’approvisionnement et les compromis privilégiés.
- David Higgins, directeur technique EMEA, CyberArk.
