Les attaques basées sur le périmètre font leur retour : voici comment rester en sécurité
Table des matières:
Nous sommes habitués à entendre dire que le périmètre réseau traditionnel est mort. L’avènement des applications cloud, du travail à domicile et des appareils mobiles omniprésents a créé un environnement informatique d’entreprise plus fluide et distribué. Cela peut être vrai jusqu’à un certain point. Mais même si les employés accèdent aux applications SaaS d’entreprise, il existe généralement toujours une sorte de réseau d’entreprise. Et les applications ou appareils qui se trouvent à sa périphérie.
Le défi pour les équipes de sécurité informatique est que ces produits sont de plus en plus attaqués par des acteurs malveillants. La situation est si grave que le Centre national de cybersécurité (NCSC) directives récemment publiées sur la manière d'atténuer ces risques. Les défenseurs du réseau devraient en prendre note.
D'hier à aujourd'hui
Comme l'explique le NCSC, le ciblage actuel des produits de périmètre est en quelque sorte un retour aux débuts d'Internet, lorsque les acteurs malveillants profitaient d'une mauvaise sécurité du périmètre pour exploiter les vulnérabilités et détourner des comptes. Cela leur a permis de prendre pied dans des réseaux soumis à une surveillance limitée, permettant ainsi aux attaquants de rester invisibles pendant de longues périodes.
Cependant, les défenseurs des réseaux ont fini par rattraper leur retard et ont rendu ces services plus difficiles à compromettre. Les auteurs de la menace ont ensuite tourné leur attention vers les logiciels clients et les navigateurs non sécurisés, ainsi que vers les e-mails de phishing.
Aujourd’hui, le pendule revient à nouveau. Les logiciels clients sont de plus en plus conçus dans un souci de sécurité (pensez : bacs à sable, réécritures complètes et langages sécurisés en mémoire) et les macros Office sont bloquées par défaut. Selon le NCSC, cela oblige les auteurs de menaces à reporter leur attention sur les produits périmétriques.
Pourquoi les attaques périmétriques font leur retour
« Sachant qu'ils sont moins susceptibles de pouvoir compter sur de mauvais mots de passe ou des erreurs de configuration, ils s'intéressent de plus en plus aux produits situés sur le périmètre du réseau (tels que les applications de transfert de fichiers, les pare-feu et les VPN), trouvant de nouvelles vulnérabilités zero-day dans ces produits. et valser directement », prévient le NCSC. « Une fois qu'une vulnérabilité est connue, d'autres attaquants la rejoignent, ce qui entraîne une exploitation massive. »
Trouver ces zéros jours n'est pas aussi difficile qu'il y paraît, car le code de ces produits est généralement moins susceptible d'être sécurisé de par sa conception que celui des logiciels clients, explique l'agence. Ces offres basées sur le périmètre souffrent également d’un manque de journalisation efficace, contrairement aux appareils clients qui exécutent de plus en plus aujourd’hui des outils de détection et de réponse « haut de gamme ». Tout cela en fait la cible idéale pour les acteurs malveillants cherchant à s’implanter dans les réseaux d’entreprise pour le vol de données, l’extorsion et bien plus encore.
Une mise en garde : Ivanti
Les avertissements du NCSC surviennent au milieu d'une vague d'attaques contre les produits périmétriques. Parmi les plus notables figuraient une série d'exploits zero-day ciblant le produit VPN Connect Secure d'Ivanti et sa solution de contrôle d'accès réseau (NAC) Policy Secure. CVE-2023-46805 et CVE-2024-21887 ont été révélés par le fournisseur en janvier, même si l'on pense qu'un acteur malveillant chinois les exploitait depuis plus d'un mois pour placer des webshells sur les serveurs Web internes et externes des organisations victimes.
Des semaines plus tard, il est apparu que les pirates exploitaient un autre bug zero-day (CVE-2024-21893) afin de contourner une première atténuation publiée par Ivanti pour traiter les deux bugs zero-day originaux. La menace potentielle pour les organisations est si grave que les agences de renseignement Five Eyes ont publié un long avis de sécurité fin février.
"Les vulnérabilités affectent toutes les versions prises en charge (9.x et 22.x) et peuvent être utilisées dans une chaîne d'exploits pour permettre aux acteurs malveillants de la cybermenace de contourner l'authentification, de créer des requêtes malveillantes et d'exécuter des commandes arbitraires avec des privilèges élevés", note-t-il. .
Renforcer les défenses du périmètre
La question qui se pose aux RSSI est de savoir comment atténuer ces menaces. À long terme, le NCSC préconise d'inciter les fournisseurs à créer des produits plus sécurisés et à éviter ceux qui ne peuvent pas prouver la sécurité des logiciels dès leur conception. Mais cela n’empêchera pas les menaces d’aujourd’hui. Ses autres suggestions peuvent être plus concrètes :
1) Envisagez des versions hébergées dans le cloud plutôt que sur site de ces produits de périmètre. Bien que ceux-ci ne soient pas encore sécurisés de par leur conception, ils seront corrigés plus rapidement et doivent être régulièrement surveillés par le fournisseur. De plus, si le pire se produit et qu’ils sont compromis, au moins cela ne permettra pas aux attaquants de prendre pied dans le réseau de l’entreprise. Dans le meilleur des cas, les acteurs malveillants peuvent même laisser vos données d’entreprise tranquilles.
2) Si la migration vers une version cloud n'est pas possible, désactivez ou bloquez au niveau du pare-feu toutes les « interfaces, portails ou services de logiciels Internet » inutilisés. Les zero-day de ces produits Ivanti ont affecté ce type de service supplémentaire (dans ce cas, leurs « composants Web »).
3) Assurez-vous que tous les produits de périmètre internes sont développés en mettant la sécurité au premier plan – avec des options d'hébergement cloud et sans serveur à considérer afin de limiter les retombées potentielles en cas d'attaque.
Richard Werner, conseiller en cybersécurité chez Trend Micro, affirme que choisir par défaut des applications hébergées dans le cloud (SaaS) n'est pas une panacée.
« Les approches SaaS deviennent des cibles attrayantes pour les criminels qui cherchent à toucher plusieurs cibles avec une seule attaque, comme en témoigne le projet de loi de 2021. Incident de Kaseya», dit-il à ISMS.online. « Même si le SaaS peut atténuer efficacement les cyber-risques connus, il ne doit pas être considéré comme la solution ultime au problème principal. »
Il ajoute que prévenir l’exploitation des vulnérabilités restera probablement extrêmement difficile – et nécessitera une approche défensive à plusieurs niveaux.
« Il est crucial d’adhérer aux meilleures pratiques de sécurité, mais même dans des scénarios idéaux, il est impossible d’éviter complètement les risques », affirme Werner. « Par conséquent, les entreprises doivent compléter leurs mesures de sécurité avec des technologies telles que la détection et la réponse étendues (XDR), imposées par des lois modernes comme NIS 2. »
En fin de compte, si le périmètre devient avec le temps plus difficile à cibler pour les acteurs malveillants, ils se déplaceront vers une autre partie de la surface d’attaque, moins bien défendue.
« Il est crucial de comprendre la nature cyclique des discussions sur la sécurité, où les attaquants exploitent les vulnérabilités et où les défenseurs s'efforcent de les contrecarrer. Ces mécanismes de défense incitent les attaquants à rechercher de nouveaux points d’entrée ou à intensifier leurs efforts », conclut Werner.
« L’efficacité de la défense se mesure en rendant trop coûteux pour les attaquants de trouver une voie gagnante. Cependant, évaluer le succès reste un défi pour les défenseurs en raison des objectifs variables des attaquants.
À mesure que ces objectifs continuent d’évoluer, les défenseurs des réseaux et la communauté des fournisseurs doivent s’adapter. Le défi est que, jusqu’à présent, l’agilité du côté attaquant a largement dépassé la vitesse de réponse.
