Récits du centre d'opérations de sécurité (SOC)

La fréquence et la diversité des cyberattaques augmentant chaque jour, des mesures de sécurité exhaustives n'ont jamais été aussi indispensables. Les analystes des centres d'opérations de sécurité (SOC) des services mondiaux de détection et de réponse étendues (XDR) sont confrontés chaque jour à des dizaines, voire des centaines d'alarmes et d'événements. Comment ces experts en sécurité parviennent-ils à compiler l'avalanche de menaces potentielles sur une surface d'attaque vaste et diversifiée ?

Ci-dessous, vous trouverez trois exemples réels de cyberattaques observées par les équipes SOC de Barracuda XDR. Chacun met en évidence la façon dont les lacunes en matière de cybersécurité peuvent affecter les issues de ces attaques.

Scénario 1 : attaque par ransomware et violation de données d'une société informatique

Un client s'est abonné à Managed Endpoint Security de Barracuda XDR, mais uniquement pour les appareils pour lesquels il avait déjà une visibilité. Cela a révélé une faille de sécurité qui a fini par être exploitée. Dans ce cas, la brèche initiale a été favorisée par la compromission du VPN SSL d'un firewall qui n'activait pas l'authentification multifacteur (MFA). Le pirate a ainsi pu exploiter une vulnérabilité zero-day pour pénétrer dans l'entreprise. Le pirate s'est ensuite déplacé latéralement sur le réseau, compromettant des serveurs, élevant les privilèges, manipulant les comptes et groupes d'administrateurs et instaurant des canaux de communication non autorisés avec un serveur de commande et de contrôle (C&C) malicieux.

L'absence de mesures de sécurité robustes à plusieurs niveaux de l'infrastructure du réseau a permis au pirate d'exploiter diverses vulnérabilités, ce qui a considérablement perturbé et compromis le réseau.

Au cours de l'attaque, l'acteur malveillant a utilisé divers outils pour exploiter les failles de sécurité, compromettre le système, exécuter des activités malicieuses et échapper à la détection. Ces outils permettent notamment de prendre le contrôle à distance, d'établir une connexion réseau persistante, de faciliter les déplacements latéraux ou de favoriser l'exfiltration de données.

Comme beaucoup d'autres acteurs de la menace, le pirate s'est tourné vers des outils informatiques disponibles dans le commerce qui, s'ils étaient détectés individuellement, n'éveilleraient pas immédiatement les soupçons. Entre les mains d'un pirate, ils servent à des activités telles que le téléchargement à distance de charges utiles ou de scripts malicieux ou l'analyse de réseaux pour identifier les ports ouverts, les services en cours d'exécution et d'autres attributs du réseau qui pourraient être exploités ultérieurement ou pour identifier d'autres cibles.

L'attaque par ransomware, qui a également entraîné l'exfiltration de données, a provoqué des perturbations opérationnelles, conduisant à l'arrêt des services et à la probabilité de pertes financières importantes. Le vol de données a aggravé le préjudice avec la perte de propriété intellectuelle, de données clients et de violations de la conformité.

Cet incident souligne la nécessité d'une stratégie de sécurité globale fondée sur une approche holistique, allant au-delà de la protection des points de terminaison et englobant la sécurité des réseaux, des serveurs, du cloud et des e-mails.

Scénario 2 : attaques par ransomware contre un fabricant

Dans le cadre de cette attaque, l'acteur malveillant a exploité des identifiants compromis pour accéder sans autorisation à un serveur RDP (Remote Desktop Protocol), en utilisant un outil courant pour forcer un compte VPN.

Les pirates ont tiré pleinement parti des erreurs de configuration en matière de sécurité, qui excluaient notamment à tort des répertoires système essentiels. Ces négligences critiques ont entraîné la compromission de plus de 100 appareils, ce qui a perturbé le système ERP de la victime. L'acteur malveillant a également supprimé les données de sauvegarde de l'organisation.

Comme lors du premier incident, les pirates ont utilisé divers outils pour compromettre le système, effectuer des attaques par force brute, extraire des mots de passe, rechercher des failles de sécurité et contribuer à des mouvements latéraux et à l'exécution de codes à distance.

La faille la sécurité a considérablement perturbé les opérations de l'entreprise, entraînant des pertes financières importantes. La compromission du réseau a interrompu les activités de production, retardant les calendriers de fabrication. En outre, la perte des données de sauvegarde a prolongé le temps d'arrêt et le processus de reprise. Il a fallu plus de deux mois à l'entreprise pour reprendre pleinement ses activités.

Un déploiement partiel des solutions de sécurité a rendu ce client vulnérable à ce type d'attaques.

Scénario 3 : attaques par ransomware contre un détaillant

Dans notre troisième exemple, des actifs exposés, une authentification faible et un manque de visibilité de la sécurité connectée ont exposé un serveur critique avec son Remote Desktop Protocol (RDP) à Internet public. L'acteur malveillant a profité du canal RDP ouvert pour s'infiltrer dans le réseau, cibler les contrôleurs de domaine (DC) et y créer des comptes qu'il a ensuite supprimés pour brouiller les pistes.

Ce niveau d'accès a permis au pirate de compromettre l'intégrité et la confidentialité du réseau. L'acteur malveillant a extrait des données sensibles des serveurs de fichiers et a vendu les informations volées sur le dark web.

Les pirates ont exploité un outil d'émulation de menace courant qui peut être utilisé pour maintenir la persistance, augmenter les privilèges, se déplacer latéralement et voler des données. À cela se sont ajoutés des outils de décodage de mots de passe et des outils qui auraient aidé les pirates à mieux comprendre et à cartographier l'environnement de la victime en vue d'une exploitation plus poussée.

Le vol et l'exposition de données sensibles sur le dark web ont été les principales retombées de la violation. Les serveurs de fichiers critiques compromis au cours de l'attaque contenaient une propriété intellectuelle précieuse et des informations sensibles sur les clients, dont la divulgation non autorisée a porté atteinte à la réputation et ébranlé la confiance de la clientèle.

Comme dans les deux premiers exemples, cette violation a mis en évidence la nécessité d'une stratégie holistique en matière de cybersécurité.

Les avantages d'une couverture complète de cybersécurité

Ces trois attaques sont un rappel frappant du fait que des mesures de sécurité incomplètes peuvent rendre les organisations vulnérables à des attaques qui pourraient avoir des conséquences considérables, tant sur le plan financier que sur la réputation de l'entreprise. En outre, un manque de visibilité de la sécurité dans l'ensemble de l'environnement signifie qu'une activité suspecte est plus difficile à repérer et à relier à d'autres activités, ce qui peut retarder ou empêcher une réponse rapide et complète à l'attaque. N'oublions pas que ces trois organisations disposaient de quelques solutions de sécurité ; comme elles n'avaient pas investi dans une suite holistique de systèmes de cybersécurité protégeant l'ensemble de leur écosystème informatique (cloud, serveurs, réseaux, applications, etc.), des lacunes critiques ont pu être facilement exploitées.

L'intégration de la sécurité du réseau, des points de terminaison, des serveurs, du cloud et des e-mails par le biais de XDR permet une détection des menaces et une capacité de réponse sans précédent. Et ce, grâce aux données. Avec une solution XDR complète, chaque élément de l'infrastructure informatique, des e-mails aux applications cloud, est surveillé et protégé par des mesures de sécurité avancées et un éventail complet d'outils de défense alliés à des stratégies proactives de traque et de réponse aux menaces. Cela permet d'agir rapidement et de minimiser la fenêtre d'opportunité pour les acteurs malveillants.

Remarque : cet article a été initialement publié dans Managed Services Journal.