.png)
Relever la barre pour les attaquants : Comment la micro-segmentation peut protéger les organisations contre les attaques de type Kaseya
L'une des raisons pour lesquelles les fournisseurs de sécurité informatique ne peuvent jamais baisser la garde est l'innovation constante de la communauté des cybercriminels. Les connaissances se répandent largement sur les forums clandestins à une vitesse qui peut prendre de nombreuses organisations par surprise. Ainsi, lorsque nous avons vu certaines des techniques utilisées dans la tristement célèbre campagne de SolarWinds appliquées aux récentes attaques de ransomware de Kaseya, nous n'aurions pas dû être surpris.
Cependant, en déployant une micro-segmentation aux bons endroits, les organisations auraient pu rendre la vie beaucoup plus difficile aux malfaiteurs - à la fois en minimisant le risque d'exploitation initiale du jour zéro et en bloquant les communications de commande et de contrôle ultérieures.
Que s'est-il passé lors de l'attaque de Kaseya ?
Kaseya fournit des logiciels principalement aux fournisseurs de services gérés (MSP) afin de rationaliser les tâches informatiques essentielles telles que l'application de correctifs et la surveillance à distance pour les petites et moyennes entreprises. Comme dans le cas du logiciel SolarWinds, le produit Kaseya VSA visé par cette attaque bénéficie d'un accès hautement privilégié pour effectuer ses tâches principales de surveillance et de gestion à distance des réseaux et des appareils informatiques, ce qui en fait le choix idéal pour diffuser des logiciels malveillants à grande échelle.
La nature des clients de Kaseya constitue un avantage supplémentaire pour les affiliés du ransomware REvil à l'origine de l'attaque. En tant que MSP, ils ont chacun de nombreux clients que les attaquants pourraient infecter et extorquer. C'est un bon retour sur investissement pour les cybercriminels qui cherchent à se faire de l'argent facilement.
Kaseya a détaillé sa réponse à l'attaque. Le fournisseur a été informé de la violation le 2 juillet, juste avant le week-end des vacances aux États-Unis. Il semble que les auteurs de la menace aient utilisé un exploit de contournement d'authentification de type "zero-day" dans l'interface web de la solution Kaseya VSA sur site. Cela leur a permis d'obtenir une session authentifiée, de télécharger leur charge utile, puis d'exécuter des commandes par injection SQL.
En accédant aux serveurs Kaseya VSA des MSP, ils ont pu envoyer une fausse mise à jour aux clients de ces organisations, baptisée "Kaseya VSA Agent Hot-fix", qui était en fait le ransomware REvil/Sodinokibi.
Moins de 60 MSP sur un potentiel de 40 000 clients auraient été touchés. Mais par ricochet, les clients en aval des MSP ont été infectés par le ransomware, soit un total d'environ 1 500 organisations à travers le monde, des écoles aux supermarchés.
Un correctif pour la vulnérabilité zero-day exploitée a été publié, mais pour ces entreprises compromises, il est trop tard.
Comment la micro-segmentation peut vous aider : Trafic entrant
Les MSP auraient pu limiter la violation initiale en restreignant l'accès administratif à l'interface web de Kaseya VSA. De cette manière, seuls les utilisateurs autorisés spécifiques d'un petit ensemble d'hôtes bastion pourront accéder au logiciel Kaseya sur les ports de gestion.
En fait, ils utiliseraient la micro-segmentation pour réduire la surface d'attaque, en mettant des barrières supplémentaires sur le chemin des cybercriminels, de sorte qu'ils doivent travailler beaucoup plus dur pour déployer un exploit de type "zero-day". Combinez cela avec l'authentification multifactorielle pour ces utilisateurs autorisés limités, et vous aurez rendu exponentiellement plus difficile pour les cybercriminels de s'introduire dans votre réseau.
En les obligeant à passer plus de temps et à faire plus de "bruit" lorsqu'ils parcourent un réseau à la recherche d'une porte déverrouillée, vous aidez également vos outils de détection et de réponse aux menaces à les "entendre" lorsqu'ils se faufilent dans l'obscurité.
Comment la micro-segmentation peut vous aider : Trafic sortant
La deuxième utilité de la micro-segmentation concerne les communications sortantes entre les terminaux infectés et l'internet.
À un moment donné, les cybercriminels ont généralement besoin de communiquer avec leur serveur de commande et de contrôle (C&C) pour fournir des instructions et télécharger des charges utiles malveillantes. En veillant à ce que les politiques limitent la connectivité sortante de l'infrastructure Kaseya aux seules adresses IP connues et pré-approuvées, vous pouvez arrêter les attaquants dans leur élan. Si les criminels ne peuvent pas communiquer avec leurs propres serveurs, ils ne peuvent pas passer à l'étape suivante de l'attaque.
La confiance zéro commence par la segmentation
Pour protéger votre organisation contre les attaques de ransomware comme celles de Kaseya et SolarWinds, les organisations doivent développer des politiques et des pratiques de confiance zéro solides et complètes dans l'ensemble de leur infrastructure informatique. Et la confiance zéro commence par la segmentation, car des brèches se produiront et les criminels trouveront une porte déverrouillée quelque part sur votre réseau. L'essentiel est de s'assurer qu'ils ne peuvent pas aller plus loin.
Il n'y a pas de solution miracle en matière de sécurité. Mais en appliquant une micro-segmentation de ce type, vous avez de grandes chances de rendre la vie beaucoup plus difficile à vos attaquants, d'améliorer au moins les chances de détection et, idéalement, de les forcer à abandonner et à passer à autre chose.
