Table des matières:
- Anatomie d'une attaque de phishing intelligente
- Audit des communications externes
- Comment se protéger
Vidéo: Ce que l'on vit (Novembre 2024)
Vous avez maintenant entendu dire qu'une enquête menée conjointement par le FBI et le département américain de la Sécurité intérieure a conduit à un rapport selon lequel des agents russes auraient piraté des entreprises appartenant au réseau électrique américain. Les attaques sont décrites en détail dans un rapport de l'US-CERT (US Computer Emergency Readiness Team) décrivant comment les assaillants ont pu pénétrer dans les installations énergétiques et ce qu'ils ont fait avec les informations qu'ils ont volées.
Anatomie d'une attaque de phishing intelligente
Un des principaux moyens d’avoir accès au partenaire plus petit était de trouver des informations publiques qui, combinées à d’autres informations, fourniraient le niveau de détail nécessaire pour la prochaine étape. Par exemple, un attaquant pourrait consulter le site Web d'une entreprise qui fait affaire avec la cible ultime et y trouver l'adresse e-mail d'un dirigeant de la société du partenaire ou de la cible ultime. L'attaquant peut ensuite examiner d'autres informations sur les sites Web des deux sociétés pour déterminer la relation, les services fournis par qui et des informations sur la structure de chaque société.
Armé de ces informations, l’attaquant peut commencer à envoyer des courriels de phishing extrêmement convaincants à partir de ce qui semble être une adresse électronique légitime; celles avec suffisamment de détails conçus pour vaincre les filtres anti-hameçonnage mis en place au niveau du pare-feu ou du niveau de protection des terminaux gérés. Les e-mails de phishing seraient conçus pour collecter les identifiants de connexion de la personne ciblée. Si l'un d'entre eux réussissait, les attaquants contournaient instantanément les mesures de gestion des identités en place et présentes dans le réseau cible.
Avec les révélations sur la collecte d'informations d'utilisateur sur Facebook, la nature de la menace se développe. Dans une brèche menée sous le couvert de recherches universitaires à partir de 2014, un chercheur russe a eu accès à environ 50 millions de profils d'utilisateurs membres de Facebook américains. Ces profils ont été confiés à Cambridge Analytica. Des enquêtes ultérieures ont révélé que ces données avaient été collectées sans l'autorisation de ces utilisateurs de Facebook, puis utilisées à mauvais escient.
Audit des communications externes
Cela soulève la question de savoir quelles informations les entreprises prudentes devraient mettre à disposition via leurs sites Web. Pire encore, cette requête doit probablement s’étendre aux présences des médias sociaux de l’organisation, aux canaux de marketing tiers, tels que Youtube, et même aux profils de médias sociaux employés de haut niveau.
"Je pense qu'ils doivent faire preuve de circonspection à propos du contenu de leurs sites Web", a déclaré Leo Taddeo, responsable de la sécurité de l'information chez Cyxtera, ancien agent spécial responsable de la division Cyber du bureau du FBI à New York. "Il existe un grand potentiel de divulgation d'informations par inadvertance."
Taddeo a déclaré qu'un bon exemple est celui des offres d'emploi dans lesquelles vous pouvez révéler les outils que vous utilisez pour le développement ou même les spécialités de sécurité que vous recherchez. "Les entreprises peuvent s'exposer de nombreuses façons. Il y a une grande surface. Pas seulement le site Web, pas seulement les communications délibérées", a-t-il déclaré.
Taddeo a averti que les sites de médias professionnels, tels que LinkedIn, constituaient également un risque pour ceux qui ne faisaient pas attention. Il a déclaré que les adversaires créent de faux comptes sur de tels sites Web qui dissimulent qui ils sont vraiment et utilisent ensuite les informations de leurs contacts. "Tout ce qu'ils publient sur les sites de médias sociaux peut compromettre leur employeur", a-t-il déclaré.
Étant donné que les mauvais acteurs qui vous ciblent peuvent vouloir utiliser vos données ou une organisation avec laquelle vous travaillez, la question n'est pas simplement de savoir comment vous protéger, mais comment protéger également votre partenaire commercial. Cela est compliqué par le fait que vous ne savez peut-être pas si les attaquants veulent récupérer vos données ou vous voient simplement comme un tremplin et peut-être un lieu de rassemblement pour la prochaine attaque.
Comment se protéger
De toute façon, vous pouvez prendre certaines mesures. La meilleure façon de procéder consiste à effectuer un audit de l'information. Énumérez tous les canaux que votre entreprise utilise pour les communications externes, certainement le marketing, mais aussi les ressources humaines, les relations publiques et la chaîne d'approvisionnement, entre autres. Ensuite, créez une équipe d’audit regroupant les parties prenantes de tous les canaux concernés et commencez à analyser systématiquement ce qui est disponible et à rechercher des informations pouvant être utiles aux voleurs de données. Tout d’abord, commencez par le site Web de votre entreprise:
- Maintenant, considérez vos services cloud de la même manière. C'est souvent une configuration par défaut qui oblige les dirigeants de l'entreprise à administrer des services de cloud d'entreprise tiers, tels que les comptes Google Analytics ou Salesforce de votre entreprise, par exemple. S'ils n'ont pas besoin de ce niveau d'accès, envisagez de les laisser passer au statut d'utilisateur et de laisser des niveaux d'accès administratifs au personnel informatique dont les connexions par courrier électronique seraient plus difficiles à trouver.
Examinez le site Web de votre entreprise pour tout élément susceptible de fournir des détails sur votre travail ou les outils que vous utilisez. Par exemple, un écran d'ordinateur apparaissant sur une photo peut contenir des informations importantes. Recherchez des photos d’équipements de production ou d’infrastructures réseau susceptibles de fournir des indices utiles aux attaquants.
Regardez la liste du personnel. Avez-vous des adresses e-mail pour vos cadres supérieurs? Ces adresses fournissent non seulement à un attaquant une adresse de connexion potentielle, mais également un moyen d'usurper les courriers électroniques envoyés à d'autres employés. Pensez à remplacer les personnes ayant un lien vers un formulaire ou à utiliser une adresse électronique différente pour la consommation publique par rapport à un usage interne.
Votre site Web indique-t-il qui sont vos clients ou vos partenaires? Cela peut fournir à un attaquant un autre moyen d'attaquer votre organisation s'il rencontre des difficultés pour surmonter votre sécurité.
Vérifiez vos offres d'emploi. Que révèlent-ils sur les outils, les langues ou d'autres aspects de votre entreprise? Envisagez de faire appel à une entreprise de recrutement pour vous séparer de ces informations.
Examinez votre présence sur les réseaux sociaux, en gardant à l’esprit que vos adversaires vont certainement essayer d’exploiter des informations via ce canal. Voyez également combien d’informations sur votre entreprise sont révélées dans les publications de vos responsables. Vous ne pouvez pas tout contrôler des activités de vos employés sur les médias sociaux, mais vous pouvez en garder un œil.
Considérez votre architecture de réseau. Taddeo recommande une approche au besoin dans laquelle l’accès administrateur est accordé uniquement lorsque cela est nécessaire et uniquement pour le système nécessitant une intervention. Il suggère d'utiliser un périmètre défini par logiciel (SDP), développé à l'origine par le département américain de la Défense. "En fin de compte, les droits d'accès de chaque utilisateur sont modifiés de manière dynamique en fonction de la sensibilité de l'identité, du périphérique, du réseau et des applications", a-t-il déclaré. "Celles-ci sont guidées par des stratégies faciles à configurer. En alignant l'accès réseau avec l'accès aux applications, les utilisateurs restent pleinement productifs, tandis que la surface d'attaque est considérablement réduite."
Enfin, Taddeo a déclaré rechercher les vulnérabilités créées par shadow IT. À moins que vous ne le cherchiez, votre travail de sécurité pourrait être contourné car une personne aurait installé un routeur sans fil dans leur bureau afin de pouvoir utiliser plus facilement leur iPad personnel au travail. Les services de cloud tiers inconnus entrent également dans cette catégorie. Dans les grandes entreprises, il n’est pas rare que les chefs de service inscrivent leurs services pour des services cloud pratiques afin de contourner ce qu’ils considèrent comme une "paperasserie" informatique.
Cela peut inclure des services informatiques de base, tels que l’utilisation de Dropbox Business en tant que stockage réseau ou l’utilisation d’un autre service d’automatisation du marketing, car l’inscription à l’outil officiel soutenu par l’entreprise est trop lente et nécessite de remplir trop de formulaires. Les services logiciels tels que ceux-ci peuvent exposer des quantités de données sensibles sans que le service informatique n'en soit même conscient. Assurez-vous de savoir quelles applications sont utilisées dans votre organisation, par qui et que vous avez le contrôle absolu de l'accès.
Les travaux de vérification de ce genre sont fastidieux et prennent parfois beaucoup de temps, mais ils peuvent être très rentables à long terme. Tant que vos adversaires ne vous attaquent pas, vous ne savez pas ce que vous avez à gagner. Vous devez donc aborder la sécurité de manière flexible tout en gardant un œil sur ce qui compte dans votre vie. et le seul moyen de le faire est d’être parfaitement informé de ce qui se passe sur votre réseau.
