Alors que nous nous adaptons tous au travail à distance, les équipes de sécurité du monde entier sont aux prises avec un défi très sérieux. Presque du jour au lendemain, nos entreprises ont changé. Des procédures bien établies sont en cours de réécriture, les meilleures pratiques sont rapidement repensées et les politiques sont mises à rude épreuve.
La transformation commerciale est toujours un risque pour la sécurité. Les nouvelles technologies et pratiques de travail nécessitent de nouvelles mesures de sécurité; mais normalement ce risque est géré avec soin et dans le temps. Covid-19 ne nous a pas offert ce luxe. Pour certaines entreprises, l'ampleur et la vitesse de ce changement seront sans précédent. Il est également très public; les attaquants sont conscients de la situation et l'exploitent déjà. Voici quelques-unes des menaces les plus graves auxquelles les équipes de sécurité seront confrontées au cours des prochaines semaines.
Sommaire
Faites preuve de prudence et de bon sens dans votre boîte de réception
Le changement apporte de la nouveauté et la nouveauté offre des opportunités aux escrocs. Au cours des 48 dernières heures, les équipes de sécurité interne se sont précipitées pour déployer les outils de travail à distance essentiels. Liens pour télécharger de nouveaux logiciels, modifications de la façon dont nous authentifions les services. Lorsque vous ne savez pas à quoi vous attendre, la formation des employés sur le repérage de l'ingénierie sociale sort par la fenêtre. Les employés et les services informatiques doivent se méfier des appels et des demandes inattendus:
"Bonjour, je vous appelle du service informatique, pouvez-vous s'il vous plaît me lire votre code 2FA pour confirmer que vous avez été transféré vers le nouveau système Duo?"
"Bonjour, j'ai oublié mon mot de passe O365, pouvez-vous envoyer un code de réinitialisation par e-mail à mon compte Gmail personnel?"
De telles demandes peuvent être légitimes et doivent être résolues en dehors des canaux normaux. Il incombera aux individus d'être prudents, de faire preuve de bon sens et de valider le cas échéant.
Les lanceurs d'hameçonnage auront également amplement l'occasion de se faire passer pour des tiers et des clients:
«Salut John, je dois reprogrammer notre réunion la semaine prochaine pour être éloigné. Veuillez consulter le lien ci-dessous pour une invitation à l'appel Zoom. »
Ces risques seront exacerbés par l'assouplissement simultané des contrôles de sécurité afin de faciliter l'utilisation de logiciels de conférence Web non standard et le partage de fichiers par courrier électronique. Les attaquants auront à la fois l'opportunité et les moyens.
Élargir le paysage des menaces
L'affaiblissement des contrôles de sécurité va bien au-delà de l'assouplissement des règles de pare-feu et de la politique de messagerie. De nombreuses couches de sécurité existantes ne s'appliqueront pas aux travailleurs distants. Les employés qui emportent soudainement leur ordinateur de travail avec eux se verront privés de protection lorsqu'ils échangeront le réseau de leur bureau pour le Wi-Fi à domicile. Sans proxy Internet, NAC, IDS et NGFW, les appareils clients seront désormais exposés sur des réseaux potentiellement non sécurisés parmi des appareils potentiellement compromis. La sécurité des terminaux devra supporter le plein poids de la protection.
La sécurité du réseau interne peut également être compromise; les employés peuvent avoir besoin d'accéder à des ressources auparavant uniquement accessibles sur un réseau câblé en un seul endroit. Pour le rendre accessible sur VPN, la segmentation interne devra peut-être être aplatie. Cela ouvrira la porte à la propagation de logiciels malveillants et aux mouvements latéraux. Il peut être nécessaire de désactiver l'authentification par certificat client protégeant les services Web pour permettre au BYOD de fonctionner pour les employés qui n'ont pas d'ordinateur portable d'entreprise.
Ces modifications doivent être scrupuleusement enregistrées et les dépendances comprises. Le poids supplémentaire devra être transporté ailleurs: peut-être que les politiques de l'hôte AV peuvent être renforcées pour compenser le manque de protection du réseau, peut-être que les appareils des employés peuvent être reconfigurés pour utiliser un fournisseur DNS externe sécurisé au lieu du serveur DNS sur site.
Une nouvelle vague d'attaques
Au-delà de l'affaiblissement des contrôles existants, la refonte de nouvelles infrastructures entraînera de nouveaux risques. En janvier, nous avons assisté à une vague d'attaques contre l'infrastructure Citrix Web. Les entreprises déploieront rapidement des passerelles VPN, passeront à Sharepoint et étendront leur périmètre Internet. Cette surface d'attaque rapidement augmentée devra être surveillée et protégée. Les équipes de sécurité doivent être en alerte accrue pour les attaques par force brute et côté serveur. La protection DDoS deviendra également plus importante que jamais; pour de nombreuses entreprises, ce sera la première fois qu'une attaque DDoS pourrait paralyser leur entreprise en empêchant les travailleurs distants d'accéder aux services sur Internet. Nous devrions nous attendre à voir une forte augmentation de ces deux formes d'attaque immédiatement.
Ne prenez pas de décisions précipitées
"Mettez-le dans un compartiment S3", "utilisons plutôt join.me à la place", "Je vous l'enverrai via WeTransfer".
Les informaticiens et les employés individuels seront confrontés à des bloqueurs. Il n’y aura pas de solution autorisée pour leurs besoins, et ces besoins pourraient bien être extrêmement urgents. À un moment où les entreprises sont extrêmement inquiètes de leur situation financière et de leur capacité à fonctionner, il y aura des pressions pour faire preuve de prudence et protéger «le statu quo». Cette pression peut même venir du haut. Le leadership en matière de sécurité doit faire de son mieux pour à la fois repousser les décisions imprudentes et fournir des solutions créatives.
Les employés bien intentionnés seront créatifs et la responsabilité sera déléguée aux chefs d'équipe de «faire ce qu'il faut». Il peut être impossible pour la sécurité de contrôler cela de manière centralisée, mais une surveillance vigilante sera nécessaire pour détecter les comportements à risque et les non-conformités. C'est plus facile à dire qu'à faire; le SOC sera invité à surveiller les incidents dans un océan de changements. Les cas d'utilisation et les règles existants ne s'appliqueront pas et les entreprises auront besoin d'une approche plus proactive et dynamique de la détection et de la réponse.
Votre maison est un environnement de confiance zéro pour les entreprises
Malheureusement, il y en aura au sein de nos entreprises qui voudront nous botter pendant que nous sommes en panne. Le travail à distance soudain est une aubaine pour les initiés malveillants. Les données peuvent désormais être facilement extraites d'un appareil de l'entreprise via USB dans l'intimité de leur propre domicile. La surveillance de la sécurité peut être totalement paralysée ou désactivée. Ce risque est plus difficile à gérer. Il n'est peut-être pas éliminable, mais il peut être mis en balance avec le besoin de productivité et d'accès aux données.
Nous devons également nous méfier de ceux qui nous entourent. Nous espérons tous pouvoir faire confiance aux personnes avec qui nous vivons. Mais du point de vue de l'entreprise, les maisons des employés sont des environnements de confiance zéro. Les conversations confidentielles seront désormais menées à portée d'écoute clandestine. La propriété intellectuelle sera visible sur les écrans et les moniteurs dans les salons du pays. Ce risque est plus grand pour les jeunes démographes susceptibles de partager la maison, mais il demeure pour tous les travailleurs; livreurs, visiteurs de la maison – ils pourraient tous potentiellement voler un ordinateur portable de l'entreprise à la table de la cuisine. L'éducation des employés dans des groupes à risque en particulier sera essentielle.
S'adapter à la nouvelle normale
Les systèmes d'IA qui peuvent évoluer en permanence et s'adapter au changement offriront les meilleures chances de détecter les erreurs de configuration, les attaques et les comportements à risque – lorsque vous ne savez pas quoi rechercher, vous avez besoin d'une technologie capable d'identifier les modèles et de quantifier les risques pour vous . La technologie de réponse autonome peut également intervenir chirurgicalement pour arrêter une activité malveillante lorsque les équipes ne peuvent pas être là pour l'arrêter, protégeant ainsi les appareils et les systèmes tout en permettant aux opérations essentielles de ne pas être affectées.
Tous les changements et risques ci-dessus créent un cauchemar de surveillance pour les SOC. Nous entrons dans une période d'inconnu numérique, où le changement sera la nouvelle norme. Les flux de données et la topologie changeront. De nouvelles technologies et de nouveaux services seront déployés. Les formats d'enregistrement seront différents. Les cas d'utilisation du SIEM qui ont mis 12 mois à se développer devront être supprimés du jour au lendemain. Au cours des prochaines semaines, les pratiques commerciales évolueront rapidement.
Les défenses et règles statiques ne pourront pas suivre, peu importe avec quelle diligence et rapidité nous les réécrivons. Comment allez-vous repérer une tentative de connexion malveillante à O365 dans vos journaux d'audit maintenant que les connexions proviennent de milliers d'emplacements différents à travers le monde? Les entreprises doivent tirer parti de la technologie qui peut leur permettre de continuer à fonctionner dans l'incertitude sans étouffer la productivité à ce moment critique. Plus critique encore, contenir ces menaces est d'une importance capitale – il ne sera pas possible de mettre entièrement en quarantaine une machine infectée si elle ne peut pas être réimagée ou remplacée pendant des jours.
Andrew Tsonchev est directeur de la technologie chez Darktrace