Suite à de nombreuses brèches très médiatisées aux mains de gangs cybercriminels, Cisco ne se réjouit certainement pas de confirmer une brèche dans son réseau d'entreprise lors d'une récente attaque d'extorsion par le groupe de ransomware Yanluowang.
Les rapports de l'industrie confirmant la compromission réussie des informations d'identification d'un employé de Cisco comme élément déclencheur, cette nouvelle nous rappelle une fois de plus à quel point l'abus d'accès à distance peut être destructeur.
Figure 1. Menaces de rançon Yanluowang. Source : Twitter
Dans ce cas, l'abus initial du VPN de Cisco a été facilité par des identifiants d'entreprise volés à partir du compte Google personnel de l'employé de Cisco.
Une fois authentifiés (grâce à d'autres techniques d'ingénierie sociale et d'hameçonnage vocal), les attaquants ont pu accéder aux réseaux d'entreprise de Cisco, ont inscrit un certain nombre d'appareils à l'authentification multifactorielle et ont finalement exfiltré des données à des fins de rançon et d'extorsion.
Une fois encore, à l'instar des tactiques, techniques et procédures (TTP) utilisées par des groupes similaires tels que Lapsus$ et UNC2447, nous constatons que l'accès à distance authentifié via un VPN est un vecteur de menace essentiel qui facilite le vol de données. Le groupe Yanluowang affirme avoir volé environ 2,8 Go de données.
Comme l'indiquent les équipes de sécurité de Cisco, l'attaquant a ensuite augmenté ses privilèges jusqu'au niveau administrateur, ce qui lui a permis de manœuvrer à l'intérieur du réseau et de se connecter avec succès à plusieurs systèmes. C'est là que réside le risque critique des mouvements latéraux facilités par un accès VPN non restreint.
Pourquoi ces violations se produisent-elles ?
Les effectifs hybrides, dont la frontière entre les applications personnelles et les applications professionnelles est floue, présentent des défis uniques et des risques accrus. Malheureusement, ce n'est pas le genre de risques qui peut être atténué avec quelques produits différents !
Les techniques d'ingénierie sociale et d'hameçonnage employées par les cybercriminels n'ont rien de nouveau. Toutefois, on ne peut ignorer la tendance persistante des employés d'entreprises à se faire duper par des méthodes convaincantes.
Figure 2. Correspondance entre les attaquants et le personnel de Cisco au sujet de la rançon. Source : Twitter
Alors que les effectifs hybrides ne cessent de croître, les attaquants cherchent de plus en plus à obtenir des informations d'identification pour l'accès à distance. Pourquoi ? La grande majorité des entreprises n'ont pas encore abandonné leurs technologies VPN traditionnelles qui permettent un accès illimité aux environnements de l'entreprise une fois l'authentification effectuée.
Une fois que ces attaquants ont acquis les outils d'accès à distance et les informations d'identification nécessaires, ils s'efforcent généralement de tromper les victimes en utilisant des tactiques d'ingénierie sociale pour contourner les contrôles d'authentification multifactorielle qui suivent généralement.
Les réseaux privés virtuels (VPN) traditionnels présentent le risque d'une exposition excessive des données, car tout utilisateur distant disposant de clés de connexion valides peut obtenir un accès complet à l'ensemble du réseau interne de l'entreprise et à toutes les ressources qui s'y trouvent.
Tout comme les travailleurs hybrides sont généralement d'accord pour travailler à distance, vous pouvez parier que les acteurs de la menace sont bien conscients de la valeur de l'accès à distance !
Dans le contexte de cet incident impliquant Cisco, il est clair qu'un accès à distance compromis, des mouvements latéraux et une utilisation abusive des privilèges peuvent être préjudiciables, même pour les plus grandes entreprises technologiques.
Que peut-on faire ?
Compte tenu de la compétence avérée des acteurs de la menace à utiliser un large éventail de tactiques pour obtenir un accès initial, la formation des utilisateurs est une exigence vitale pour contrer les techniques de contournement de l'authentification multifactorielle.
Compte tenu de l'utilisation abusive des privilèges administratifs par l'attaquant, appliquez des contrôles stricts des appareils afin de limiter ou de bloquer l'inscription et l'accès aux applications, réseaux et services de l'entreprise à partir d'appareils non gérés ou inconnus.
Figure 3. Skyhigh Security: Segmenter les réseaux privés et les applications avec des connexions directes Zero Trust
La segmentation du réseau est un autre contrôle de sécurité essentiel que les organisations devraient utiliser, car elle offre une protection renforcée pour les actifs de grande valeur et aide à prévenir les mouvements latéraux et les tentatives d'exfiltration de données dans les situations où un adversaire est en mesure d'obtenir un accès initial à l'environnement.
Pour faciliter l'adoption de ces orientations, les organisations devraient éviter d'avoir un seul tuyau d'entrée et de sortie de leur réseau. Dans une architecture de confiance zéro, les réseaux sont plutôt segmentés en fragments plus petits où des charges de travail spécifiques sont contenues. Chaque fragment peut avoir ses propres contrôles d'entrée et de sortie, ses contrôles de posture, ses contrôles d'accès contextuels, ses protections de données, et bien d'autres choses encore, afin de minimiser le "rayon d'action" des accès non autorisés.
Avec une méthodologie de confiance zéro, vous augmentez la difficulté pour les acteurs non autorisés de se propager dans vos réseaux, réduisant ainsi le mouvement latéral des menaces.
Alors que les données continuent d'être disséminées dans nos infrastructures en nuage pour favoriser la productivité, assurez-vous non seulement de mettre en place des contrôles de collaboration tenant compte du contenu entre les applications en nuage, mais aussi de mettre en œuvre des capacités Data Loss Prevention pour éviter de sacrifier la sécurité aux mains d'une simple session VPN compromise.