Une partie du travail des responsables de la cybersécurité consiste à examiner des événements distincts et à établir des liens entre eux. Dégager des tendances, avoir une vue d’ensemble, et aller au-delà des avertissements alarmants, vers des stratégies pour un avenir numérique plus radieux. L’attaque par ransomware contre Kaseya qui s’est déroulée le week-end du 4 juillet 2021, aussi terrible soit-elle, a été l’occasion de comprendre les différents aspects de cette attaque de la supply chain et de tirer des conclusions.
L’attaque de Kaseya a touché des milliers d’entreprises, pour la plupart, selon le rapport sur les dommages de Kaseya, de petites organisations : cliniques dentaires, cabinets d’architectes, centres de chirurgie plastique, bibliothèques, etc. Les attaquants ont trouvé un intérêt économique dans le fait que Kaseya était utilisé par des MSP (fournisseurs de services gérés), leur permettant de toucher par rebond de nombreuses autres entreprises utilisant leur service, et ont infesté un logiciel de Kaseya devenant par là même un centre de distribution efficace pour leurs logiciels malveillants, et un vecteur de propagation rapide.
La stratégie est la même que pour l’attaque contre SolarWinds à la fin de 2020. Là encore, l’infiltration d’un fournisseur de logiciels a fait des victimes parmi une longue liste de cibles. Et le coupable apparent de l’attaque Kaseya, REvil, lié à un groupe de hackers opérant notamment depuis la Russie, serait également responsable de l’attaque par ransomware contre le producteur international de viande JBS en 2021.
Les conclusions sont évidentes :
– Les attaques de fournisseurs de logiciel (et de façon générale, les attaques de la chaîne d’approvisionnement) permettent de cibler, de façon rentable et massive, de plus petites cibles.
– Le recours uniquement aux stratégies traditionnelles de prévention ne permet pas de stopper ces cyberattaques plus sophistiquées et continue d’aboutir à des défaites coûteuses pour les entreprises. Les logiciels malveillants pénètrent régulièrement dans les périmètres des cibles sans être détectés.
– Les entreprises ne réexaminent pas leur position face aux cybermenaces, du moins pas avec la rapidité nécessaire. Les similitudes entre les attaques de SolarWinds, Colonial Pipeline, JBS et Kaseya sont assez claires et nous donnent une courbe d’apprentissage à prendre en compte.
Selon une étude de Vectra AI, les équipes de sécurité sont très confiantes dans l’efficacité des mesures de sécurité de leur propre entreprise et déclarent avoir une bonne visibilité des attaques qui contournent les défenses périmétriques telles que les pares-feux. En réalité, nous savons qu’aucune application, aucun réseau ni aucun centre de données n’est invulnérable. Si les dirigeants d’une organisation nourrissent un faux sentiment de sécurité quant à leur capacité à se défendre contre les attaques, il est probable qu’ils ne disposent pas des outils nécessaires pour réussir.
L’attaque de Kaseya est un autre rappel que la complaisance peut avoir un prix terrible. Étant donné que le risque de préjudice n’est plus limité aux grandes entreprises, l’incident devrait déclencher de nouvelles discussions sur la sécurité dans un plus grand nombre de départements informatiques. Les relations avec les fournisseurs, partenaires… et les politiques de sécurité des fournisseurs de services gérés devraient faire l’objet d’un nouvel examen. Lorsque votre entreprise s’appuie sur des produits tels que Kaseya VSA, votre sécurité dépend de celle de votre fournisseur. À mesure que les entreprises deviennent plus dépendantes de solutions tierces, du stockage des données et des solutions SaaS externalisées dans le cloud, les vulnérabilités peuvent augmenter.
A chaque fois que nous entendons parler d’une attaque majeure par ransomware, nous disons qu’il faudra des mois pour connaître l’étendue des dégâts. Toutefois, nous devons être optimistes et croire qu’en tant que société numérique, nous allons nous ressaisir et renverser la situation. Depuis des années, nous avons compris les vertus d’une surveillance robuste des réseaux et d’une détection rapide des inévitables brèches. Les chefs d’entreprise du monde entier doivent répondre aux attaques de ransomware comme celle de Kaseya en accélérant leur migration vers une stratégie de cybersécurité plus efficace.
On se souviendra peut-être un jour de la calamité de Kaseya comme d’un tournant qui a finalement conduit à une meilleure approche de la cybersécurité.
De la prévention à la détection
Compte tenu des attaques actuelles en matière de ransomware, un système de protection et supervision moderne doit se concentrer sur les phases initiales de la menace, avec une détection des signaux de commande et de contrôle, l’identification d’abus de comptes… C’est une course contre la montre pour trouver la présence des attaquants avant qu’ils n’exfiltrent les données et ne détruisent des informations essentielles à l’organisation via le ransomware. Les contrôles préventifs sont essentiels, mais ils ne suffisent plus. En plus d’empêcher les auteurs de logiciels malveillants d’entrer, il faut désormais disposer d’une visibilité totale sur vos environnements et intégrer des capacités de détection et de réponse avancées pour atténuer les menaces qui contournent déjà les contrôles existants.
Avec une configuration adéquate, la technologie de Threat Detection and Response (TDR) peut fournir une protection efficace contre les attaques de ransomware. Vectra AI propose des logiciels innovants et efficaces qui détectent et combattent les menaces numériques à un stade précoce, en exploitant le Machine Learning pour détecter les comportements suspects, avertir les utilisateurs et protéger efficacement les entreprises des activités frauduleuses.
A propos de Vectra
Vectra® est un leader dans la détection et la réponse aux menaces pour les entreprises hybrides et multi-clouds. La plateforme Vectra utilise l’IA pour détecter rapidement les menaces sur le cloud public, les identités, les applications SaaS et les Data centers. Vectra optimise l’IA pour détecter les méthodes des attaquants – les TTP au cœur de toutes les attaques – plutôt que d’alerter de manière simpliste sur les “différences ou anomalies”. Le signal de menace haute-fidélité et le contexte clair qui en résultent permettent aux équipes de sécurité de répondre plus rapidement aux menaces et d’arrêter plus vite les attaques en cours. Des organisations du monde entier font confiance à Vectra pour assurer leur résilience en matière de cybersécurité face aux dangereuses cybermenaces et pour empêcher les ransomwares, les attaques via la chaîne d’approvisionnement, les compromissions d’identité et autres cyberattaques d’avoir un impact sur leurs activités.
