Les acteurs de la menace utilisent un certain nombre de techniques différentes pour accéder aux réseaux des entreprises afin de diffuser des ransomwares. Dans ce blog, nous examinons quatre des techniques d’attaques de réseaux les plus courantes ! L’objectif est d’aider les MSP à comprendre d’où viennent les menaces et où ils doivent concentrer leur attention pour protéger les réseaux de leurs clients.
D’où proviennent la plupart des menaces qui pèsent sur les réseaux ?
1 | L’ingénierie sociale
Même pour les grands gangs de ransomware, les attaques d’ingénierie sociale comme le phishing restent l’un des moyens les plus populaires (et les plus efficaces) pour introduire des logiciels malveillants dans une organisation. Les mails contenant des fichiers, tels que des documents Word, Excel ou PDF infectés, peuvent permettre aux malfaiteurs d’ouvrir une brèche et pénétrer dans le réseau de vos clients. Il suffit pour cela qu’un utilisateur peu méfiant ouvre ces documents…
2 | Phishing ou hameçonnage d’identité
Les auteurs de ces menaces créent un site web qui imite un site officiel et encouragent l’utilisateur à saisir les détails de son compte. Dans ce cas, l’utilisateur reçoit un mail ou un SMS l’informant qu’il a un problème de sécurité avec son appareil et que quelqu’un aimerait le rappeler pour résoudre le problème.
Au cours de cet appel, les malfaiteurs tenteront d’amener la victime à installer un logiciel d’accès à distance, ce qui permettra d’installer le logiciel malveillant. Bien que cela représente un peu plus d’efforts pour les malfaiteurs, ce type d’attaques de réseaux peut s’avérer très efficace pour eux.
3 | Exploitation des vulnérabilités
Tout système accessible au public peut être facilement scanné à la recherche de vulnérabilités connues qui n’ont pas été corrigées, puis ciblé pour être exploité. Alors que nous faisons nécessairement grand cas des vulnérabilités «Zero Day», M. Rasthofer a souligné un fait plus préoccupant : la majorité des exploits qu’il observe concernent en fait des systèmes présentant des vulnérabilités «N-Day», c’est-à-dire des vulnérabilités déjà bien connues et pour lesquelles un correctif est disponible. Les acteurs de la menace utilisent souvent ces vulnérabilités bien connues pour obtenir un accès et télécharger leur charge utile. Il existe également une version qui utilise des attaques par force brute pour cibler des services distants externes tels que RDP. Si votre RDP est publiquement exposé, vous devez vous demander si cela est vraiment nécessaire.
4 | Courtiers d’accès initial
Dans ce cas là, les acteurs de la menace récupèrent les identifiants de connexion de l’entreprise pour accéder aux systèmes. Une fois qu’ils y ont accès, ils n’essaient pas de se déplacer dans le réseau, mais vendent cet accès à d’autres acteurs de la menace et à des gangs de ransomwares qui procéderons aux attaques de réseaux.
Ces identifiants sont facilement disponibles sur différents marchés du Dark Web et coûtent en moyenne environ 4600 dollars pour les grandes organisations. Les identifiants RDP compromis peuvent être achetés pour beaucoup moins cher.
Procédures et solutions de sécurité pour se prémunir contre les attaques de réseaux
Cette liste est loin d’être exhaustive, mais elle représente les vecteurs les plus courants utilisés par les acteurs de la menace. Une liste plus complète des tactiques, techniques et procédures utilisées par les acteurs de la menace se trouve dans le rapport Mitre ATT&CK. Toutefois, le fait de connaître les éléments ci-dessus peut vous aider à trouver certaines des méthodes les plus efficaces pour protéger le réseau de vos clients, notamment (mais pas exclusivement) :
Protections des e-mails avec N-able Mail Assure pour empêcher les e-mails de phishing de passer.
Formation de sensibilisation à la sécurité pour que les utilisateurs puissent repérer une attaque de phishing et sachent ce qu’il faut faire.
Surveillance du Dark Web pour savoir si vos informations d’identification ont été compromises et sont en vente.
Filtrage DNS et protection web avec N-able DNS Filtering pour bloquer les sites usurpés ou malveillants et empêcher la communication avec des serveurs C2.
Il est essentiel que vous disposiez d’une solution de sauvegarde et de récupération solide pour que, en cas d’incident, vous puissiez remettre les systèmes en ligne le plus rapidement possible et avec le moins d’interruption et d’impact possible sur l’activité de votre client.
Cove Data Protection, de N-able, offre des sauvegardes fréquentes directes vers le Cloud, stocke les données de sauvegarde isolées du réseau local du client et vous aide à récupérer rapidement dans l’environnement de votre choix, y compris dans un environnement de récupération d’urgence sur Microsoft Azure.
Parce que Cove Data Protection isole les données de sauvegarde du réseau local de vos clients, il peut aider à atténuer les tactiques utilisées par les campagnes de menaces actives et les acteurs de menaces qui cherchent à supprimer ou à modifier les données pour empêcher la capacité de récupérer d’une attaque.
La mise en place de systèmes et de solutions pour protéger les réseaux contre les attaques, en particulier de systèmes de sauvegarde et de récupération fiables, devient essentielle lorsqu’il s’agit de gérer et de négocier une cyber-assurance. Vous pouvez visionner l’intégralité du webinaire du Dr Rasthofer sur la cyber-assurance ici.
Découvrez les solutions de gestion de services informatiques 100% conçues pour les MSP
Si vous avez des questions relatives aux outils RMM du catalogue Watsoft ou besoin d’un accompagnement sur un projet, vous pouvez nous contacter au 05 56 15 01 01 ou sur ventes@watsoft.com.
Source : Traduction de l’article rédigé par N-able « Top 4 Methods Used to Attack Networks (And How to Defend) »
0 commentaires