Alors que nous continuons à entendre parler de l'augmentation des cyberattaques, des rançongiciels et des attaques d'État appuyées par la nation, comme celles qui ont été faites contre SolarWinds et Malwarebytes, je pense qu'il est temps d'adopter une approche différente et de rétablir ce sur quoi la communauté infosec insiste toujours ; l'authentification à deux facteurs, l'utilisation d'un mot de passe unique par site ou par application, l'adoption d'un gestionnaire de mots de passe pour les utilisations professionnelles et personnelles, l'adoption de la sécurité de la messagerie et la protection contre les violations de données. Ceci dit, je vais essayer d'expliquer la nécessité de ces derniers en utilisant un exemple hypothétique réel avec une fausse entreprise QuébecMantics.

L'histoire derrière QuébecMantics hack email !

Rencontrez François Tremblay, un cadre de Finances qui travaille pour QuébecMantics. Il a accès à des outils de financement d'entreprise, qu'il utilise habituellement pour payer des factures et pour créer plusieurs rapports pour suivre les finances de l'entreprise. Dans le cadre de son travail quotidien, il est également autorisé à traiter des paiements de tiers jusqu'à concurrence de 1,5 million de dollars sans l'approbation du conseil. Il a une famille normale, avec une femme et deux enfants l'un a 12 ans et l'autre a 14 ans.

De l'autre côté, les médias diffusent des résultats étonnants des gains de QuébecMantic au cours du dernier trimestre. Un groupe de hackers s'intéresse au réseau QuébecMantics. Ils ont trouvé François Tremblay sur LinkedIn et maintenant ils regardent d'autres plateformes de médias sociaux pour voir s'ils peuvent trouver quelque chose de précieux.

En peu de temps, le groupe de hacking a pu découvrir que François aime le hockey, son équipe préférée est le Canadien de Montréal, son adresse à Montréal, le nom des membres de sa famille, leurs anniversaires et le jour de son mariage. L'une des trouvailles les plus importantes pour le groupe est venue d'un post sur un de ses comptes de médias sociaux, ils ont pu découvrir qu'il avait acheté un meuble d'une entreprise qui a récemment été attaquée par un rançongiciel et a refusé de payer. Rapidement, le groupe est allé sur le Dark Web et a acheté tous les noms d'utilisateurs et mots de passe de ce piratage. Après avoir cherché le nom de François dans la base de données, ils ont appris que François utilise une combinaison des noms et des anniversaires de ses deux enfants pour créer des mots de passe.

Andrew et Josianne (tous deux membres de l'équipe de sécurité de QuébecMantics) sont responsables de la création de différentes politiques, y compris les politiques de mot de passe par courriel. Ils exigent que tous les employés utilisent un minimum de 10 caractères, avec une combinaison de chiffres, de lettres supérieures, inférieures et de caractères spéciaux. Malheureusement, ils n’ont pas encore mis en oeuvre l’AMF.

Le groupe de hackers se déplace maintenant à plein régime et utilise des combinaisons possibles de noms de membres de la famille François et de dates spéciales pour accéder à son courriel. En quelques heures, en utilisant une technique d'attaque par la force brute, ils accèdent aux courriels de François. Au bout de quelques heures, ils ne sont pas capables de trouver quelque chose d'utile à l'époque, alors ils créent une règle de redirecteur, de cette façon chaque email que François reçoit est transmis aux pirates.

Deux jours plus tard, une opportunité pour le groupe est dans la boîte de réception de François, c'est exactement ce qu'ils attendaient ; une facture de 1,2 Million de dollars d'une société tierce qui a un jour d'échéance à la fin de la semaine, Le groupe se déplace plus vite, et créer un email imitant le nom de la société tierce partie, la mise en place de la plaque pour une attaque de phishing parfaite, ils demandent à François de payer la facture à un compte différent que d'habitude, il obtient suspect quelque chose est faux, mais parce que l'attaquant a le montant exact, le numéro de facture et le nom de Sur la facture, ils sont en mesure de le convaincre de transférer l'argent sur le compte bancaire du groupe. François a peu de chance contre ce type d'expert en ingénierie sociale, et à cause du montant, il peut émettre le paiement sans avoir besoin d'en discuter avec quelqu'un d'autre (rappelez-vous que cela fait partie de ses tâches quotidiennes) réduisant encore plus les chances de détecter l'attaque.

QuébecMantics ne se rend pas compte que le vol est survenu jusqu’à ce que la société tierce se plaigne du paiement manquant un mois plus tard, et malheureusement, cela arrive lorsqu’il est trop tard pour annuler le paiement. L'argent a disparu.

————————————————

Maintenant, si nous analysons l'histoire décrite ci-dessus n'est pas quelque chose qui est juste de la fantaisie, nous savons qu'il y a des attaques comme celle-ci qui se produisent au moins toutes les 30 secondes dans le monde selon le dernier rapport sur la cybersécurité de Cisco.

Analysons rétrospectivement ce qui a mal tourné, quels sont les vecteurs d’attaque présents à QuébecMantics, et ce que nous pouvons faire pour atténuer l’attaque et protéger l’entreprise.

1. Créer un programme d'éducation pour sensibiliser tous les employés au risque de publier un certain type d'information sur les médias sociaux.

2. Encourager l'utilisation d'outils de gestion de mots de passe, si possible donner une licence à tous les employés, qui fournissent la fonctionnalité connectée ou non au réseau de l'entreprise, de cette façon, nous pouvons encourager tous les employés à être plus cyber-conscients centrés autour de l'utilisation d'un mot de passe unique par site/application à des niveaux personnels, ce qui sera très bénéfique pour réduire tout vecteur possible d'attaque aux systèmes QuébecMantics.

3. Adoption obligatoire de l'AMF pour les courriels et les autres applications et sites Web qui doivent entrer un mot de passe. Cela atténue le risque de vol de justificatifs d'identité et d'usurpation d'identité, garantissant que l'employé qui se connecte au réseau est celui qu'il dit être. — Je peux recommander DUO en tant que MFA en raison de la rapidité de sécurisation des applications avec un déploiement rapide, une adoption plus rapide par les utilisateurs et la capacité à réagir rapidement aux menaces changeantes.

4. Adoptez des fonctionnalités avancées de sécurité de la messagerie et de XDR, au cas où votre entreprise utilise Office 365, ne laissez pas tout à un tiers ou vous pouvez terminer comme Malwarebytes. Vous devez disposer de vos propres systèmes et stratégies de sécurité pour détecter les anomalies et les changements de charge de travail. De cette façon, si un employé configure une règle pour transférer des informations sensibles en dehors de l'organisation, vos systèmes de sécurité seront en mesure de détecter la modification et de la faire marquer à l'équipe de sécurité. Si quelqu'un tente d'emprunter l'identité d'un de vos partenaires et de vous hameçonner, votre solution de sécurité doit pouvoir détecter, marquer et signaler cet événement. — Je peux recommander Cisco Advanced Phishing Protection, car il est un leader sur le marché de la protection de la messagerie depuis 10 ans ! et la nouvelle protection améliorée peut vous aider à défendre votre courrier électronique, que vous l'ayez sur site ou que vous l'utilisiez comme service avec Office 365 ou Gsuite.

Conclusion

L'époque de la protection de votre entreprise du point de vue d'un pare-feu est révolue, avec les médias sociaux et tout le réseau hyperconnecté que nous avons construit sur Internet, la surface d'attaque a maintenant augmenté de façon exponentielle. C'est pourquoi plus que jamais nous devons comprendre quels sont nos points faibles et les sécuriser avec des outils capables d'interagir entre eux, et qui est capable de détecter, de réagir et de bloquer tous les fils possibles. Commentez et faites-moi savoir si vous êtes d'accord ou en désaccord avec l'un des points, je voudrais savoir si vous trouvez cet article utile et si vous voulez voir plus d'informations comme ceci.