La meilleure manière de prévenir des attaques informatiques est d’investir dans une défense efficace. Un expert en sécurité incendie confirmerait que prévenir les incendies, c’est bien moins coûteux et prend bien moins de temps. Explications.
En cybersécurité, la prévention est aussi préférable, voire indispensable. Voici quelques tactiques d’attaque, basées sur des tendances observées quotidiennement chez nos clients, ainsi que quelques méthodes préventives qui peuvent limiter l’attaque avant qu’elle ne pénètre dans votre réseau.
1. Défense RDP (Remote Desktop Protocol)
Les attaques RDP (RDP attacks), permettent aux attaquants d’obtenir des privilèges d’administrateur et de désactiver vos cyberdéfenses. C’est comme donner le passe-partout de votre maison à un voleur, puis essayer de le tenir éloigné de vos objets de valeur. Les sociétés de sécurité sont accusées de rater de telles attaques, mais il est difficile de surmonter l’équivalent numérique en laissant la porte d’entrée ouverte. Ajouter des couches défensives telles que l’authentification multifacteur (MFA) peut aider à empêcher les attaques RDP telles que la force brute et les exploits de code à distance (RCE). De plus, Endpoint Detection and Response (EDR) et Managed Detection and Response (MDR) peuvent aider à arrêter les attaquants s’ils parviennent à contourner le RDP, en arrêtant les mouvements latéraux et les tentatives de chiffrement des rançongiciels. Cela vaut aussi pour les services Bureau à distance (RDS), où les attaquants exploitent des capacités bien au-delà de ce que RDS est censé faire.
2. Visibilité de l’entreprise
Les attaquants ne doivent réussir qu’une seule fois, tandis que les défenseurs doivent réussir continuellement. Les attaquants qui gagnent en persistance sur un nœud du réseau peuvent alors cartographier et planifier leurs attaques. Les tentatives d’accès au réseau vues uniquement depuis le terminal peuvent rater la vue d’ensemble d’une attaque coordonnée. Ici, les pares-feux du réseau central sont essentiels, surtout s’ils sont dotés d’IDS/IPS intégrés, avec la possibilité d’ajouter des règles YARA pour se défendre contre les attaques émergentes. Les sociétés de sécurité, dont ESET, publient des règles YARA et divers outils gratuits (release YARA rules and various free tools) comme défense contre les attaques basées sur le réseau, qu’elles proviennent de l’intérieur ou de l’extérieur de l’organisation.
3. Authentification multifacteur (MFA)
Alors que la plupart des services migrent vers le cloud, un seul exploit contre un fournisseur de cloud peut permettre aux attaquants de faire des dommages à plusieurs organisations. Les mots de passe des utilisateurs, une fois compromis, sont stockés dans des sets de formation, disponibles gratuitement pour des tentatives automatisées de force brute. La MFA peut stopper, ou limiter, les attaques par force brute, en particulier le Business Email Compromise (BEC), qui sont une préoccupation constante. L’ajout de MFA aux connexions des utilisateurs peut limiter considérablement l’exposition d’une organisation.
Alors que les attaques par des États-nations font la une des journaux, ce sont les attaques les plus simples qui sont les plus probables. Ne commencez pas par rechercher des super Zero Days, utilisés par les équipes de cyber-adversaires ciblant votre organisation. Ces menaces sont généralement moins graves, sauf si vous disposez de gains potentiels de plusieurs milliards de dollars en volant des secrets d’entreprise ou militaires. Ce qui n’est probablement pas le cas.
Mais ces tactiques défensives fonctionnent et sont facilement disponibles et pratiques à mettre en œuvre. Vous aurez donc moins envie de rester assis et de regarder le bâtiment brûler pendant que vous filmez le désastre.