Accueil » News » Dix types d’incidents de sécurité et comment y faire face

Dix types d’incidents de sécurité et comment y faire face

  • par

le incidents de sécurité sont des événements qui pourraient indiquer la compromission de systèmes ou de données, ou l’échec des mesures prises pour les protéger. En informatique, un incident est un événement qui perturbe les opérations commerciales normales. Les événements de sécurité se distinguent généralement des incidents par leur gravité et le risque pour l’organisation.

Suite sur l’article ci-dessous

Il ne se passe presque plus un jour où il y a un incident de sécurité, sinon une brèche, dans les médias. Mais ce n’est pas pour parler de tous ceux qui passent inaperçus. Il n’est pas rare que les attaques continuent ransomware ne sont connus que longtemps après le premier compromis.

Voici quelques façons dont les organisations peuvent détecter les incidents de sécurité:

  • Comportement inhabituel de comptes privilégiés. Ces anomalies de comportement peuvent révéler le détournement de tels comptes par des attaquants pour des opérations de délocalisation au sein du système d’information.
  • Les utilisateurs internes tentent d’accéder aux ressources pour lesquelles ils n’ont pas l’autorisation. Les utilisateurs semblent essayer de déterminer à quels systèmes et données ils peuvent accéder. Certains signes d’avertissement incluent des tentatives de connexion infructueuses, des tentatives de connexion à partir d’endroits inhabituels ou de différents endroits en peu de temps.
  • Anomalies dans le trafic réseau sortant. Ce n’est pas seulement le trafic entrant qui mérite l’attention. Le trafic sortant peut trahir les tentatives d’interception de données.
  • Surutilisation des ressources. Une augmentation anormale de l’utilisation de la RAM du serveur ou des E / S disque peut être le signe d’une activité malveillante de la part d’un attaquant.
  • Changements de configuration. Par exemple, les modifications qui ne sont pas approuvées, qu’il s’agisse de la reconfiguration des services, de l’installation de nouvelles tâches planifiées, de nouvelles entrées de registre ou de la modification des règles de pare-feu, peuvent être le signe d’une activité malveillante.
  • Fichiers cachés. Ils peuvent être considérés comme suspects en raison de leur nom, de leur taille ou de leur emplacement, ce qui indique que des données ou des traces d’activité peuvent avoir été divulguées.
  • Changements imprévus. Ceux-ci peuvent inclure le blocage des comptes d’utilisateurs, la modification des mots de passe ou la modification soudaine de l’appartenance à un groupe.
  • Comportement de navigation anormal. Il peut s’agir de redirections inattendues, de modifications de configuration du navigateur ou de fenêtres contextuelles répétées.

Vecteurs d’attaque courants

Un vecteur d’attaque est un moyen par lequel un attaquant peut accéder à un ordinateur ou à un serveur pour déposer une charge utile malveillante. Les vecteurs d’attaque sont utilisés pour exploiter les vulnérabilités d’un système, y compris celles des utilisateurs.

Les vecteurs d’attaque peuvent être le courrier électronique, la messagerie instantanée, les pages Web, les salles de discussion et même le matériel. Ces vecteurs impliquent de la programmation, notamment en exploitant des vulnérabilités non corrigées, mais peuvent aussi impliquer des tromperies. le Cadre Att & ck de Mitre est particulièrement éclairant à cet égard.

  • Compromis dans l’arraché. L’attaquant parvient à s’infiltrer dans le système que sa victime utilise pour naviguer sur Internet. À cette fin, il peut essayer de le détourner vers un site ou une page malveillant qui a été spécifiquement déployé pour l’attaque, ou de profiter d’un site Web légitime précédemment compromis pour distribuer la charge utile malveillante.
  • Piratage depuis n’importe quelle ressource affichée sur le Web. Là, l’attaquant exploite des vulnérabilités présentées par une source accessible au public sur Internet. Il peut s’agir d’une application Web piratée par injection SQL, ou un serveur VPN, SSH, PME ou RDP. Malheureusement, il n’est pas rare que des correctifs pour des vulnérabilités connues ne soient pas appliqués.
  • Utilisation d’identifiants compromis. Le vol d’informations d’identification est courant, quelles que soient les données affaiblies par la réutilisation du mot de passe. Par conséquent, les attaques utilisant des informations d’identification volées ou autrement compromises ne sont pas rares. De nombreux cybercriminels l’utilisent pour prendre pied dans le système d’information de leur victime.
  • Phishing et spear phishing. Le vecteur utilisé ici est souvent le courrier électronique, mais les autres formes de courrier électronique ne sont pas à l’abri. Cela pourrait signifier qu’un utilisateur ouvre une pièce jointe malveillante ou la dirige vers une page Web frauduleuse, puis vole des informations d’identification personnelle.
  • Construire des relations de confiance. Plutôt que d’attaquer directement la cible, l’attaquant commence par mettre discrètement en danger l’un de ses partenaires commerciaux ou fournisseurs. En effet, les interconnexions ne sont pas rares et peuvent parfois offrir un accès très privilégié, par exemple pour les sociétés de maintenance.
  • Compromis de la chaîne d’approvisionnement. L’exemple le plus célèbre est probablement l’épisode NotPetya: Les attaquants avaient compromis les systèmes d’une société de logiciels et de là l’un de ses clients malware, qui s’est ensuite largement répandue dans le monde.
  • Intervention physique. L’attaquant peut installer un élément malveillant, tel qu’une clé USB, sur le système affecté pour voler des données sur une longue période ou déployer des logiciels malveillants. Stuxnet a donc été utilisé dans une usine d’enrichissement d’uranium.

Comprendre la méthodologie et les objectifs des attaquants

Bien sûr, on ne peut jamais savoir avec certitude quel chemin un attaquant empruntera à travers son réseau. Mais les cyberdélinquants suivent généralement une méthodologie bien connue.

Cela a été modélisé par Lockheed Martin en parlant Cyber ​​Kill Chain :

Cyber ​​Kill Chain modélisé par Lockheed Martin.
Cyber ​​Kill Chain modélisé par Lockheed Martin
  • Reconnaissance. L’attaquant évalue les cibles extérieures pour identifier les cibles les plus prometteuses. L’objectif est de trouver des systèmes d’information mal sécurisés ou présentant des vulnérabilités pouvant être exploitées pour accéder au système cible.
  • Armement. Au cours de cette étape, l’attaquant met à niveau ses armes et prépare des malwares qu’il pourra utiliser pour exploiter les vulnérabilités découvertes lors de la phase d’exploration. Sur la base des informations recueillies au cours de ce processus, l’attaquant ajuste plus ou moins son arsenal en fonction de sa cible.
  • Livraison. L’attaquant lance l’attaque et utilise son arsenal pour exploiter les vecteurs qu’il comptait utiliser pour provoquer le compromis initial de l’environnement cible. Cela peut être, par exemple, l’envoi d’e-mails de phishing à des employés spécifiques de l’organisation.
  • Opération. L’acteur de la menace profite d’une vulnérabilité pour accéder au réseau de la cible.
  • Installation. À ce stade, le pirate informatique installe sa tête de pont, sa porte arrière ou son implant têtu pour maintenir l’accès pendant une période de temps plus longue.
  • Commander et contrôler. Le malware ouvre un canal de commande, permettant à l’attaquant de manipuler à distance les systèmes et les appareils de la cible sur le réseau. Le hacker peut alors parcourir le système d’information à la recherche des actifs les plus critiques.
  • Actions pour objectifs. L’attaquant a pris le contrôle du système de la cible et peut, entre autres, corrompre ou voler des données, détruire des systèmes ou exiger une rançon.

Réduisez le risque de 10 types courants d’incidents de sécurité

Il existe de nombreux types la cyber-sécurité pouvant conduire à des intrusions dans le réseau d’une organisation:

  1. Tente d’obtenir un accès non autorisé aux systèmes ou aux données. Pour empêcher un acteur malveillant d’accéder aux ressources à l’aide du compte d’un utilisateur autorisé, l’authentification multifacteur (MFA). Pour ce faire, un utilisateur doit entrer au moins une information d’identification supplémentaire en plus d’un mot de passe. En outre, les données commerciales sensibles doivent être chiffrées au repos ou lorsqu’elles sont en transit sur un réseau, à l’aide d’un logiciel ou d’une technologie matérielle appropriée. De cette façon, les attaquants ne peuvent pas accéder aux données confidentielles.
  1. Augmentation des attaques de privilèges. Un attaquant qui parvient à accéder au système d’information d’une organisation pourrait alors tenter d’obtenir des privilèges de niveau supérieur au-delà de ce qu’un utilisateur normal pourrait théoriquement avoir, souvent par exploitation. «une vulnérabilité. Mais c’est loin d’être le seul mécanisme possible.
    Pour réduire le risque d’élévation de privilèges, il est important d’identifier et de corriger régulièrement les vulnérabilités de sécurité dans votre environnement informatique. Il est également nécessaire de suivre le principe du moindre privilège, qui consiste à limiter les droits desaccès les utilisateurs au strict minimum nécessaire pour faire leur travail. Et sans oublier la mise en place d’une politique de sécurité forte.
  1. Menace interne. Cette menace – qu’elle soit malveillante ou négligente – provient d’employés, d’anciens employés ou de tiers, y compris des sous-traitants, des travailleurs intérimaires ou même des clients. Pour détecter et prévenir les menaces de l’intérieur, il est essentiel de former les utilisateurs aux problèmes de sécurité. Mais encore une fois, la politique de moindre privilège joue un rôle important, tout comme les systèmes de protection contre les logiciels malveillants, la prévention des pertes de données (DLP), contrôle d’accès aux services cloud (CASB) ou surveiller les flux du réseau.
  1. Hameçonnage. le protection contre les attaques de phishing commence à former les utilisateurs à reconnaître ces messages. En outre, un filtre de messagerie peut capturer de nombreux e-mails de phishing ciblés en masse et réduire le nombre d’atteindre les boîtes de réception des utilisateurs. UNE Procuration Internet peut aider à réduire le risque d’accéder à des sites Web frauduleux promus par des messages de phishing.
  2. Malware. Certains se propagent par hameçonnage, mais les canaux de transmission ne s’arrêtent pas là. Certains logiciels malveillants sont installés accidentellement lorsqu’un utilisateur clique sur une annonce, visite un site Web infecté, etc. Un outil de protection de poste de travail est essentiel, mais un outil de détection et de récupération d’hôte (EDR) peut aller plus loin dans la détection des anomalies. Un proxy Web peut en outre empêcher le téléchargement d’une charge utile de deuxième niveau par un premier composant malveillant.
  3. Déni de service (DoS). Les attaques DoS sont destinées à perturber le fonctionnement d’un service ou d’un système entier, le rendant inaccessible et inutilisable. Cela inclut l’inondation de la cible avec le trafic réseau ou l’envoi de données qui provoquent un plantage. UNE pare-feu le réseau peut aider à protéger contre cela, tout comme un pare-feu d’application (WAF). Et cela sans tenir compte des solutions techniques proposées par les opérateurs et hébergeurs, ainsi que par les réseaux de distribution de contenu (CDN).
  4. Attaque d’interception (MitM). Une attaque de frappe l’homme au milieu est une attaque dans laquelle l’attaquant intercepte secrètement ou même modifie des messages entre deux parties qui croient communiquer directement entre elles. Par exemple, quoi rediriger les sessions ou voler des données d’identification. La détection des attaques MitM est difficile, mais il existe des moyens de les empêcher. L’un d’eux est de mettre en œuvre un protocole chiffrement échanges, tels que TLS (Transport Layer Security), qui assure l’authentification, la confidentialité et l’intégrité des données entre deux parties. De plus, il est fortement déconseillé d’utiliser un réseau Sans fil décochée – en commençant par celles ouvertes au public – sans connecter votre terminal à un VPN.
  5. Attaque de mot de passe. Ce type d’attaque vise à accéder au compte d’un utilisateur en essayant de trouver le mot de passe utilisé pour le protéger – par dictionnaire, force brute ou en utilisant occasionnellement des informations d’identification très dispersées. violations antérieures. Pour vous protéger contre ces attaques, il est recommandé de forcer les utilisateurs à utiliser des mots de passe forts et à ne pas les réutiliser. Un gestionnaire de mots de passe peut les aider. L’authentification multifactorielle peut également aider de manière significative ici. Cela s’applique également aux systèmes de quarantaine après des erreurs d’authentification répétées, telles que fail2ban.
  6. Attaque sur les applications Web. Il s’agit de tout incident où une application web est le vecteur de l’attaque, notamment en exploitant des vulnérabilités dans le code de l’application, permettant par exemple de contourner les mécanismes d’authentification ou d’injecter des scripts externes. par exemple, pour voler des données aux visiteurs du site compromis. Dans ces attaques, le code doit être examiné pour les vulnérabilités tout au long du cycle de développement; les scanners de code statiques et dynamiques peuvent vous aider. Vous pouvez aller plus loin avec un pare-feu applicatif.
  7. Menace avancée persistante (APT). Un APT est une cyberattaque ciblée à long terme, généralement menée au nom des États-nations. Là, l’intrus accède à un réseau et passe inaperçu pendant une période prolongée. Le but de l’APT est généralement de suivre l’activité et de voler des données plutôt que de causer des dommages. Mais les attaques de ransomwares modernes empruntent largement aux méthodes APT. La surveillance du trafic réseau entrant et sortant peut aider à empêcher les pirates d’installer des portes dérobées et d’extraire des données sensibles. Une segmentation solide du réseau permet de limiter les possibilités de mouvement latéral des attaquants.


Pour plus d’informations sur la gestion de la sécurité