Même si les cybercriminels et les pirates utilisent des techniques d'attaque de plus en plus sophistiquées pour pénétrer les réseaux d'entreprise, les failles de sécurité résultent souvent de mauvaises configurations évitables, souvent ignorées.
Afin de ne pas ouvrir la porte aux données sensibles et aux environnements informatiques pour les pirates, voici les cinq erreurs de configuration les plus courantes que les entreprises doivent éviter.
1. Identifiants par défaut
Les noms d'utilisateur et les mots de passe par défaut des périphériques, des bases de données et d'installation non configurés reviennent à laisser la clé dans une porte verrouillée. Même les pirates amateurs peuvent utiliser des outils librement disponibles pour causer des dommages importants à une entreprise. Les informations d'identification standard sur les périphériques réseau tels que les pare-feu, les routeurs ou même les systèmes d'exploitation permettent aux attaquants d'utiliser de simples scanners de vérification de mot de passe pour obtenir un accès direct. Pour des attaques plus sophistiquées, les pirates exécutent une série d'attaques scénarisées pour forcer brutalement les appareils, en se concentrant soit sur les noms d'utilisateur et les mots de passe standard, soit sur des mots de passe simples comme "qwerty" ou "12345".
2. Utilisation multiple de mots de passe
L'utilisation du même compte utilisateur et du même mot de passe sur chaque appareil d'une flotte de terminaux donne aux cybercriminels la possibilité d'attaquer n'importe quelle machine, même si un seul des appareils est piraté. À partir de là, les attaquants peuvent utiliser des dumpers d'informations d'identification pour mettre la main sur les mots de passe ou même sur les hachages eux-mêmes. Les entreprises doivent donc éviter à tout prix la réutilisation des mots de passe et désactiver les comptes qui ne sont pas nécessaires.
3. Ouvrez les services Bureau à distance et les ports standard
Des services tels que Remote Desktop Protocol (RDP), un protocole propriétaire développé par Microsoft, fournissent une interface permettant aux administrateurs de contrôler les ordinateurs à distance. De plus en plus, les cybercriminels abusent de ce protocole ouvert lorsqu'il n'est pas correctement configuré. Par exemple, les rançongiciels tels que CrySiS et SamSam peuvent cibler les organisations via des ports RDP ouverts, à la fois par la force brute et les attaques par dictionnaire. Tout appareil orienté vers l'extérieur connecté à Internet doit donc être sécurisé avec une couche de protection pour lutter contre les tentatives d'intrusion telles qu'une attaque par force brute. Les administrateurs doivent utiliser une combinaison de mots de passe forts et complexes, de pare-feux et de listes de contrôle d'accès pour réduire la probabilité d'une faille de sécurité.
4. Correctif logiciel retardé
Les menaces du jour zéro font souvent la une des journaux, mais les vulnérabilités les plus courantes exploitées par les cybercriminels sont généralement des fossiles numériques. Par conséquent, la mise à jour des systèmes d'exploitation et des correctifs est cruciale pour éviter une faille de sécurité. Alors que de nombreux exploits et vulnérabilités sont découverts chaque jour et qu'il peut être difficile de suivre le rythme, les entreprises doivent éviter les correctifs logiciels en retard.
5. Désactivation de la journalisation
La journalisation désactivée ne permet pas nécessairement aux attaquants de s'introduire dans un système, mais elle leur permet d'y opérer sans se faire remarquer. Une fois à l'intérieur, les pirates peuvent se déplacer latéralement sur le réseau à la recherche de données ou d'actifs à sortir clandestinement. Sans journalisation appropriée, ils ne laissent aucune trace. Cela crée une aiguille dans une botte de foin pour les équipes informatiques lors de la reconstruction d'un incident de sécurité. Par conséquent, la journalisation doit être activée et envoyée à un emplacement central tel qu'une plate-forme SIEM (Security Information and Event Management). Ces données fournissent les preuves dont les analystes médico-légaux ont besoin lors d'une enquête de réponse à un incident pour comprendre l'attaque et capturer l'intrusion. De plus, cela permet de répondre de manière adéquate aux menaces qui déclenchent une alerte basée sur des événements déjà consignés.
Une mauvaise configuration et le fait de laisser les appareils ou les plates-formes dans leur état par défaut permettent aux cybercriminels de lancer facilement leurs attaques. Par conséquent, les entreprises doivent mettre en œuvre les mesures de sécurité ci-dessus pour se protéger et protéger leurs données sensibles.
En savoir plus sur DigitalGuardian.com[idboîteétoile=6]