Que peut-on apprendre des études de cas du Playbook 2021 sur les entreprises victimes de cyberattaques ? Dans une série d'articles, les experts Sophos voyagent dans le futur et abordent différents aspects spécifiques de la sécurité informatique afin d'en tirer des recommandations pouvant être mises en œuvre par tous.
Comme détaillé dans le Sophos Active Adversary Playbook 2021, les attaquants aiment utiliser les outils utilisés par les administrateurs informatiques et les professionnels de la sécurité pour rendre plus difficile la détection des actions suspectes. Beaucoup de ces outils sont reconnus par les produits de sécurité comme des « applications potentiellement indésirables » ou PUA (ou RiskWare ou RiskTool) en abrégé, mais sont essentiels pour les équipes informatiques à utiliser au quotidien. Pour y faire face, les administrateurs doivent se poser deux questions clés concernant la politique informatique de l'entreprise : tous les utilisateurs doivent-ils pouvoir utiliser ces utilitaires et ces utilitaires doivent-ils pouvoir s'exécuter sur tous les appareils ?
Que sont les PUA ?
Les PUA sont des outils d'administration fournis avec un système d'exploitation (par exemple, PowerShell) et fournissent des moyens d'automatiser et de gérer les appareils sur un réseau. De plus, il existe d'autres outils tiers couramment utilisés pour étendre les fonctionnalités telles que l'analyse des ports, la capture de paquets, les scripts, la surveillance, les outils de sécurité, la compression et l'archivage, le chiffrement, le débogage, les tests d'intrusion, la gestion du réseau et l'accès à distance. La plupart de ces applications s'exécutent avec un accès système ou root.
Pourquoi la liste d'exclusion du service informatique est problématique
Si des outils d'administration sont installés et utilisés en interne par votre propre équipe informatique, ces applications sont des outils utiles. Cependant, si cela est fait par d'autres utilisateurs, ils sont considérés comme des PUA et sont souvent marqués comme tels par des solutions de sécurité réputées pour les appareils finaux. Pour leur permettre d'utiliser gratuitement ces outils, de nombreux administrateurs ajoutent simplement les outils qu'ils utilisent à une liste globale d'exclusion ou d'autorisation dans leur configuration de sécurité des terminaux. Malheureusement, cette méthode permet également à des personnes non autorisées d'installer et d'utiliser les outils, souvent sans aucune surveillance, alerte ou notification.
Comment les cybercriminels utilisent-ils les PUA ?
Les politiques de sécurité qui autorisent les PUA doivent donc être configurées avec soin. Parce qu'un tel ticket gratuit vaut son pesant d'or pour les cybercriminels et qu'il n'y a aucune idée de l'utilisation, de l'intention et du contexte de l'outil.
Une fois qu'un outil a été exclu, un pirate peut toujours tenter de l'installer et de l'utiliser, même s'il n'est pas déjà installé sur un appareil donné. Cependant, la technique d'attaque connue sous le nom de "vivre de la terre" nécessite que les attaquants utilisent des fonctions et des outils existants pour éviter d'être détectés aussi longtemps que possible. Ils permettent aux acteurs d'effectuer la détection, l'accès aux informations d'identification, l'escalade des privilèges, l'évasion de la défense, la persistance, le mouvement de réseau côte à côte, la récolte et l'exfiltration sans agiter un seul drapeau rouge.
Autoriser les PUA dans l'entreprise uniquement en mode contrôlé
La première étape consiste à vérifier les exceptions globales actuelles dans l'entreprise :
- Sont-ils nécessaires ?
- Une raison a-t-elle été donnée pour l'exclusion – ou était-elle « toujours là » ? Les responsables doivent rechercher pourquoi la solution de sécurité a détecté le PUA en premier lieu - pourrait-il déjà être utilisé à des fins malveillantes ?
- Les exclusions doivent-elles vraiment s'appliquer à TOUS les serveurs et terminaux ?
- L'outil d'administration est-il toujours nécessaire ou peut-il être relégué à une fonctionnalité intégrée ?
- Avez-vous besoin de plusieurs outils pour obtenir le même résultat ?
Sur la base de nombreuses études de cas, Sophos recommande de n'autoriser les PUA que sur une base très contrôlée : application spécifique, machines spécifiques, heures précises et utilisateurs sélectionnés. Ceci peut être réalisé via une politique avec l'exclusion requise, qui peut également être supprimée à nouveau si nécessaire. Toute utilisation détectée de PUA qui n'est pas prévue doit faire l'objet d'une enquête, car cela peut indiquer qu'un cybercriminel a déjà eu accès aux systèmes.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.