L'équipe Semperis

La cyberattaque de Colonial Pipeline en mai 2021 est l'une des plus importantes attaques contre des infrastructures critiques à ce jour. À l'époque, Sean Deuby, directeur des services de Semperis, avait prédit que l'attaque par ransomware-as-a-service (RaaS) était une "implication de ce qui allait suivre... une saison ouverte pour les fournisseurs d'infrastructures". Un an plus tard, nous nous entretenons avec Sean sur l'état actuel de la cybersécurité des infrastructures : quelles leçons ont été tirées, quelles nouvelles menaces sont apparues et quelles mesures les fournisseurs d'infrastructures peuvent prendre dès maintenant pour éviter d'être la prochaine grande cible.

L'année dernière, vous avez prédit que l'attaque de Colonial Pipeline marquait le début d'une tendance visant les fournisseurs d'infrastructures critiques. Est-ce le cas aujourd'hui ?

Sean Deuby : Sur la base des seuls avertissements du FBI et de la CISA, je dirais que la réponse est un "oui" retentissant. De BlackCat à REvil en passant par RagnarLocker, le nombre et la fréquence des menaces et des acteurs de la menace restent élevés. Et les infrastructures critiques semblent être une cible de plus en plus attrayante.

Il faut garder à l'esprit que la notion d'"infrastructure critique" couvre un champ assez large. Les premières choses qui nous viennent à l'esprit lorsque nous entendons cette expression, du moins aux États-Unis, sont probablement la cyberattaque de Colonial Pipeline et l'attaque de l'usine de traitement des eaux en Floride quelques mois auparavant. Mais les services publics, y compris les infrastructures pétrolières et gazières, ne sont que la partie émergée de l'iceberg lorsque l'on parle de systèmes critiques. Je dirais que les soins de santé sont essentiels. La prévention des incendies et les services communautaires sont essentiels. L'approvisionnement en denrées alimentaires est essentiel. Ces deux dernières années ont montré à quel point la chaîne d'approvisionnement en flux tendu est vulnérable à tout type de perturbation, y compris le type d'attaque par ransomware que REvil a utilisé contre JBS. Et tous ces secteurs sont des cibles de choix pour les groupes de ransomware.

"Selon Gartner, les attaques de ransomware ont augmenté de 400 % depuis l'attaque de Colonial Pipeline en mai 2021, et comprennent des clients qui ont subi des attaques et qui se sont rétablis."

Gartner : Comment protéger les systèmes de sauvegarde contre les attaques de ransomware ?

Y a-t-il une raison pour laquelle les fournisseurs d'infrastructures sont particulièrement vulnérables ?

D'emblée : Systèmes SCADA. Les appareils IoT. Systèmes d'exploitation embarqués avec peu ou pas de mises à jour de sécurité. Des technologies dépassées et difficiles à mettre à jour. Les soins de santé, les systèmes de services publics ... ces secteurs sont truffés de ces types d'appareils, qui sont tout simplement si difficiles à sécuriser.

La pandémie a également compliqué le paysage en augmentant le besoin d'accès à distance. Cela augmente évidemment la surface d'attaque. Au plus fort des bouclages, de nombreuses entités ont été contraintes d'improviser ces méthodes. Par conséquent, elles n'ont pas été conçues avec le soin, la considération et la sécurité dont elles ont réellement besoin.

Selon le secteur, le financement est toujours un problème. De nombreuses organisations ne peuvent ou ne veulent pas justifier des dépenses supplémentaires pour une défense multicouche ou une tolérance aux pannes. Bien entendu, si vous êtes touché par un ransomware, le coût sera beaucoup plus élevé.

Constatez-vous une augmentation de l'utilisation de RaaS pour diffuser des ransomwares ?

Il s'agit sans aucun doute d'une option populaire pour les acteurs malveillants. L'objectif de la plupart des groupes de ransomware est de gagner de l'argent, aussi rapidement et facilement que possible. C'est l'objectif final : gagner de l'argent, potentiellement pour financer des activités vraiment désagréables, du crime organisé au terrorisme. Toutes les méthodes permettant d'atteindre cet objectif sont bonnes à prendre. Pourquoi ne pas réduire les obstacles à l'entrée dans le secteur ? Pourquoi ne pas faciliter la tâche des affiliés et obtenir une part du gâteau ?

Quels développements survenus au cours de l'année écoulée depuis la cyberattaque de Colonial Pipeline vous ont surpris ?

Ce qui m'étonne le plus, c'est que nous n'ayons pas vu plus de cyberattaques réellement efficaces que nous n'en avons vues. Je pense que la plupart des experts en gestion des identités et des accès sont en quelque sorte toujours sur le fil du rasoir, retenant leur souffle dans l'attente de la prochaine NotPetya. Compte tenu de certains événements mondiaux survenus au cours de l'année écoulée depuis la cyberattaque de Colonial Pipeline, je suis agréablement surpris que nous n'ayons pas vu pire que ce que nous avons vu. J'espère que c'est un indicateur que les organisations prennent des mesures plus efficaces pour protéger leurs réseaux et leurs systèmes d'identité comme Active Directory, qui est le plus souvent la cible ultime des ransomwares.

Un autre développement, bien que peu surprenant, est la réapparition de certains joueurs de DarkSide dans le groupe BlackCat. Je dirais que c'est plus intéressant que surprenant. Il convient de noter une chose à propos de bon nombre de ces groupes qui ciblent les infrastructures critiques : Après que DarkSide a été pris pour cible par le gouvernement américain à la suite de l'attaque de Colonial Pipeline, les acteurs non étatiques ont tenté de limiter les attaques à un nombre suffisamment restreint pour éviter toute intervention gouvernementale sérieuse. Il s'agit là d'une véritable menace pour leur potentiel de profit. Il n'est donc pas surprenant de voir des groupes se dissoudre et se reformer sous d'autres formes. Du point de vue de la cybersécurité, cela pourrait indiquer le type de tactique que les nouveaux groupes adopteront en fonction des affiliations antérieures de leurs membres.

Dans ces conditions, quelles mesures les entités chargées des infrastructures critiques peuvent-elles prendre dès à présent pour se protéger ?

Chez Semperis, nous conseillons toujours aux organisations de "penser comme un attaquant". Vous devez vraiment envisager votre sécurité comme le ferait quelqu'un qui n'a pas de sens moral ou qui en a un extrêmement tordu. Où se situe le profit le plus élevé ? Est-ce votre propriété intellectuelle ? Les données de vos clients ? Pour les infrastructures critiques, lorsque nous parlons de ransomware, il s'agit souvent simplement de la somme d'argent que les acteurs de la menace peuvent gagner en verrouillant vos systèmes généralement après avoir exfiltré des données organisationnelles précieuses. Un hôpital qui utilise beaucoup d'équipements IoT pour fournir des services vitaux (médicaments, ventilation, etc.) est beaucoup plus susceptible de payer rapidement qu'une organisation qui peut suspendre la fourniture de services pendant des jours.

Outre les conseils évidents (correctifs, politiques de mots de passe forts, etc.), la segmentation du réseau et la mise en œuvre de contrôles stricts de l'accès à distance sont des étapes importantes. L'accès à distance, comme je l'ai mentionné précédemment, élargit la surface d'attaque. Par conséquent, plus vous pouvez assurer une protection à ce niveau, mieux c'est. Pour les organisations telles que les services publics, isoler vos systèmes informatiques et d'authentification de vos systèmes de contrôle des processus - et veiller à ce que des informations d'identification dupliquées ne soient pas utilisées dans les deux cas - peut au moins vous faire gagner du temps en cas d'attaque.

D'autres idées à prendre en compte pour le reste de l'année 2022 ?

En ce qui concerne les ransomwares, il faut garder à l'esprit que les attaquants qui parviennent à s'introduire dans un système commencent immédiatement à chercher à obtenir des accès privilégiés. Ils se déplacent latéralement, étape par étape, en utilisant Active Directory. Une fois qu'ils ont atteint le jackpot d'ADministrateur, ils peuvent faire toutes sortes de ravages. C'est pourquoi il est si important de disposer d'une solution de défense spécifique à AD. Il se peut que vous deviez défendre des milliers de points finaux et de comptes d'utilisateurs. La probabilité que quelqu'un ou quelque chose passe à travers les mailles du filet est élevée. La mise en œuvre d'une sécurité forte autour d'Active Directory - la capacité d'automatiser les alertes contre les indicateurs de sécurité connus d'exposition et de compromission, le retour en arrière des modifications apportées à Active Directory jusqu'à ce que votre équipe de sécurité puisse les examiner et les approuver et, dans le pire des cas, la récupération à partir d'une sauvegarde récente sans réintroduire de logiciels malveillants - est votre meilleur atout pour garder les lumières allumées.

Notre dernier rapportPurple Knight a montré que les infrastructures critiques, le gouvernement, les soins de santé et les industries de transport peuvent apporter beaucoup d'améliorations à la sécurité des comptes et à la sécurité des stratégies de groupe, en particulier. J'encourage les organisations à utiliser l'outil d'évaluation gratuit Purple Knight pour obtenir un aperçu rapide de la sécurité de leur Active Directory.

Merci d'avoir discuté avec nous, Sean !

Vous souhaitez en savoir plus sur la défense des infrastructures critiques contre des catastrophes telles que la cyberattaque de Colonial Pipeline ? Consultez ces ressources :