Ces vulnérabilités sont des “portes d’entrée” faciles, offrant aux attaquants un large accès à des cibles plus lucratives. Les MSP (Managed Service Providers) et les MSSP (Managed Security Service Providers) sont des cibles particulièrement attrayantes car ils détiennent les clés de nombreuses entreprises clientes. Il suffit de prendre l’exemple de ces centaines de clients de cabinets dentaires qui ont été touchés par un ransomware après la compromission de leur MSP partagé.
Nous sommes tous des cibles potentielles
“Je ne pensais pas que nous serions pris pour cible” sont des mots prononcés trop souvent par des organisations compromises.
Pourtant, la vérité est que nous sommes tous des cibles potentielles. Nous sommes tous des maillons de la Supply Chain d’un tiers, nous rendant ainsi vulnérables si nous ne sommes pas protégés.
Il est facile d’imaginer une backdoor chez un sous-traitant militaire, surtout si ce dernier détient des services ou des outils spécifiques, mais avez-vous pensé à votre salon de coiffure en bas de chez vous comme pouvant représenter un risque potentiel pour la Supply Chain ? Et bien vous devriez. En effet, une attaque contre une grande entreprise a commencé par la compromission d’un commerçant local en utilisant son système de facturation pour envoyer des PDF malveillants aux dirigeants de l’entreprise qui utilisaient ses services.
Par où commencer ?
Il existe une formidable opportunité pour les MSP et les MSSP d’améliorer la sécurité de la Supply Chain, à la fois en interne mais aussi pour leurs clients.
Cette tâche peu sembler ardue, mais vous pouvez relever ce défi, souvent avec des résultats immédiats et mesurables, en vous concentrant sur trois domaines importants :
1. L’authentification
Les fournisseurs de services doivent cesser de partager les mots de passe. Ce conseil semble tomber sous le sens, mais il s’agit d’un problème récurrent.
En tant que personne ayant investigué sur la fraude par carte de crédit, j’ai vu de mes propres yeux les risques que représentaient des fournisseurs de terminaux de paiement qui utilisaient un logiciel d’accès à distance, comme TeamViewer ou VNC, avec un mot de passe unique et partagé pour gérer des milliers de comptes clients.
Récemment, les forces de l’ordre en Floride ont annoncé qu’un attaquant avait utilisé TeamViewer pour accéder avec succès à un panneau de contrôle protégé par mot de passe et avait tenté d’empoisonner une infrastructure critique d’approvisionnement en eau. L’attaque a heureusement été stoppée, mais cette dernière aurait pu être mortelle.
Ce manque de sécurité n’est plus acceptable. Le phishing d’un membre de votre équipe support suffit, dans de nombreux cas, à détruire votre réputation et potentiellement votre entreprise à cause d’un seul et unique incident.
Comme dans le cas des services IT traditionnels, les comptes qui possèdent des privilèges ne doivent être utilisés qu’en cas de besoin et doivent toujours exiger une authentification multifacteur. Toute utilisation doit également faire l’objet d’une journalisation et d’un examen régulier.
2. Les droits d’accès
Chaque technicien doit-il vraiment avoir accès à chaque client ? Peut-être, mais probablement pas systématiquement.
Souvent, des groupes de clients, en particulier des clients clés, ont une personne ou une équipe support dédiée. Tout comme nous segmentons les réseaux afin de pouvoir fournir des points d’audit et contrôler les risques, les privilèges exigent eux-aussi des limites.
La journalisation est essentielle pour reconnaître les accès inhabituels, comme l’utilisation en dehors des heures d’ouverture ou bien l’accès à un compte attribué à une autre équipe, qui peuvent être des signes annonciateurs d’une fraude interne ou bien qu’un acteur malveillant externe se prépare à lancer une attaque de ransomware.
3. La surveillance des compromissions
Le surveillance manque souvent de ressources contrairement à la prévention. Le problème est que nous savons que la prévention n’est pas toujours réalisable à 100%, mais quand il s’agit de détecter et de surveiller les échecs de nos contrôles préventifs, nous sommes trop réactifs. Une fois qu’une attaque devient évidente, il est souvent trop tard. Au moment où un cybercriminel lâche son ransomware, il a déjà volé des données critiques et, le plus souvent, a eu accès à votre réseau pendant 30 jours ou plus.
Au cours des investigations menées par l’équipe Sophos MTR (Managed Threat Response), deux éléments ressortent en tant qu’indicateurs précoces de compromission. L’un est l’utilisation des identifiants à des fins d’accès à distance et d’administration pendant les heures creuses; l’autre est l’abus des outils d’administration du système pour effectuer une surveillance et voler des données sur le réseau.
L’utilisation de comptes légitimes et de vos propres outils est souvent appelée “Living Off the Land” (LotL). La détection nécessite vigilance et compétence. Pour un analyste qualifié au sein d’un SOC (Security Operations Center), ces éléments ressortent clairement et peuvent vous inciter à déjouer l’attaque avant qu’une grande partie des dégâts ne soit causée. Vous devez soit investir dans la formation de votre personnel pour surveiller ces comportements, soit vous entourer d’experts externes pour les surveiller en votre nom.
Prioriser la sécurité de la Supply Chain
Le fait d’apporter des améliorations au niveau de ces trois domaines majeurs réduira considérablement le risque de cybersécurité, plaçant les MSP et les MSSP nettement devant leurs concurrents en matière de protection des clients.
Donner la priorité à la sécurité de la Supply Chain peut constituer un avantage concurrentiel significatif pour les fournisseurs de services dans l’acquisition de nouveaux clients, et peut-être plus important encore, la rétention de leurs clients actuels.
Il ne s’agit, ici, que de points de départ au niveau desquels nous avons identifié des points de défaillance communs. La sécurité est un voyage et la sécurité de la Supply Chain n’est qu’une pièce de plus dans ce grand puzzle.
Billet inspiré de Supply Chain Security: Three Important Focus Areas for Immediate and Measurable Results, sur le Blog Sophos.