Protégez vos savoir-faire, vos données et votre propriété intellectuelle du cyber espionnage

Ces dernières semaines ont été denses en actualité cyber, avec des attaques par rançongiciels et des révélations d’affaires d’espionnage.

Revenons sur le processus d’attaque, en direct ou par la chaîne de sous-traitance, les bonnes pratiques pour sécuriser vos systèmes et les possibilités apportées par TEHTRIS.

Comment se déroule une tentative d’espionnage et comment la détecter ?

Lors d’une tentative d’espionnage sur un réseau ciblé, la chaîne habituelle d’attaque est composée de plusieurs étapes. Tout part d’une compromission initiale effectuée grâce à des vulnérabilités exploitées sur des services, pour aboutir à une confirmation des accès et à une élévation de privilèges. L’attaquant dispose alors d’une capacité à effectuer des déplacements latéraux à travers le réseau sur le parc pour, en finalité, procéder à une exfiltration et/ou au chiffrement des données.

La TEHTRIS XDR Platform détecte le binaire lors de son exécution et effectue une analyse afin d’identifier s’il s’agit d’une menace connue ou non et le stoppe dès les premiers symptômes. Les différents modules qui la composent détectent aussi des comportements suspects, comme les escalades de privilèges ou les mouvements latéraux.

L’attaquant est ainsi arrêté avant la mise en place de charge malveillante. Son action est immédiatement stoppée, sans qu’il ait pu faire l’usage de techniques d’offuscation et de persistance menant à la modification de la chaîne de production.

Pourquoi cibler la Supply Chain ?

On parle de Supply Chain pour désigner les flux entre les fournisseurs de services sous-traitant et les grandes entreprises. Les sous-traitants fabriquent des composants ou proposent des services utilisés par les clients finaux dans divers secteurs d’activité (industrie, transports, commerce de détail, finance…). Les clients finaux reçoivent souvent les éléments et résultats en flux tendus, afin d’éviter les stocks immobilisés et d’optimiser leur besoin en fonds de roulement. Les experts de la Supply Chain travaillent en général avec des entreprises de haute technologie possédant des savoir-faire uniques.

Dans les opérations d’espionnage de grande envergure, les attaquants prennent position sur les réseaux de prestataires afin de récupérer les données, voire d’accéder aux réseaux de leurs clients.

En effet, bien que le système d’information d’une grande entreprise soit correctement géré, dans le cadre de sa sous-traitance, certains de ses partenaires s’avèrent être une cible de choix pour les attaquants. Une pénétration réussie et furtive au sein de cette chaîne offre la possibilité aux pirates informatiques de rebondir vers la société mère via des sous-traitants intermédiaires. L’espionnage se fait à distance et exploite des failles chez ces partenaires qui sont censés être de confiance, et où les règles de sécurité et la surveillance peuvent parfois être moins opérationnelles.

Comment TEHTRIS remédie à des attaques de cyber espionnage par la Supply Chain ?

La lutte contre l’espionnage est dans l’ADN de TEHTRIS, c’est un combat permanent et c’est notre engagement que de vous apporter les meilleures armes pour vous défendre.

En effet, TEHTRIS est déjà intervenu de nombreuses fois auprès d’entreprises victimes d’affaires d’espionnage de grande ampleur.  A titre d’exemple, TEHTRIS a d’ailleurs défendu une grande entreprise française, présente à l’international et victime d’espionnage par le biais de sa Supply Chain. Bien que le groupe n’ait pas été protégé par TEHTRIS au moment de l’attaque, nous avons déployé et installé TEHTRIS XDR Platform en un temps record au sein de l’infrastructure.

Les remontées de données sur la console unifiée nous ont permis de localiser les attaquants dans le parc via la recherche d’IoC fournis par des tiers et d’en savoir plus sur les techniques utilisées par les attaquants. Nous avons aussi rapidement estimé les dommages effectués, notamment la compromission de l’AD (Active Directory) ou le vol de données. Une fois la prise d’informations réalisée, TEHTRIS EDR a expulsé l’attaquant hors du réseau en travaillant conjointement avec l’entreprise et les parties concernées. TEHTRIS a ainsi réussi à sauver l’infrastructure de l’organisation en limitant considérablement les dommages liés à l’attaque.

Quelles recommandations nos experts vous préconisent-ils ?

Les principes de base à appliquer de manière générale sont les suivants :

  • Administrer de manière sécurisée les systèmes d’information
  • Mettre en œuvre une veille sur les vulnérabilités pouvant impacter les systèmes d’information, pour assurer le maintien en condition de sécurité (MCS) à travers les mises à jour de sécurité
  • Mettre en place une capacité de supervision de la sécurité
  • Réaliser un inventaire des interconnexions avec ses clients et partenaires et en assurer la supervision
  • Pour les fournisseurs de service, mettre en place un cloisonnement entre les différents clients
  • Pour les grandes entités faisant appel à des prestataires, appliquer le principe du moindre privilège pour les accès octroyés aux prestataires (comptes, interconnexions, approbations).

Si vous pensez que votre organisation, un de vos clients ou prestataire, puisse être touché, il est tout d’abord primordial d’utiliser les indicateurs de compromission connus et les journaux d’activité des utilisateurs pour suivre les mouvements latéraux et déterminer si l’organisation est véritablement touchée ou non.

Nous vous conseillons ensuite de prendre contact avec votre fournisseur de sécurité pour vous informer rapidement sur les mises à jour et les flux d’analyse suggérés. Vous pouvez faire appel à un organisme de réponse aux incidents qualifié, comme TEHTRIS, qui peut être engagé dès le premier signe de compromission.

Il vous faudra également renouveler ou nettoyer votre parc informatique afin que les hôtes et les justificatifs d’identité qui s’y trouvent soient sécurisés. Par la suite, nous vous recommandons d’engager une surveillance plus active de vos réseaux pour y repérer de potentielles anomalies.

Il est important de disposer d’une fonction de gestion des risques de la chaîne d’approvisionnement si possible ; au minimum, disposer d’une liste documentée des fournisseurs et vendeurs critiques dans le cas où une infraction est signalée.

Dans le cadre d’une crise de cybersécurité impliquant de l’espionnage, la priorité est de déployer sur votre parc une solution comme TEHTRIS EDR combinée à TEHTRIS EPP. L’objectif de ces dernières est d’obtenir une visibilité globale sur votre système d’information afin de détecter, d’analyser et répondre aux menaces en les éliminant. Parallèlement, nos experts vous recommandent vivement d’installer une solution telle que TEHTRIS SIEM pour avoir une vision étendue de vos périphériques (VPN, etc.). Enfin, nous vous conseillons des solutions de type TEHTRIS DNS Firewall pour repérer d’éventuels contacts persistants avec les serveurs « command and control » des attaquants, ou encore TEHTRIS Deceptive Response avec l’installation de honeypots pour tromper les attaquants.

TEHTRIS, expert en cyber sécurité, lutte contre le cyber espionnage

Chez TEHTRIS, nos experts œuvrent au quotidien pour analyser l’état de santé des systèmes d’information de nos clients. Nos technologies déployées sur l’ensemble d’un parc permettent de détecter, d’analyser et de neutraliser une menace en quelques secondes.

Dès l’instant où le périmètre est couvert par nos solutions, l’organisation est protégée, du fournisseur de service au grand groupe international, qu’il soit privé ou public. Nos solutions détectent depuis plusieurs années des opérations de cyber espionnage furtif sans arme et sans malware.

Nous réalisons régulièrement des tests d’intrusion sur nos technologies, sur toutes les intégrations et effectuons des audits pour garantir à nos clients la meilleure protection possible.

close

Keep in touch with TEHTRIS