Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Benoit Grunemwald, ESET France : le facteur humain doit devenir un maillon fort de la cyber sécurité

octobre 2021 par Marc Jacob

A l’occasion des Assises, ESET présentera son offre destinée aux entreprises pour mieux refléter et intégrer les évolutions technologiques de nos solutions de détection et de réponse. Cette offre se décline en versions cloud et / ou on-premise. Devant la multiplication des menaces Benoit Grunemwald, Expert Cybersécurité d’ESET France estime que le facteur humain doit devenir un maillon fort de la cyber sécurité.

Global Security Mag : Qu’allez-vous présenter à l’occasion des Assises de la Sécurité ?

Benoit Grunemwald : Courant 2021 ESET a révisé son offre destinée aux entreprises pour mieux refléter et intégrer les évolutions technologiques de nos solutions de détection et de réponse. Maintenant sous forme de bundles, nos offres se déclinent en versions cloud et / ou on-premise, permettant de répondre avec souplesse aux besoins de chaque client. Pour autant, et pour permettre à nos clients de s’équiper de plusieurs solutions de sécurité différentes, nos produits restent disponibles à la carte. Nous conservons un esprit « best of breed » qui nous est cher, matérialisé par la recherche de l’excellence dans notre domaine et une ouverture à des partenaires ou confrères pour permettre une lutte efficace et coordonnée. Le meilleur exemple de cette ouverture est l’API de notre EDR. Conscient que les ressources techniques et humaines nécessaires au pilotage et à la réponse en cas d’incident sont multiple, nous avons complètement ouvert l’accès à notre solution par API pour permettre une intégration optimale de nos solutions dans un SOC, qu’il soit dédié ou mutualisé.

GS Mag : Quel sera le thème de votre conférence cette année ?

Benoit Grunemwald : Nos recherches et rapports démontrent à quel point les menaces se complexifient et s’intensifient. Cette année nous porterons notre attention sur les attaques sur la chaîne logistique et l’exploitation de vulnérabilités 0-day, de la détection à l’attribution. Notre chercheur Mathieu Tartare, membre de notre laboratoire de Montréal, présentera les techniques utilisées pour compromettre un logiciel légitime via une attaque sur la chaîne logistique. Cette présentation s’appuiera sur les recherches d’ESET, notamment sur des attaques ciblant des serveurs Microsoft Exchange. A la fois technique et stratégique, nous souhaitons que cette conférence s’adresse au plus grand nombre.

GS Mag : Quelles sont les principales menaces que vous avez pu identifier en 2021 ?

Benoit Grunemwald : Bien évidemment, il est impossible de faire l’impasse sur les rancongiciels, partie émergée et « bouquet final » d’attaques toujours plus complexes et furtives. Nos chercheurs suivent les groupes d’attaquants opérant ces menaces de très près. Pour combattre les rancongiciels nous souhaitons aider les entreprises à agir en amont, en témoigne notre participation soutenue à Mitre et Att&ck. Ces dernières années nous y avons partagé nombre de marqueurs pour aider la communauté à se protéger.

En marge des rancongiciels, nous suivons les campagnes de cyber-espionnage et des TTPs qui y sont liées. Par exemple, s’introduire dans le serveur de messagerie d’une organisation donne accès à de nombreuses informations et potentiellement un accès administrateur. Notons deux événements majeurs en 2021, à date. Au début du mois de mars 2021, les vulnérabilités affectant MS Exchange (CVE-2021-26855 et suivantes) étaient toujours considérées comme des zéro day et utilisées par au moins 6 groupes d’attaquants. Malgré la réaction rapide de l’éditeur et la mise à disposition de correctifs, l’exploitation des failles s’est intensifiée. Notre télémétrie a relevé plus de 5000 serveurs concernés à travers le monde impactés par cette vulnérabilité RCE (Remote Code Execution) accessible avant toute authentification. Une exploitation réussie permet à l’attaquant d’installer des implants sur les serveurs : webshell, backdoors, RAT, qui outre l’accès complet au serveur permet d’exfiltrer les données qui y transitent. exchange-servers-under-siege-10-apt-groups/ L’étude de ces attaques montre que l’exploitation de ces vulnérabilités sont opérées massivement par des modes opératoires habituellement tournés vers le cyber-espionnage : Tonto Team, Winnti Group, Calypso ou encore LuckyMouse (APT27).
L’exploitation des vulnérabilités liées aux serveurs et en particulier aux serveurs Exchange sont critiques. En aout 2021, une backdoor jusqu’alors inconnue et nommée IISpy, est dévoilée par nos chercheurs. Installée comme une extension native pour IIS (Internet Information Service) effectue de nombreuses modifications sur le serveur pour échapper à la détection et assurer sa persistance. La backdoor possède de multiples fonctions, dont l’exfiltration de fichiers et des données, la rendant parfaite pour l’espionnage des conversations, sur les infrastructures MS Exchange + OWA, dont l’affichage d’Outlook en version web est assuré par IIS.
Pour terminer, nos équipes de cyber Threat intelligence se sont étoffées, nous amenant à multiplier les rapports sur des attaques de cyber-espionnage. Nous avons révélé des campagnes d’espionnage contre des ministères des affaires étrangères, des entreprises de télécommunications ou encore de groupes ethniques spécifiques.

GS Mag : Quid des besoins des entreprises ?

Benoit Grunemwald : Détecter les attaques avancées et donc furtives est primordial. L’adoption du modèle zéro trust s’impose comme une évidence. . Pour gagner toujours plus en furtivité, les attaques s’opèrent sans fichiers. Ces techniques ne sont pas nouvelles mais s’intensifient à mesure que les taches et opérations IT s’industrialisent. Ceci complexifie le travail des SOC, qui doivent rechercher parmi leurs infrastructures des logiciels légitimes au comportement illégitime.

GS Mag : De quelle manière votre stratégie est-elle amenée à évoluer pour adresser ces enjeux ?

Benoit Grunemwald : Pour contrer les attaques furtives, notamment basées sur l’utilisation détournée de logiciels légitimes nous améliorons nos outils de détection avancés, en particulier notre EDR. Sachant que la recherche et l’éradication de ces menaces peut être complexe et nécessite de faire coopérer nos outils avec des outils tiers, nous avons développé une API permettant à notre EDR de communiquer avec les composants des SOC.

GS Mag : Avec la pandémie, le télétravail et sa sécurisation sont devenus incontournable aujourd’hui. De quelle manière intégrez-vous ces principes au sein de votre entreprise et de votre offre ?

Benoit Grunemwald : Le maitre mot est zero-trust. Chaque collaborateur en télétravail ou au bureau, chaque élément actif, chaque échange de données avec l’extérieur sont régit par ce principe. Nos collaborateurs sont sensibilisés aux risques, ils utilisent à la maison notre scanner de réseau local pour déceler les vulnérabilités sur leurs réseau domestique. Ceci est disponible dans notre solution grand public.

Notre offre évolue en conséquence. La sécurité des endpoint est primordiale, nous y avons ajouté la protection des applications MS365. Non seulement nous protégeons la messagerie Exchange, mais nous y ajoutons la protection complète de l’environnement : Teams, Onedrive…

GS Mag : Quels sont vos conseils en la matière, et plus globalement pour limiter les risques ?

Benoit Grunemwald : Les analyses de risque puis les audits permettent de déterminer les axes d’amélioration en matière de réduction de risques. Nous recommandons d’appliquer les correctifs dans un délai très court et de surveiller les accès aux ressources. Il est capital de renforcer les politiques de protection d’accès aux données en 3 axes. Généraliser le MFA, le Chiffrement complet du disque et définir les limites et restrictions à l’échange de données avec la DLP.
Il convient de ne pas oublier le facteur humain et d’en faire un maillon fort de la cyber sécurité. Nous sommes partenaire cybermalveillance.gouv.fr depuis la création du GIP, nous sommes convaincus du bien-fondé de la sensibilisation.

GS Mag : Enfin, quel message souhaitez-vous faire passer aux RSSI ?

Benoit Grunemwald : Nous nous attachons à proposer des solutions à la pointe dans leur domaine et à permettre aux offres tierces et complémentaires d’interagir avec nous. A très vite aux Assises de la sécurité.

- Pour en savoir plus https://www.eset.com/fr/les-assises/

Pour tout renseignement complémentaire :
Nicolas Chaubard
Directeur du Service clients finaux
nicolas.c@eset-nod32.fr
Tél. +33(0)6.72.42.76.86


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants