Ingénierie sociale et accès VPN : La fabrication d’une faille moderne
novembre 2023 par Bastien Bobe Directeur technique Europe Continentale chez Lookout
L’ingénierie sociale et les VPN exposent les entreprises à des risques croissants. Limiter l’accès, adopter des technologies avancées et promouvoir une sécurité holistique avec formation et détection proactive sont essentiels pour contrer ces menaces complexes.
Dernièrement, il semble y avoir un flux constant de gros titres sur les grandes entreprises qui subissent des incidents de sécurité. Heureusement, lorsque les entreprises fournissent des détails sur ce qui s’est passé, la communauté de la sécurité peut en apprendre davantage sur les tactiques utilisées dans l’attaque et être en meilleure position pour défendre leurs organisations à l’avenir à l’heure où le paysage des menaces continue d’évoluer.
VPN : une authentification de base et un accès à l’ensemble du réseau
Un large éventail d’utilisateurs a besoin d’accéder à votre infrastructure partout, qu’il s’agisse d’employés, de partenaires ou de sous-traitants. Et la méthode par défaut pour les connecter a souvent été les réseaux privés virtuels (VPN). Le VPN repose sur des contrôles de sécurité de base : mots de passe et MFA. Mais ce n’est pas parce qu’une personne a saisi le bon nom d’utilisateur et peut produire un token MFA qu’elle est légitime. Sans télémétrie supplémentaire, telle que l’analyse du comportement de l’utilisateur, les organisations n’ont aucun moyen de savoir si un compte a été compromis. Étant donné que les hackers n’ont qu’à passer le processus de connexion pour compromettre une infrastructure, l’ingénierie sociale est devenue très efficace. C’est particulièrement vrai avec l’utilisation accrue des appareils mobiles, où il existe d’innombrables canaux pour diffuser des attaques de phishing par vol d’informations d’identification.
Un autre risque créé par les VPN est qu’ils accordent aux utilisateurs plus d’accès qu’ils n’en ont besoin, ce qui est également connu sous le nom de surprovisionnement. Une fois qu’une personne se connecte à un profil VPN, elle a souvent accès à un large éventail de systèmes au sein de ce réseau. Si le profil est compromis, cela permet à l’attaquant d’effectuer des opérations de découverte pour voir quelles sont les autres possibilités qui s’offrent à lui et de se déplacer latéralement dans ce que l’on appelle une opération « land and expand ».
Limitez l’accès à vos VPN, en particulier pour les tiers
Permettre une collaboration transparente avec des tiers est essentiel pour toute entreprise, mais vous devez le faire en gardant à l’esprit la sécurité. Pour minimiser les failles, veillez à ce que vos utilisateurs n’aient accès qu’à ce dont ils ont besoin pour accomplir leur travail, ce que l’on appelle les « privilèges justes suffisants ». Vous pouvez également limiter la durée d’accès d’une personne grâce à l’accès « juste à temps ». Pour obtenir ce niveau de segmentation, il faut aller au-delà du VPN et de ses contrôles d’accès « tout ou rien ». Cela limite non seulement la capacité d’un pirate à se déplacer latéralement, mais réduit également le risque d’attaques par hameçonnage. Recherchez des technologies, telles que l’accès au réseau zero trust (ZTNA), qui peuvent répondre à ces exigences supplémentaires.
Ne pas se contenter des mots de passe et du MFA
Les mots de passe forts et le MFA sont des bases de sécurité solides, mais ils ne suffisent pas à eux seuls. Compte tenu de la diversité des appareils, des réseaux et des lieux à partir desquels vos utilisateurs peuvent se connecter, il est incroyablement difficile pour les outils de sécurité traditionnels de faire la différence entre les utilisateurs légitimes et les acteurs malveillants. C’est là que des données télémétriques supplémentaires doivent être prises en compte, comme le comportement de l’utilisateur ou le niveau de risque de l’appareil qu’il utilise. Il faut également détecter les changements de privilèges, car c’est l’une des premières choses qu’un pirate tentera de faire pour obtenir un accès encore plus large à votre réseau.
Protégez vos employés contre l’ingénierie sociale
Une chaîne d’attaque complète ne peut souvent pas être exécutée sans un point d’ancrage initial, qui est le plus souvent atteint avec un justificatif d’identité compromis. L’époque des attaques par force brute est révolue. Il est beaucoup plus facile d’acheter un kit d’hameçonnage sur le Dark Web ou de créer un proxy qui redirige l’utilisateur ciblé vers une fausse version de son identifiant d’entreprise. Les attaquants étant de plus en plus habiles à lancer des escroqueries par ingénierie sociale, vous devez protéger vos employés sur tous les appareils. La première étape consiste à s’assurer que vos utilisateurs sont correctement formés, en particulier lorsqu’il s’agit d’attaques de phishing modernes provenant de canaux mobiles. Ensuite, il faut être en mesure de bloquer les attaques de phishing et le trafic réseau malveillant sur vos appareils mobiles, vos ordinateurs portables et vos ordinateurs de bureau. La détection des connexions Internet entrantes et sortantes vous permet d’empêcher les sites malveillants d’atteindre vos utilisateurs et d’empêcher toute fuite de données.
Aucun problème de sécurité ne peut être résolu isolément
Nous avons été conditionnés à considérer les différents aspects de la sécurité comme des problèmes indépendants mais une violation ne peut être stoppée que si chacune des étapes décrites ci-dessus fonctionne à l’unisson. De même qu’aucune appli cloud ne réside sur une île, aucun problème de sécurité ne peut être résolu de manière isolée. Pour vraiment réduire les risques et protéger vos données, une plateforme unifiée qui envisage votre sécurité de manière holistique est nécessaire.