2024-02-23 12:12:48
Les cyber-intrusions parrainées par l’État sont devenues une préoccupation croissante tant pour les gouvernements que pour les organisations australiennes. Le ministre de la Défense, Richard Marles, a prévenu l’année dernière que le pays était constater un plus grand intérêt de la part des acteurs étatiques pour les infrastructures critiques.
Nathan Wenzler, stratège en chef de la sécurité chez la société de cybersécurité Tenable, a déclaré que les acteurs de la menace parrainés par l’État s’infiltrent généralement de manière furtive et se propagent. Wenzler a déclaré que les organisations australiennes devraient les traiter avec autant de sérieux que les autres acteurs, sous peine de courir de graves risques lors d’un conflit géopolitique.
Selon Wenzler, la récente attaque parrainée par l’État et menée par le groupe Midnight Blizzard, soutenu par la Russie, contre Microsoft a montré qu’il s’agit d’un mythe sur l’immunité des grandes organisations. Les entreprises doivent acquérir une compréhension complète de leur environnement et affiner leur approche de gestion des risques.
Les cyberattaques parrainées par l’État sont une préoccupation croissante en Australie
Les cybermenaces parrainées par l’État sont en hausse en Australie. Le Le Centre australien de cybersécurité a découvert un nombre total de rapports sur la cybercriminalité ont augmenté de 23 % pour atteindre 94 000 au cours de l’année jusqu’en juin 2023, attribuant une partie de cette augmentation aux attaques parrainées par l’État contre les infrastructures critiques.
Le rapport de l’ACSC indique que cette augmentation de l’activité parrainée par l’État s’explique en partie par la création du nouveau partenariat de défense AUKUS entre l’Australie, le Royaume-Uni et les États-Unis, « axé sur les sous-marins nucléaires et d’autres capacités militaires avancées ».
VOIR : Pourquoi l’incertitude constitue le plus grand défi de la stratégie australienne de cybersécurité
UN Rapport de revue de l’année sur la cybersécurité de Dragosspécialisé dans la sécurité des infrastructures industrielles et critiques, a constaté une tendance continue des adversaires à cibler les organisations industrielles du monde entier, dont certaines sont liées à des groupes parrainés par l’État.
« Malgré son isolement géographique, l’Australie n’est pas à l’abri des assauts. En fait, l’équipe Dragos Intel a observé de nombreux cas d’adversaires ciblant directement des entités australiennes d’infrastructures critiques », a déclaré Conor McLaren, chasseur principal chez Dragos.
Celles-ci comprenaient des « opérations stratégiques de cyberespionnage », selon McLaren.
Volt Typhoon, un exemple de menace pour les intérêts géopolitiques australiens
L’Australie et la Nouvelle-Zélande se sont jointes à d’autres partenaires du renseignement Five Eyes l’année dernière pour dénoncer un lien entre le réseau de piratage Volt Typhoon et la Chine. Il a été découvert que Volt Typhoon avait compromis des milliers d’appareils et des infrastructures critiques américaines, à des fins d’espionnage et de sabotage.
Utilisant des techniques de « vivre de la terre », qui ne déclenchent généralement pas l’alarme pour les professionnels de la cybersécurité à mesure qu’elles se propagent, Volt Typhoon et les groupes associés ont été désignés comme une menace potentielle pour les infrastructures et les organisations critiques australiennes, s’ils prenaient pied.
Le PDG de Tesserent, Kurt Hansen, a récemment déclaré à TechRepublic Australia que l’environnement géopolitique actuel créait des risques pour les organisations commerciales si les tensions se détérioraient et que les modèles commerciaux étaient menacés. Hansen a exhorté les organisations à faire preuve de vigilance face à ces attaques.
Plus de couverture en Australie
Comment et pourquoi les cyberattaques parrainées par l’État se produisent généralement
Le modèle commun observé dans les attaques parrainées par l’État est la furtivité, selon Wenzler de Tenable. Les attaquants sont discrets dans leurs méthodes d’attaque, adoptant une « approche d’attente pour infiltrer un réseau, compromettre un appareil ou un système et attendre des opportunités », a déclaré Wenzler.
Nathan Wenzler, stratège en chef de la sécurité, Tenable. Image : Tenable
Généralement, leur objectif est de se propager.
“Ils ne causent pas de dégâts, ils ne déclenchent pas d’alarmes”, a expliqué Wenzler. « Mais ils continuent de se propager. Ils utiliseront cette première place pour faire davantage de compromis, obtenir des informations d’identification, accéder aux candidatures, car les acteurs étatiques ne recherchent pas de récompense financière.
En fin de compte, ces acteurs veulent avoir la possibilité de causer du tort en cas de conflit.
« Ils cherchent à fermer des infrastructures critiques ou des opérations militaires. Ils cherchent à semer la panique ou à avoir un impact sur les citoyens, en fermant des services comme l’approvisionnement en eau ou en électricité », a déclaré Wenzler.
Les acteurs étatiques doivent être traités sérieusement comme des crimes financiers
Les organisations australiennes ne prennent peut-être pas suffisamment au sérieux les cyberattaquants parrainés par l’État, selon Wenzler. La raison principale est que, contrairement aux cybercriminels traditionnels comme les attaquants de ransomwares, les attaquants parrainés par l’État n’ont aucun impact financier immédiat.
“Mais le niveau de dégâts qu’ils peuvent causer est bien plus important”, a déclaré Wenzler. “La perte financière est évidemment un gros problème, mais pensez à ce genre de nature méthodique et méticuleuse qui consiste à infiltrer tout ce qui se trouve dans votre environnement, et si j’en ai besoin, ils pourraient tout supprimer.”
Bien que cela soit souvent considéré comme un problème gouvernemental, Wenzler a déclaré que ces acteurs cherchent à aller au-delà des infrastructures critiques et que tout fournisseur de services comme les supermarchés ou les hôtels a des responsabilités envers le public.
« Nous ne pouvons pas fermer les yeux sur ces choses, même dans le secteur privé », a déclaré Wenzler.
Midnight Blizzard : leçons pour les professionnels australiens de la cybersécurité
de Microsoft divulgation en janvier 2023 d’un compromis par l’acteur menaçant parrainé par l’État, Midnight Blizzard, est un avertissement : aucune organisation n’est à l’abri des attaques parrainées par l’État. Même avec davantage de ressources et de sensibilisation, les grandes entreprises restent vulnérables aux compromissions.
VOIR : Principales tendances en matière de cybersécurité qui domineront le marché australien en 2024
« De nombreuses organisations pensent que les grandes entreprises font mieux les choses… et seuls ceux d’entre nous qui sont plus petits doivent s’en soucier. Et ce n’est pas le cas », a déclaré Wenzler. « C’est un exemple très frappant de cas où le même type de défis peut arriver à n’importe qui. »
Les identifiants d’identité, un vecteur clé permettant aux acteurs de la menace de prendre pied
Le compromis Midnight Blizzard a mis en lumière l’identité et les informations d’identification. Wenzler a déclaré que les équipes australiennes de cybersécurité devaient être claires sur la gestion des informations d’identification et s’assurer qu’aucune information d’identification n’est oubliée ou n’est pas protégée.
Cela peut être une situation courante autour des comptes de service ou des comptes non humains. Wenzler a déclaré que ces comptes sont attribués à des applications ou à des fonctions automatisées pour qu’ils fonctionnent, mais sont ensuite souvent manqués ou oubliés, même s’ils disposent souvent de privilèges plus élevés.
« Ce sont des cibles privilégiées pour les attaquants », a déclaré Wenzler. « Si vous pouvez obtenir ce type de comptes, vous bénéficiez d’un excellent accès à l’infrastructure, et il y a de fortes chances que personne n’y prête attention. Vous devez maîtriser l’identité ainsi que les droits et autorisations dont tout dispose.
Les environnements interconnectés nécessitent une approche holistique de la sécurité
L’attaque de Microsoft a également révélé l’idée fausse que les fonctions de sécurité peuvent être traitées comme de « petits silos isolés », a déclaré Wenzler, où l’exécution d’une liste de contrôle de tâches telles que l’application de correctifs aux systèmes Windows ou le renforcement de l’infrastructure cloud est tout ce qui est nécessaire pour garantir la sécurité.
« Le défi est que toutes ces choses sont liées », a-t-il déclaré. « Ces systèmes Windows pourraient fournir un accès à votre environnement cloud, et potentiellement atteindre votre infrastructure critique. Il s’agit de se rappeler que toutes ces choses sont liées ensemble.
Comment les cyber-équipes peuvent lutter contre les menaces de sécurité parrainées par l’État
Suite à la compromission de Microsoft par Midnight Blizzard, Wenzler a soutenu que les cyber-équipes devraient revoir les mesures de sécurité, comme garantir l’authentification multifacteur, et appliquer les meilleures pratiques comme le principe du moindre privilège, pour minimiser l’identification du risque de compromission.
Cependant, il a ajouté que la clé était de viser une compréhension globale de l’environnement d’une organisation, d’adopter une approche mature de gestion des risques en matière de sécurité et d’être prêt à impliquer les agences gouvernementales et les forces de l’ordre pour obtenir leur soutien en cas de menace.
Visez la compréhension de l’environnement interconnecté de votre organisation
Les organisations doivent prendre des mesures à l’avance pour comprendre leur environnement aussi complètement que possible, a déclaré Wenzler. Cela s’est avéré particulièrement utile pour identifier les activités des acteurs de la menace parrainés par l’État, qui, grâce à des techniques de « vie de la terre », ne déclenchaient pas d’avertissement évident pour les équipes de cybersécurité, ce qui signifiait qu’ils étaient beaucoup plus difficiles à détecter.
Adopter une approche proactive de gestion des risques pour les opérations de cybersécurité
Il est également conseillé aux organisations de suivre des cadres tels que le NIST et The Essential Eight, qui ont évolué au fil du temps, passant d’une approche axée sur l’installation de murs et l’espoir que les acteurs malveillants rebondissent sur eux, à une approche plus proactive de gestion des risques en matière de cybersécurité.
« Alors que nous adoptons cette idée, la sécurité est bien plus une question de gestion des risques que la simple mise en œuvre de services informatiques. Vous devez alors commencer à comprendre ce paysage de risques ; cela signifie être proactif, comprendre l’environnement, comprendre le profil de risque et utiliser cela pour prendre de bonnes décisions sur ce qu’il faut faire ensuite, y compris quels contrôles de sécurité vous conviennent », a déclaré Wenzler.
Soyez prêt à solliciter le soutien des autorités chargées de l’application de la loi
Même si les organisations sont susceptibles de chercher à résoudre le problème d’un acteur menaçant parrainé par l’État comme un incident de sécurité normal, Wenzler a déclaré qu’il était également important d’impliquer les forces de l’ordre et les autorités gouvernementales locales, qui ont une connaissance détaillée des acteurs étatiques de la menace. Cela soutiendra également d’autres organisations, car la menace pourrait être plus répandue.
Wenzler a déclaré que les forces de l’ordre offriraient parfois des ressources supplémentaires. Cependant, il a déclaré que de nombreuses organisations du secteur privé n’incluent toujours pas les coordonnées des agences gouvernementales et des forces de l’ordre dans leurs plans de réponse aux incidents. Il a déclaré qu’il était important de documenter à l’avance à qui s’adresser, plutôt que de chercher lorsqu’un incident se produit.
#Les #professionnels #cybersécurité #devraient #sinquiéter #des #cyberattaques #parrainées #par #lÉtat
1708685972
