Renforcez votre cloud! CISA met en garde les organisations face à la montée des attaques

  • FrançaisFrançais


  • La Cybersecurity and Infrastructure Security Agency (CISA) a conseillé aux utilisateurs et aux organisations de renforcer leurs configurations de sécurité cloud après avoir détecté plusieurs attaques ciblant les services cloud. Dans un avis de sécurité, l’agence a déclaré que les cybercriminels utilisaient le phishing avancé et d’autres vecteurs d’attaque pour exploiter des services cloud mal configurés.

    Attaques Brute Force et Pass-the-Cookie

    CISA a affirmé que les attaquants exploitaient une variété de tactiques et de techniques, y compris le phishing, les tentatives de connexion par force brute et les attaques par passe-cookie pour exploiter les failles des pratiques de sécurité cloud d’une organisation.

    Dans Passez le cookie technique d’attaque, l’attaquant compromet les cookies pour obtenir un accès sans restriction aux ressources de la victime. Même l’authentification multifacteur peut être contournée en utilisant cette technique.

    «Ces types d’attaques se produisaient fréquemment lorsque les employés des organisations victimes travaillaient à distance et utilisaient un mélange d’ordinateurs portables d’entreprise et d’appareils personnels pour accéder à leurs services cloud respectifs. Malgré l’utilisation d’outils de sécurité, les organisations touchées avaient généralement de faibles pratiques de cyberhygiène qui permettaient aux acteurs menaçants de mener des attaques réussies », a déclaré CISA.

    Observations de CISA

    • Dans plusieurs missions, CISA a observé des acteurs menaçants collectant des informations sensibles en tirant parti des règles de transfert des e-mails, que les utilisateurs avaient mises en place pour transférer les e-mails professionnels vers leurs comptes de messagerie personnels.
    • CISA a déterminé que les acteurs malveillants ont modifié une règle de messagerie existante sur le compte d’un utilisateur – initialement définie par l’utilisateur pour transférer les e-mails envoyés d’un certain expéditeur vers un compte personnel – pour rediriger les e-mails vers un compte contrôlé par les acteurs. Les adversaires ont mis à jour la règle pour transférer tous les e-mails vers leurs comptes.
    • Les attaquants ont également modifié les règles existantes pour rechercher dans les messages électroniques des utilisateurs (objet et corps) plusieurs mots-clés liés aux finances (qui contenaient des fautes d’orthographe) et transférer les e-mails vers leurs comptes.
    • En plus de modifier les règles de messagerie des utilisateurs existantes, ils ont créé de nouvelles règles de boîte aux lettres qui transféraient certains messages reçus par les utilisateurs (en particulier les messages contenant certains mots-clés liés au phishing) vers les fils RSS ou les abonnements RSS des utilisateurs légitimes dans une offre pour empêcher les utilisateurs légitimes de voir les avertissements.

    Comment atténuer?

    CISA a également recommandé certaines étapes de sécurité pour les organisations afin de renforcer leurs pratiques de sécurité cloud. Ceux-ci inclus:

    • Mettez en œuvre des stratégies d’accès conditionnel (CA) en fonction des besoins de votre organisation.
    • Établissez une base de référence pour une activité réseau normale dans votre environnement.
    • Examinez régulièrement les journaux de connexion Active Directory et les journaux d’audit unifiés pour détecter toute activité anormale.
    • Avoir un plan ou des procédures d’atténuation en place; comprendre quand, comment et pourquoi réinitialiser les mots de passe et révoquer les jetons de session.
    • Vérifiez que toutes les instances de machine virtuelle basées sur le cloud avec une adresse IP publique n’ont pas de ports RDP (Remote Desktop Protocol) ouverts. Placez n’importe quel système avec un port RDP ouvert derrière un pare-feu et demandez aux utilisateurs d’utiliser un VPN pour y accéder via le pare-feu.
    • Concentrez-vous sur la sensibilisation et la formation. Informez les employés des menaces, telles que les escroqueries par hameçonnage, et de la manière dont elles sont diffusées. En outre, fournissez aux utilisateurs une formation sur les principes et les techniques de sécurité de l’information ainsi que sur les risques et vulnérabilités émergents en matière de cybersécurité.
    • Établissez des rapports sans blâme sur les employés et assurez-vous que les employés savent qui contacter lorsqu’ils voient une activité suspecte ou lorsqu’ils croient avoir été victime d’une cyberattaque. Cela garantira que la stratégie d’atténuation correctement établie peut être utilisée rapidement et efficacement.
    Article précédentNokia pour le projet fédéral américain de cybersécurité 5G
    Article suivant«La bataille pour que le marché des vaccins lance des cyberattaques a déjà commencé»

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *