Une meilleure cyber-hygiène aurait-elle pu empêcher l’attaque de SolarWinds ?

La Cybersecurity and Infrastructure Security Agency a confirmé cette semaine dans une lettre qu’une meilleure cyberhygiène – en particulier, le blocage des serveurs SolarWinds Orion du trafic Internet sortant – aurait pu aider à prévenir l’attaque de la chaîne d’approvisionnement. Mais les experts en cybersécurité disent que cela seul n’aurait pas protégé les organisations contre l’infiltration.

La CISA répondait au sénateur Ron Wyden, D-Ore., qui s’est enquis en février de l’attaque de la chaîne d’approvisionnement et des raisons pour lesquelles le système de détection d’intrusion Einstein du gouvernement fédéral était inefficace. Dans la réponse de CISA, dont les détails ont été rapportés pour la première fois dans Reuters, l’agence a convenu que le blocage des connexions sortantes à Internet aurait neutralisé le malware SolarWinds. Cependant, bien que la CISA ait déclaré avoir observé des situations dans lesquelles le blocage des serveurs Orion à partir d’Internet a réussi, cela “ne s’applique pas à toutes les intrusions et peut même ne pas être réalisable compte tenu des exigences opérationnelles de certaines agences”.

En effet, les professionnels de la sécurité soulignent l’étalement des politiques de pare-feu individuelles requises au périmètre du réseau. Oliver Tavakoli, CTO chez Vectra, a déclaré que la configuration d’une politique personnalisée pour chaque serveur du réseau nécessiterait un investissement substantiel en capital humain et technique pour créer et maintenir.

“Alors que le manque de cyberhygiène simple peut souvent être blâmé pour la réussite d’une étape cruciale d’une attaque, le recul est presque toujours de 20/20”, a-t-il déclaré.

“Un tel investissement doit être considéré dans le contexte des investissements globaux dans la cybersécurité qu’une organisation fait et la réponse de CISA clarifie ce point”, a déclaré Tavakoli. « Alors bien sûr : verrouillez vos politiques de pare-feu Internet, mettez en œuvre une meilleure segmentation du réseau et, plus important encore, déplacez vos capacités de détection et de réponse à l’intérieur du réseau où la plupart des actions effectuées par les attaquants sont réellement visibles et plus difficiles à cacher . “

Tavakoli a ajouté qu’il n’est pas possible de bloquer toutes les connexions sortantes de tous les serveurs. Il a expliqué que les serveurs peuvent avoir besoin d’établir des connexions sortantes pour fonctionner correctement et, comme indiqué dans la réponse CISA, les serveurs Orion doivent établir certaines connexions vers les réseaux de support de SolarWinds dans le cadre normal de son fonctionnement.

“Donc, si la politique de pare-feu pour le serveur Orion avait été restrictive – seules les connexions sortantes autorisées vers le réseau de support de SolarWinds étaient autorisées – le téléchargement de la deuxième étape du logiciel malveillant aurait échoué”, a déclaré Tavakoli. Cela “ne signifie pas que les attaquants n’auraient pas trouvé un autre moyen d’établir une empreinte à l’intérieur des environnements cibles – juste que ce vecteur particulier aurait été arrêté”.

Chris Grove, évangéliste technologique chez Nozomi Networks, a ajouté que si la cyberhygiène joue un rôle dans la résistance aux attaques, ainsi que dans la résilience après une violation, il est un peu exagéré de dire que cela aurait empêché un assaut de type SolarWinds.

“Comme l’hygiène du monde réel, c’est une bonne pratique et élimine les menaces courantes au jour le jour”, a déclaré Grove. “Cependant, nous devons toujours prévoir l’inévitable, et savoir qu’Einstein ne se concentre que sur le périmètre montre un trou béant dans la planification de la résilience. L’intérieur du réseau doit être surveillé à la recherche d’anomalies, d’attaques connues et de suivre la myriade d’appareils existants. Mettre tous nos œufs dans le panier d’Einstein est un trop grand risque pour continuer, donc je suis d’accord avec le sentiment qu’une surveillance accrue au sein des réseaux gouvernementaux doit avoir lieu. »

Tavakoli a ajouté que l’industrie doit adopter une approche holistique plutôt que de chercher une solution miracle. Par exemple, il pense qu’il est irréaliste de s’attendre à ce qu’Einstein puisse prendre un jour zéro, c’est-à-dire une vulnérabilité jamais vue auparavant.

« Le problème ici est que nous nous appuyons sur une source de données – le trafic réseau quittant les réseaux fédéraux – qui est assez mal adaptée pour trouver de telles attaques nouvelles », a-t-il déclaré. “Utiliser plus de sources de données plus profondément dans les environnements est le moyen de renverser le script.”