Technology

L’attaque du rançongiciel Colonial Pipeline un an après : 5 leçons pour les équipes de sécurité

Nous sommes ravis de ramener Transform 2022 en personne le 19 juillet et virtuellement du 20 au 28 juillet. Rejoignez les leaders de l’IA et des données pour des discussions approfondies et des opportunités de réseautage passionnantes. Inscrivez-vous aujourd’hui!


Aujourd’hui marque le premier anniversaire de la Attaque de rançongiciel Colonial Pipelinel’une des plus grandes cyberattaques de l’histoire récente, où un acteur malveillant nommé DarkSide a utilisé un seul mot de passe compromis pour accéder aux systèmes internes du plus grand opérateur de pipeline des États-Unis.

Au cours de l’attaque, alors que les pirates commençaient à crypter les données de l’organisation, Colonial Pipeline a répondu en mettant ses systèmes hors ligne pour arrêter la propagation de la menace, mais a suspendu temporairement les opérations du pipeline et a fini par payer une une rançon de 4,4 millions de dollars.

Bien que l’attaque du Colonial Pipeline soit passée, les rançongiciels restent une menace existentielle pour les entreprises modernes, et avec attaques de rançongiciels à la hausse, les entreprises doivent être préparées.

La bonne nouvelle est qu’il existe un nombre croissant de contrôles de sécurité que les entreprises peuvent mettre en œuvre pour se protéger de ces menaces omniprésentes.

Déployer des architectures zéro confiance

Les identifiants de connexion sont l’une des principales cibles des cybercriminels. Par conséquent, il devient de plus en plus important pour les équipes de sécurité d’implémenter la prise en charge de l’authentification zéro confiance, afin de rendre plus difficile pour les utilisateurs non autorisés de se connecter avec des informations d’identification compromises.

« L’attaque du rançongiciel Colonial Pipeline était un autre exemple très médiatisé d’informations d’identification compromises exploitées pour exploiter une infrastructure que l’on croyait auparavant sécurisée. Par conséquent, les protocoles de sécurité doivent évoluer pour suivre le rythme des menaces dynamiques dans les environnements informatiques distribués », a déclaré le directeur technique et cofondateur du fournisseur de gestion des accès aux identités. PlainIDGal Helemski.

Helemski suggère que les organisations peuvent éviter d’être victimes d’attaques similaires en mettant en œuvre une architecture de confiance zéro qui étend les contrôles d’accès au-delà de la sécurité d’accès au réseau traditionnel tout au long du cycle de vie du parcours numérique.

Mettre en œuvre des capacités robustes de détection et de réponse aux incidents

L’un des principaux facteurs qui déterminent l’impact global d’une violation de ransomware est le temps nécessaire à l’organisation pour réagir. Plus le temps de réponse est lent, plus un cybercriminel a de chances de localiser et de chiffrer des actifs de données critiques.

« Colonial était un point de réflexion important pour la sécurité des infrastructures des secteurs public et privé, mais les organisations doivent rester vigilantes pour garder une longueur d’avance sur les cyber-attaquants », a déclaré le directeur de Cybersecurity Evangelism de la plate-forme de détection et de récupération des rançonneurs. égnytesNeil Jones.

En pratique, cela signifie développer un plan complet de réponse aux incidents, déployer des solutions avec des capacités de détection et de récupération des ransomwares, et offrir aux employés une formation de sensibilisation à la cybersécurité sur la façon de mettre en œuvre des politiques de protection des données efficaces comme des mots de passe forts et une authentification multifacteur.

Ne vous fiez pas aux solutions de sauvegarde et de récupération pour protéger les données

De nombreuses organisations cherchent à se défendre contre les menaces de ransomware en s’appuyant sur des solutions de sauvegarde et de récupération des données. Bien que cela ressemble à une défense efficace sur le papier, les attaquants de rançongiciels ont commencé à menacer de divulguer les données qu’ils ont cryptées si l’organisation victime ne paie pas la rançon.

Plutôt que de s’appuyer sur le chiffrement au repos, que les attaquants peuvent utiliser des informations d’identification compromises pour contourner, Arti Raman, PDG et fondateur du fournisseur de chiffrement en cours d’utilisation Titaniam recommande aux organisations de passer à la protection des données en cours d’utilisation.

“Avec la protection des données par cryptage en cours d’utilisation, si des adversaires franchissent l’infrastructure de sécurité du périmètre et les mesures d’accès, les données structurées et non structurées peuvent [and] vouloir [be] indéchiffrable et inutilisable pour les mauvais acteurs – rendant le chantage numérique beaucoup plus difficile, voire impossible », a déclaré Raman.

Créez un inventaire de votre surface d’attaque

Avec autant d’acteurs de menaces avancés ciblant les organisations modernes avec des menaces de ransomwares, les décideurs techniques et les équipes de sécurité doivent disposer d’un inventaire complet des systèmes exposés aux acteurs de menaces externes et des données qu’ils détiennent.

“Alors que le gouvernement américain s’apprête à renforcer la cybersécurité nationale, les organisations doivent adopter une approche proactive pour sécuriser leurs propres actifs, et c’est là que réside l’avantage : la réactivité”, a déclaré le PDG et cofondateur de l’organisation de services de sécurité gérés.Travaux de cybersécuritéAaron Sandin.

« En réalisant un inventaire complet du système soit de manière indépendante, soit en sous-traitant à une société de gestion des vulnérabilités, les organisations étendent leur visibilité en matière de cybersécurité des exploits connus et inconnus », a déclaré Sandeen.

Alors que le groupe à l’origine de l’attaque du Colonial Pipeline n’existe plus, Sandeen prévient que les entreprises continueront de voir un nombre croissant d’exploits, de vulnérabilités et d’acteurs menaçants APT désireux de les exploiter, “ce qui nécessitera que les responsables de la sécurité fournissent une assistance prédictive et inventive pour catégoriser et éliminer menaces de rançongiciels.

Déployer des solutions de gestion des identités pour identifier les activités anormales des utilisateurs

À l’ère du travail à distance et des employés utilisant des appareils personnels pour accéder aux ressources de l’entreprise, le risque de vol de données est plus important que jamais. “La plupart des violations dont nous entendons parler dans les actualités sont le résultat d’entreprises qui s’appuient sur un contrôle d’accès automatisé et se rendent compte trop tard qu’un utilisateur a été piraté.

“Une fois qu’un compte est compromis, la fraude basée sur l’identité peut être extrêmement difficile à détecter compte tenu des tactiques avancées et du caractère aléatoire de différents groupes criminels comme LAPUS$ et Conti”, a déclaré le CISO de la plate-forme de confiance, fortGunnar Peterson.

Pour cette raison, les organisations doivent avoir la capacité d’identifier les activités anormales des utilisateurs afin de pouvoir détecter la prise de contrôle de compte, ce qui, selon Peterson, peut être obtenu en utilisant une solution de gestion des identités basée sur l’IA avec détection des anomalies.

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie d’entreprise transformatrice et d’effectuer des transactions. En savoir plus sur l’adhésion.

Leave a Reply

Your email address will not be published.