Les analystes affirment que les RSSI et les responsables informatiques peuvent mieux prévenir de telles attaques grâce à ce qui devrait être des procédures de sécurité standard.
Lorsque Daniel Rhyne a plaidé coupable le 1er avril pour avoir lancé une attaque d’extorsion interne contre son employeur d’alors, les autorités ont énuméré les techniques qu’il avait utilisées, notamment des sessions de bureau à distance non autorisées, la suppression de comptes d’administrateur réseau, la modification de mots de passe et la planification de tâches non autorisées sur le contrôleur de domaine.
Après avoir fermé les systèmes et comptes clés, il a envoyé une note aux employés dans laquelle il affirmait avoir supprimé toutes les sauvegardes et menaçait de continuer à fermer les serveurs à moins qu’il ne reçoive des bitcoins d’une valeur d’environ 750 000 $.
Mais ce que les consultants et les analystes ont trouvé le plus préoccupant, c’est à quel point les techniques qu’il utilisait étaient banales et routinières. En d’autres termes, les procédures de sécurité standard auraient dû les bloquer presque toutes.
Actions préventives manquantes
Les menaces internes aux entreprises ne sont pas nouvelles, mais les consultants et les analystes ont déclaré que de nombreuses entreprises ne prennent pas toutes les mesures préventives qu’elles peuvent et devraient, parce que le personnel informatique résiste, considérant ces efforts comme une surveillance excessive de leurs activités, ce qui ralentit également leur travail.
Le consultant en cybersécurité Brian Levine, directeur exécutif de FormerGov, a déclaré : « ce qui rend l’affaire intéressante, c’est à quel point la trajectoire de l’attaque était ennuyeuse et prévisible ».
Levine a noté que les sauvegardes doivent toujours être immuables. « Personne dans l’entreprise ne devrait pouvoir supprimer, modifier ou chiffrer la sauvegarde pendant une période de temps définie », a-t-il déclaré. Il a également souligné que le principe du moindre privilège doit être appliqué aux travailleurs dont l’emploi change pour quelque raison que ce soit.
De manière critique, il a fait valoir que l’utilisation de divers outils devrait être immédiatement signalée comme préoccupante. « Instrument Task Scheduler, PsExec, PsPasswd et Net User sont des signaux à haut risque. Ce sont l’équivalent interne des crochets de verrouillage », a-t-il déclaré. « Ils doivent générer des alertes comportementales lorsqu’ils sont utilisés à grande échelle, en dehors des heures d’ouverture ou à partir d’hôtes inhabituels. »
Levine a également suggéré une surveillance approfondie du système. « Si quelqu’un utilise RDP dans un contrôleur de domaine à 7 h 48 et crée 16 tâches planifiées, vous devriez disposer d’une piste d’audit de type vidéo. »
Paul Furtado, analyste vice-président distingué chez Gartner, a déclaré qu’il encourage les clients à s’assurer qu’aucun administrateur ne peut causer ce type de dommages.
« Créez un modèle d’administration à plusieurs niveaux avec une autorité fragmentée. Cela permet une rotation de la propriété des processus phares, même entre les ingénieurs et les administrateurs supérieurs », a conseillé Furtado. L’informatique doit également inclure « un identifiant d’administrateur à rupture de verre stocké dans des modules de sécurité matériels ou des coffres-forts numériques (qui sont) uniquement destinés à être utilisés via des exercices de test et en cas d’urgence ».
Flavio Villanustre, RSSI du groupe LexisNexis Risk Solutions, a ajouté : « les mêmes comptes utilisés pour administrer leurs réseaux (dans le cas de Rhyne) semblaient également capables de détruire de manière irréversible leurs sauvegardes, ce qui indique qu’une forte séparation des tâches n’était pas en place. »
Rhyne risque désormais une peine de prison considérable. Les documents déposés par le ministère américain de la Justice indiquent que « l’accusation d’extorsion pour laquelle Rhyne a plaidé coupable est passible d’une peine maximale de cinq ans de prison, et les dommages intentionnels à une violation informatique protégée pour laquelle Rhyne a plaidé coupable sont passibles d’une peine maximale de 10 ans de prison ».
