Comment sécurisez-vous vos communications suite aux révélations du Volt Typhoon ?

Lucas Morel

Les nouvelles alarmantes selon lesquelles des groupes menaçants affiliés à la Chine ont probablement infiltré les télécommunications américaines nous rappellent qu’il faut réfléchir aux domaines dans lesquels vous pouvez renforcer les communications sur votre réseau.

Le FBI a récemment publié des informations selon lesquelles les messages texte entre les systèmes de messagerie Apple et Android n’étaient pas sécurisés et que les attaquants pouvaient écouter et accéder à ces communications, suite à la révélation selon laquelle un acteur menaçant affilié à la Chine avait violé des sociétés de télécommunications.

L’annonce selon laquelle le groupe connu sous le nom de Salt Typhoon avait compromis les réseaux des principaux fournisseurs de télécommunications mondiaux pour mener une vaste et importante campagne de cyberespionnage a mis en évidence un certain décalage concernant ces communications électroniques : comme pour le courrier électronique, nous n’aurions jamais dû les considérer comme sécurisées en premier lieu. .

Les détails ont été récemment publiés dans un livre blanc rédigé conjointement par la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA), le Federal Bureau of Investigation (FBI), l’Australian Cyber ​​Security Centre (ACSC), le Canadian Cyber ​​Security Agency. Security Center (CCCS) et le National Cyber ​​Security Center de Nouvelle-Zélande (NCSC-NZ).

Pendant de nombreuses années, notre infrastructure de télécommunications a été construite avec une technologie qui nécessitait des connaissances spécialisées ou des outils uniques pour tracer les communications. Cela me rappelle l’histoire classique de l’intrusion informatique, celle de Clifford Stoll et l’histoire de « L’œuf de coucou », dans laquelle Stoll a créé un pot de miel d’informations fictives pour maintenir un intrus en ligne suffisamment longtemps pour que les autorités allemandes puissent retracer la connexion.

Désormais, notre infrastructure de communication est intégrée à la technologie Internet et est donc susceptible d’être infiltrée par un grand nombre de points d’intrusion possibles.

Les conseils de la CISA et de la NSA contiennent de bons conseils anti-risque

Bien que les récentes directives fournies par la CISA et la NSA concernent spécifiquement l’infrastructure des télécommunications, étant donné que nous utilisons Internet pour presque tout de nos jours, il est sage d’envisager de renforcer votre réseau avec le même zèle pour la protection et le renforcement. Je vous recommande de consulter le document et d’appliquer ses directives générales de réduction des risques pour la communication traditionnelle à l’ensemble de votre technologie et sur l’ensemble de votre réseau.

Toute gestion des modifications apportées aux appareils de périphérie ou au matériel de communication doit être surveillée et approuvée. Assurez-vous que toutes les règles de pare-feu sont approuvées et documentées. Et regardez au-delà du matériel sur site pour répondre à tout changement similaire en matière de réseau cloud.

Par exemple, lorsque vous utilisez Microsoft Entra, surveillez les paramètres entourant les réseaux approuvés et les règles d’accès conditionnel. Assurez-vous qu’aucun de ces paramètres n’est modifié à moins que cela ne soit documenté par les membres de votre entreprise.

Examinez les entrées et sorties de vos actifs réseau et déterminez si vous avez accès à la journalisation nécessaire pour accéder aux documents. Encore une fois, ne vous contentez pas d’examiner l’accès à votre réseau physique, examinez également vos ressources cloud et assurez-vous que la connexion est en place. Dans le cas des actifs cloud, cela peut signifier que vous devez vous assurer que vous disposez de la licence appropriée pour disposer de la journalisation nécessaire.

Assurez-vous d’avoir une règle de « besoin d’accès » selon laquelle seuls les administrateurs et les postes de travail spécifiés comme administrateurs ont accès aux appareils et emplacements réseau sensibles. Configurez des listes de filtrage de sortie et de contrôle d’accès pour limiter l’accès aux adresses IP, aux postes de travail ou aux segments de réseau comme bon vous semble. Investissez dans des postes de travail pouvant recevoir des politiques restrictives telles qu’ils puissent être désignés comme des machines à accès limité et fiables pour accéder à distance aux appareils sensibles en périphérie de votre réseau.

Examinez tous les appareils de périphérie et assurez-vous qu’ils sont à jour avec les mises à jour du micrologiciel et les correctifs. Souvent, ces appareils ne sont pas sous contrôle géré et peuvent ne pas maintenir leur statut de correctifs. Nous devrions.

Assurez-vous que le VPN et l’infrastructure Edge ne sont pas vulnérables

Au cours de l’année écoulée, les ransomwares sont entrés dans de nombreuses entreprises à partir de points d’accès tels que l’infrastructure de réseau privé virtuel (VPN), il est donc essentiel que tous les actifs connectés et utilisant le VPN soient corrigés et installés sur les produits pris en charge.

Assurez-vous que des algorithmes cryptographiques modernes sont utilisés et examinez leurs fournisseurs pour détecter toute vulnérabilité Zero Day passée et le temps qu’il a fallu pour les corriger. Vous souhaiterez peut-être accorder la priorité à l’examen de votre accès périphérique et à l’ampleur des risques qu’il vous fait courir afin de vous donner une analyse appropriée de votre risque d’attaque.

Même si vous ne corrigez pas immédiatement les vulnérabilités, la détection de vos points de terminaison vous offre souvent une protection suffisante pour empêcher les attaques du système d’exploitation. Cependant, les appareils de périphérie sont souvent les premières cibles, car les attaquants savent que nous prenons souvent beaucoup plus de temps à mettre à jour les logiciels d’accès en raison de la nécessité de conserver l’accès requis pour les besoins professionnels quotidiens.

Il est important de surveiller votre matériel et vos appareils périphériques pour détecter toute annonce obsolète ou en fin de vie. Nous avons tendance à prêter attention aux annonces de fin de vie des systèmes d’exploitation en raison des gros titres et de la couverture fournie par les fournisseurs. Par exemple, beaucoup d’entre nous se concentrent sur la fin de vie prochaine de Windows 10 et le support de sécurité étendu qui en résulte. logiciel que Microsoft prévoit de vendre l’année prochaine. Ne laissez pas l’énergie que vous y consacrez vous distraire des autres appareils et applications qui nécessitent une maintenance.

La fin de l’année est le moment idéal pour vous préparer aux nouvelles menaces.

Passez en revue votre technologie d’accès et assurez-vous qu’une authentification multifacteur résistante au phishing est utilisée dans votre environnement. Dans les environnements professionnels, assurez-vous d’utiliser une authentification multifacteur basée sur le matériel, telle que PKI ou FIDO.

Les attaquants ont utilisé et ciblé le matériel et les logiciels Cisco dans le cadre de plusieurs attaques. Plus précisément, CISA vous recommande de désactiver tous les services et technologies que vous n’utilisez pas explicitement dans votre environnement. De plus, il est recommandé de prendre des mesures supplémentaires pour désactiver divers services Cisco, telles que les suivantes :

  • Désactivez le service Smart Install de Cisco.
  • Désactivez l’accès au shell invité.
  • Désactivez toutes les fonctionnalités de gestion Web non chiffrées.
  • Assurez-vous que les serveurs Web, le cas échéant, sont configurés avec des connexions SSL cryptées.
  • N’activez la gestion Web que si nécessaire.
  • Désactivez telnet et assurez-vous qu’il n’est activé sur aucune ligne de télétype virtuel (VTY).

Ce n’est pas le premier, ni le dernier, avertissement concernant des groupes menaçants soutenus par la République populaire de Chine et ciblant le gouvernement et les entreprises. En février 2024, la CISA a publié son avis sur Volt Typhoon et la capacité de l’APT à cibler et à effectuer une reconnaissance avant compromission.

Alors que nous clôturons l’année de sécurité 2024, je vous recommande de revoir sa discussion sur les compromis et votre infrastructure actuelle. Êtes-vous prêt à vous protéger et à vous défendre contre de telles attaques ciblées ? Êtes-vous prêt à appliquer immédiatement des correctifs pour tout périphérique de périphérie Zero Day qui pourrait survenir en 2025 ?