Vue d’ensemble
Des événements comme SaltTyphoon rappellent bien la vulnérabilité des entreprises et des utilisateurs aux violations de données en raison de leur dépendance à des infrastructures qui peuvent ne pas être sous leur contrôle. Avec des applications de plus en plus distribuées et servies par des clouds publics, des SAAS, et des fournisseurs de services mondiaux pour le calcul, le stockage et les réseaux, les surfaces d’attaque échappent à leur contrôle. Comme on le dit souvent, les violations de données ne sont plus une question de « si », mais de « quand ». L’approche la plus évidente pour prospérer dans cet environnement est de réduire les surfaces d’attaque externes et internes en utilisant les principes de Zero Trust pour sécuriser par conception. Assurer un accès réseau sécurisé avec Unified SASE en tant que service est un grand pas en avant pour offrir une simplicité opérationnelle en éliminant la prolifération des fournisseurs de réseaux et de sécurité. En cas de violation, il devient encore plus critique d’isoler le problème, de réduire la zone d’impact et de continuer à répondre aux besoins de l’entreprise. SASE contrôle le déploiement de diverses technologies de sécurité et fournit un temps de réponse plus rapide, ce qui aide considérablement à l’hygiène du réseau et réduit les surfaces d’attaque.

Infrastructure ciblée

Les produits d’infrastructure les plus populaires, comme les commutateurs et les routeurs, sont largement utilisés dans l’industrie. Il est bien connu que parfois le mot de passe par défaut de l’usine n’est pas changé. Étant donné la prévalence des équipements Cisco, il n’est pas surprenant que SaltTyphoon cible les dispositifs Cisco. Plusieurs raisons sont évoquées ci-dessous :

  • Compte tenu de son ubiquité et de sa domination sur le marché, Cisco est l’un des plus grands fournisseurs d’équipements de réseau au monde. Ses appareils sont déployés dans des entreprises, des fournisseurs de services et des infrastructures critiques. Une compromission réussie des équipements Cisco peut permettre aux attaquants d’accéder à des réseaux contenant des informations sensibles et de grande valeur.
  • SaltTyphoon se concentre souvent sur les gouvernements, les milieux militaires et les infrastructures critiques, où les équipements Cisco sont largement déployés. Les équipements Cisco tels que les routeurs, les commutateurs et les pare-feu sont au cœur de la gestion du trafic réseau, ce qui en fait des points idéaux pour l’interception, l’exfiltration de données ou la manipulation du trafic. Les équipements Cisco sont fréquemment utilisés dans des organisations qui gèrent des opérations politiquement ou économiquement sensibles, ce qui en fait une cible idéale pour l’espionnage. Ces dispositifs occupent des positions de confiance dans le réseau, et une compromission peut contourner les mesures de sécurité et perturber les opérations, donnant ainsi aux attaquants un avantage sur les organisations ciblées.
  • En raison de l’accès persistant et des opérations furtives, les équipements Cisco offrent un point d’ancrage solide pour implanter une porte dérobée. SaltTyphoon déploie souvent du code malveillant persistant directement dans l’infrastructure réseau en ciblant les équipements Cisco, car les équipements compromis échappent fréquemment aux systèmes de détection des points de terminaison, offrant ainsi au groupe un point d’ancrage furtif.
  • SaltTyphoon est connu pour exploiter des vulnérabilités non corrigées, et les dispositifs Cisco ont été associés à des vulnérabilités de haut niveau au fil des années (par exemple, Cisco Smart Install, les défauts VPN). Développer ou acquérir des exploits avancés ciblant les systèmes Cisco est relativement facile. En exploitant les équipements Cisco dans des positions stratégiques, les attaquants peuvent compromettre plusieurs organisations en aval dans une chaîne d’approvisionnement.

Défis associés au nettoyage des systèmes informatiques
La principale raison du travail important à réaliser réside dans les solutions fragmentées que plusieurs entreprises fournissent souvent. De plus, il y a très peu de visibilité et pas de systèmes de surveillance disponibles, ce qui signifie que le malware pourrait se cacher dans n’importe quelle partie de l’infrastructure. Par conséquent, le défi consiste à déterminer quels systèmes sont infectés puis à trouver un moyen de les réparer. Examinons les contraintes techniques :

  • Les APT utilisent des tactiques furtives (malware sans fichier, cryptage et obfuscation), des mécanismes de persistance (clés de registre cachées, tâches planifiées, modifications au niveau du firmware) et des outils sur mesure pour éviter la détection et les tentatives de nettoyage.
  • Il y a un manque de visibilité dû à des environnements complexes tels que des systèmes IT étendus avec de nombreux points de terminaison, serveurs et intégrations cloud, ce qui rend la surveillance plus difficile. De nombreuses organisations ne consignent pas suffisamment de données ou ne les conservent pas assez longtemps pour retracer l’étendue complète de la compromission.
  • Les limitations humaines dues aux lacunes de compétences et aux temps de réponse lents permettent aux attaquants d’établir un point d’ancrage plus fort. De nombreuses organisations manquent de compétences spécialisées et de ressources pour répondre aux APTs. De plus, les organisations privilégient souvent les besoins opérationnels à la sécurité, laissant des failles dans les défenses.
  • Le retard de détection dû au temps de résidence est également un facteur contributif, car les APT peuvent rester non détectées pendant des mois, voire des années. Pendant ce temps, elles peuvent déployer plusieurs portes dérobées et compromettre divers systèmes. Une fois découvertes, les attaquants peuvent avoir pénétré profondément.

Unified SASE en tant que Service comme mesure de protection intégrée
Unified SASE en tant que Service, une solution clé dans l’arsenal d’Aryaka, joue un rôle déterminant dans la lutte contre les menaces persistantes avancées (APT) telles que SaltTyphoon. Ses défenses proactives et réactives sont conçues pour devancer les attaques avancées, ce qui les rend essentielles pour la stratégie de sécurité de toute organisation.

  • Appliquer le principe du moindre privilège est une étape cruciale dans la lutte contre les APT. Les organisations doivent mettre en œuvre des contrôles d’accès granulaires à l’aide de ZTNA pour s’assurer que les utilisateurs, appareils et applications ne peuvent interagir qu’avec les ressources spécifiques requises pour leurs rôles. Cela réduit considérablement la possibilité pour une APT de causer des dommages à grande échelle, ce qui en fait une stratégie de défense clé.
  • Les politiques d’identité et de contexte, qui tiennent compte de la localisation, du temps et du comportement, sont essentielles dans la lutte contre les APT. En permettant une vérification continue des utilisateurs et des appareils, ces politiques réduisent considérablement les chances qu’un attaquant parvienne à se faire passer pour un utilisateur légitime. Cela renforce la confiance dans les mesures de sécurité, les rendant essentielles pour la stratégie de défense de toute organisation.
  • Unified SASE en tant que Service offre des capacités de confinement via la micro-segmentation pour isoler les charges de travail, applications et dispositifs au sein du réseau. Cette stratégie limite les déplacements latéraux des APT, empêchant les attaquants de compromettre d’autres systèmes même s’ils ont réussi à établir un point d’ancrage initial.
  • Avec Unified SASE en tant que Service, les organisations peuvent améliorer la surveillance et la visibilité des couches réseau et sécurité afin de détecter les anomalies et corréler les indicateurs pour identifier et répondre rapidement aux activités potentielles des APT. De plus, des fonctionnalités de sécurité telles que SWG, FwaaS, IPS, la numérisation des fichiers, etc., offrent des alertes en temps réel et des réponses automatisées aux activités suspectes, permettant aux organisations de détecter et de contenir rapidement les actions des APT.
  • Il est bien compris que les APT volent des données sensibles et des propriétés intellectuelles des réseaux ciblés, les attaquants devant exfiltrer ces informations vers des emplacements distants. Avec Unified SASE en tant que Service, les fuites de données sensibles et les anomalies de transfert de données lors de l’exfiltration, y compris les abus de protocoles, peuvent être détectées à l’aide de fonctionnalités de sécurité telles que CASB, DLP et des moteurs de sécurité utilisant l’IA/ML pour la détection d’anomalies.

Recommandations générales
Une considération cruciale est la simplicité opérationnelle, car ces processus peuvent ajouter une charge importante et sont difficiles à maintenir de manière durable. La création de rôles et de responsabilités claires pour la création et la gestion des politiques et des procédures de sécurité est très utile. Les organisations peuvent faire plus que ce que