Les mécréants ciblent les prestataires de services gérés (MSPS) pour pénétrer dans les réseaux de leurs clients et déployer des ransomwares, voler des données et leur espionner, les autorités de cybersécurité des cinq yeux ont été officiellement avertis dans une alerte de sécurité commune.
«Les autorités du Royaume-Uni, de l'Australie, du Canadien, de la Nouvelle-Zélande et des États-Unis s'attendent à des cyber-acteurs malveillants - y compris des groupes avancés de menace persistante avancés par l'État - pour intensifier leur ciblage des MSP dans leurs efforts pour exploiter le fournisseur de fournisseurs-clients des relations avec les relations fiduciaires du réseau de fournisseur-client-client"L'alerte a averti.
Ces types d'attaques de la chaîne d'approvisionnement ou de "sof-hopping" peuvent s'avérer très lucrative pour les cybercriminels car une fois qu'ils se sont efforcés d'un MSP, ils ont accès à tous les réseaux et données des clients, et à leur tour commettent des crimes informatiques et une fraudeContre les clients de ces clients.
Exemple: l'attaque de Solarwinds en 2020, lorsque des mécréants soutenus par le Kremlin ont glissé des logiciels malveillants dans le logiciel Orion de Solarwinds, qui a ensuite été poussé à quelque 18 000 clients de Solarwinds.Cela a permis aux criminels d'infiltrer près de 100 réseaux du gouvernement américain et du secteur privé.
Que les MSP sont un point faible dans la chaîne d'approvisionnement informatique ne se brise pas pour un bon nombre de vous dans l'industrie, bien qu'il soit accueillant de voir les gouvernements non seulement reconnaître la menace mais aussi tenter de le mettre en évidence.
"L'avis conjoint d'aujourd'hui est un avertissement frappant du danger clair et actuel posé par les campagnes d'attaque en cours contre MSPS. Rogue nation states love this method of cyber-colonization," Tom Kellermann, head of cybersecurity strategy at VMware, told The Register.Le biz de virtualisation a vu une augmentation de 58% de la saut d'île au cours de la dernière année, a ajouté Kellermann.
"Je crains que, comme la tension géopolitique se métastique dans le cyberespace, ces attaques augmenteront et les cyber-espaces russes utiliseront ce stratagème pour déployer des logiciels malveillants destructeurs sur des bases de clients entières de MSPS", a-t-il déclaré."Les entreprises doivent se concentrer sur la mise en œuvre de zéro frustrie et augmenter la chasse active aux menaces, en particulier entre les réseaux et les points de terminaison."
L'alerte à cinq yeux fournit également des conseils sur les discussions qui devraient se produire entre les MSP et leurs clients sur la sécurisation des données sensibles.
"Ces discussions devraient entraîner une réévaluation des processus de sécurité et des engagements contractuels pour s'adapter à la tolérance au risque du client", a déclaré l'avis.De plus, les clients doivent vérifier que leurs contrats spécifient que les MSP mettent en œuvre certains contrôles de sécurité, selon les agences, qui comprennent la CISA, le FBI et la National Security Alliance.
La première étape, comme d'habitude, est de mettre en œuvre des contrôles de sécurité et opérationnels de base.Cela comprend la sauvegarde des systèmes et des données, l'isolement des systèmes critiques, l'application des principes les moins priviaires sur le réseau et l'accès des appareils, et l'activation de l'authentification multi-facteurs (MFA).
Cependant, l'alerte a noté que les criminels parrainés par l'État russe peuvent exploiter les protocoles de MFA par défaut, comme ils l'ont démontré dans des attaques récentes qui ont également exploité la vulnérabilité de la tension."Les organisations devraient examiner les politiques de configuration pour se protéger contre les scénarios de« défaillance ouverte »et de réinscription», a averti l'alerte.
Comment éviter le compromis initial
Étant donné que les VPN d'accès à distance, les services orientés sur Internet, les e-mails de phishing et la pulvérisation de mot de passe sont généralement impliqués dans un compromis initial, les agences indiquent également des conseils sur le durcissement et la protection des technologies pour fermer les points d'entrée courants pour les attaques.
Selon l'alerte, les MSP doivent enregistrer leurs activités d'infrastructure de livraison liées à la fourniture de services à leurs clients ainsi qu'à l'activité du réseau interne et du réseau client."Il peut être des mois avant que les incidents ne soient détectés, donc les autorités du Royaume-Uni, de l'Australie, du Canadien, de la Nouvelle-Zélande et des États-Unis recommandent que toutes les organisations stockent leurs journaux les plus importants pendant au moins six mois", a-t-il déclaré.
Les clients et les MSP doivent vérifier périodiquement leur surface d'attaque et désactiver les comptes et les infrastructures qui ne sont plus utilisés, comme les comptes d'utilisation après qu'un employé ait quitté une entreprise.
Et, comme toujours, mettez à jour les logiciels et appliquez des correctifs."Prioriser l'application des mises à jour de sécurité aux logiciels contenant des vulnérabilités connues exploitées", a suggéré l'alerte.®
Get our Tech Resources
