Ne serait-il pas formidable que les acteurs malveillants adhèrent tous à une sorte de convention de Genève sur la cyberguerre qui fixerait les règles de la guerre et imposerait que les attaques soient menées contre une seule unité commerciale d'une entreprise ?
Pendant que nous y sommes, voici quelques règles supplémentaires que nous pourrions ajouter :
- Un avertissement doit être donné avant toute action - une déclaration de cyberguerre, en quelque sorte.
- L'attaquant doit annoncer le lieu de l'attaque au moins 24 heures à l'avance
- Le défenseur peut marquer certaines infrastructures clés comme étant hors limites et ne pouvant être attaquées.
Cela simplifierait grandement la vie des équipes bleues !
Hélas, ce n'est pas le cas, ce qui signifie que les équipes de sécurité ont besoin de visibilité sur la façon dont les utilisateurs interagissent avec leur infrastructure informatique sur tous les supports.
Rester vigilant tout au long du cycle de vie de l'attaque
Si vous repérez un acteur malveillant qui tente d'exfiltrer des données importantes de votre base de données de production, vous n'allez pas vous contenter de fermer le système, de vous essuyer les mains et de passer à la tâche suivante. Vous devez voir comment et où les attaquants se sont infiltrés et leur couper l'accès. Vous ne pouvez pas le faire si vous ne pouvez pas faire le lien entre votre site cloud et votre infrastructure réseau.
C'est pourquoi les ingénieurs en sécurité de Vectra ont créé une solution révolutionnaire qui offre une vue unifiée des comptes sur votre réseau et sur le site cloud.
Si un utilisateur est victime de spearphishing sur Office 365 et que des informations d'identification volées sont utilisées pour accéder à des infrastructures critiques, nous afficherons ces informations dans un seul compte fusionné avec un contexte complet sur ce que l'utilisateur a fait, quand et pourquoi vous devriez vous en inquiéter.
Si quelqu'un effectue des opérations Exchange douteuses sur Office 365, nous pouvons rapidement montrer quels hôtes ce compte a vu sur le réseau, afin que vous puissiez voir s'il y a eu une activité suspecte sur ces hôtes.
L'examen de certaines attaques récentes montre clairement que les attaquants ne considèrent pas le réseau cloud comme un obstacle, même minime, à la progression de leur attaque.
Exploitation d'outils légitimes à des fins malveillantes
Prenons les actions entreprises par APT 33 : les attaquants ont commencé leur attaque en forçant des informations d'identification faibles, puis ont utilisé les règles de messagerie pour se rendre sur le site endpoint. Une fois sur le site endpoint, les informations d'identification du même utilisateur ont été utilisées pour se déplacer latéralement et faire progresser l'attaque. Si votre réseau et votre portefeuille de détection cloud ne sont pas liés, l'ampleur de l'attaque peut être complètement ignorée.
La surface d'attaque d'Office 365 ne se limite pas à l'accès initial. Les attaquants ayant accès à Office 365 peuvent abuser de SharePoint pour corrompre les dossiers partagés et se propager latéralement vers les points finaux en utilisant des techniques de détournement de DLL, ou en téléchargeant des logiciels malveillants. La même fonctionnalité SharePoint utilisée pour synchroniser les fichiers normaux des utilisateurs peut être exécutée sur chaque site endpoint pour se synchroniser sur un seul partage, évitant ainsi les techniques standard de collecte sur le réseau. Une attaque peut alors, en quelques clics, mettre en place des canaux d'exfiltration persistants via des flux Power Automate qui peuvent télécharger des données de chaque endpoint infecté sur une base quotidienne. Les opportunités de ce type sont vastes et croissantes.
Il se peut que vous constatiez un problème sur le site cloud , où les informations d'identification d'un compte ont été forcées de manière brute et suivies de la création de nouvelles règles de courrier électronique, ce qui est mauvais, mais pas terrible. En effet, vous avez également constaté des mouvements latéraux sur votre réseau, ce qui est beaucoup plus inquiétant car vous n'avez aucune idée de la manière dont les pirates se sont introduits. Dans Cognito, l'association de ces vues signifie que les analystes ont une visibilité précoce et complète, ce qui leur permet d'arrêter l'attaque avant que des données ne soient déplacées ou que des dommages ne soient causés.
Pour découvrir comment les attaquants tirent parti d'Office 365, lisez notre dernier rapport et découvrez comment la plateforme Cognito de Vectra vous permet d'intégrer la visibilité pour détecter et répondre aux attaquants dans vos réseaux et déploiements d'Office 365.