La récente attaque par ransomware contre Colonial Pipeline serait l’une des cyberattaques les plus importantes dans le secteur de l’énergie à ce jour, et elle a bouleversé les experts en cybersécurité du monde entier.
Le 29 avril 2021, Colonial Pipeline – la société qui gère le plus grand pipeline de carburant des États-Unis, transportant environ 45 % du carburant utilisé sur la côte Est – a été attaquée par des pirates du groupe criminel DarkSide. En conséquence, la société a temporairement fermé l’ensemble de son réseau, ce qui a entraîné de graves pénuries de carburant et une flambée des prix de l’essence. Bien que Colonial Pipeline ait repris ses services dans les deux semaines qui ont suivi l’arrêt, les mauvais acteurs ont tout de même détruit l’une des ressources énergétiques les plus critiques du pays, affectant plus de 50 millions de résidents, tout en obtenant une rançon de 4,4 millions de dollars en retour (bien qu’une partie de la rançon ait depuis été saisie par les autorités).
Les incidents de sécurité de ce type montrent que les cyberattaques et les brèches ne coûtent pas seulement aux organisations leur réputation, mais qu’elles peuvent aussi perturber, voire interrompre, la fourniture de services au public. Il est donc grand temps que les organisations, en particulier celles qui servent les intérêts du public et jouent un rôle important dans l’économie, renforcent leur programme de cybersécurité.
Les coulisses : Comment les pirates ont accédé au réseau de l’entreprise
Un compte VPN abandonné et inactif, associé à de mauvaises pratiques en matière de mots de passe de la part de l’un des employés de Colonial Pipeline, a ouvert la voie à l’attaque par ransomware. Le 29 avril, les pirates se sont introduits dans le réseau de l’entreprise par le biais d’un compte VPN, qui n’était plus actif au moment de l’attaque. Le mot de passe du compte était disponible sur le dark web dans une série de mots de passe divulgués, ce qui signifie qu’un employé de Colonial a pu utiliser le même mot de passe sur un autre compte précédemment piraté. Ce qui a été plus favorable aux pirates, c’est que le compte n’utilisait pas non plus l’authentification multifactorielle (AMF). L’incident est passé inaperçu pendant plus d’une semaine, jusqu’au 7 mai, date à laquelle une note de rançon est apparue sur un écran d’ordinateur, réclamant des crypto-monnaies. Il a fallu une semaine supplémentaire à la société pour confirmer que l’unité opérationnelle du pipeline n’avait pas été endommagée, et Colonial Pipeline a repris ses services le 12 mai.
Cela prouve que lorsqu’il s’agit de systèmes qui gèrent les actifs les plus critiques, les organisations ne tiennent toujours pas compte de l’importance de pratiquer une hygiène de sécurité de base, comme l’adoption de l’AMF, l’identification et la suppression des comptes privilégiés inactifs et l’utilisation de contrôles d’accès robustes. Ce qui aurait pu être facilement évité avec un ensemble de contrôles de base s’est transformé en un désastre de cybersécurité en raison du manque d’attention aux meilleures pratiques de sécurité recommandées.
Les défaillances du système de sécurité de Colonial Pipeline
La popularité croissante du travail à distance au sein de la population active mondiale a entraîné une augmentation significative du nombre d’attaques basées sur l’accès à distance, et les cybercriminels sont toujours à la recherche de VPN non sécurisés et de voies d’accès à distance vulnérables pour pénétrer dans les infrastructures critiques. Un seul geste négligent de la part d’un employé ou d’une organisation aboutit finalement à l’exploitation de vulnérabilités potentielles mais souvent négligées.
Le piratage de Colonial Pipeline a été désastreux, mais il était aussi très probablement évitable ; il a résulté d’une négligence pure et simple de la protection des infrastructures critiques. Pour résumer, voici les principaux aspects qui ont catalysé l’attaque :
Utilisation de mots de passe en double pour les comptes sensibles :
Si l’organisation avait imposé l’utilisation de mots de passe uniques pour les comptes privilégiés, l’employé n’aurait pas choisi un mot de passe précédemment utilisé pour son compte d’entreprise. Le moyen le plus simple d’y parvenir est d’utiliser un générateur de mots de passe qui propose des mots de passe forts et complexes de manière aléatoire.
Comptes privilégiés orphelins, abandonnés et inactifs :
Le compte utilisé pour accéder au réseau informatique de Colonial Pipeline n’était pas actif au moment de l’attaque. De nombreuses organisations ne gardent pas trace des comptes inactifs, ni de ceux appartenant à d’anciens employés. Ils restent intacts jusqu’à ce qu’ils soient définitivement supprimés après une violation ou un incident de sécurité.
Pas de MFA pour les comptes d’accès à distance privilégiés :
L’absence d’authentification solide peut permettre un accès non autorisé et sans entrave à des systèmes critiques avec un seul justificatif d’identité. Même avec les informations d’identification légitimes en main, l’attaquant n’aurait pas pu accéder au système si on lui avait demandé de prouver à nouveau son identité.
L’absence d’une solution unifiée pour l’accès au réseau :
Les VPN avec des contrôles d’accès médiocres sont désormais considérés comme peu sûrs et peu fiables pour l’accès à distance. Ce dont les organisations critiques comme Colonial Pipeline ont besoin, c’est d’une console centrale qui unifie tous les accès au réseau de l’entreprise – sur site ou via des clouds publics et privés – avec des contrôles d’accès et une surveillance des sessions rigoureux.
Absence de contrôles appropriés de détection et de prévention des menaces :
Même si un attaquant parvient à s’introduire dans le réseau de l’entreprise, le fait de disposer d’outils complets de surveillance du réseau pourrait déclencher des alarmes et des avertissements en temps utile aux superviseurs concernés afin de mettre fin instantanément aux sessions suspectes. Les systèmes de détection d’intrusion, les systèmes de prévention d’intrusion, les outils d’analyse basés sur l’IA et le ML, et les solutions SIEM peuvent surveiller un réseau en permanence, capturer toute information sur les menaces et les logiciels malveillants possibles, et les signaler aux administrateurs pour qu’ils prennent des mesures préventives. Il est grand temps que les organisations modernes mettent en œuvre des technologies avancées pour obtenir des informations significatives et maîtriser les cyberattaques à la racine.
L’incapacité à retracer rapidement les activités menées pendant la session :
Il a fallu plus d’une semaine aux enquêteurs pour vérifier l’ensemble du réseau de pipelines à la recherche d’autres vulnérabilités. Une piste d’audit complète des événements réalisés pendant la session, ainsi que des enregistrements de session inviolables, auraient pu accélérer le processus d’inspection.
Mauvaise segmentation du réseau :
L’attaque a visé les systèmes informatiques de Colonial Pipeline, mais comme ceux-ci étaient connectés à l’unité opérationnelle, la société a dû immédiatement arrêter l’ensemble du pipeline. Le fait que Colonial Pipeline n’ait pas maintenu la segmentation de son réseau – de sorte que l’on ne puisse pas facilement passer d’une division de l’entreprise à l’autre – a joué un rôle essentiel dans la réussite de l’attaque, soulignant le manque de cyberhygiène.
Comment mettre en place un dispositif de sécurité global pour contrer les attaques par ransomware ?
Pour obtenir une protection complète contre les attaques par ransomware, les entreprises ont besoin de plusieurs couches de défense. Une posture de cybersécurité mature et résiliente combine une gamme de solutions de sécurité informatique qui fonctionnent de manière intégrée pour se protéger contre les menaces. Voici quelques conseils d’experts pour renforcer votre défense contre les ransomwares.
Sécurisez votre plateforme de messagerie et sensibilisez vos employés au phishing :
Le courrier électronique est la source de la plupart des attaques par ransomware, souvent exploité par les cybercriminels pour usurper des informations d’identification en vue d’un accès illégitime au réseau ou pour distribuer directement des logiciels malveillants. Ajoutez des fonctionnalités avancées de protection contre le phishing et les logiciels malveillants au serveur de messagerie pour analyser et séparer les e-mails entrants, bloquer les pièces jointes anormales et protéger contre les e-mails de phishing entrants.
Sensibilisez les employés à l’importance de respecter les règles d’hygiène de base en matière de sécurité, comme ne pas divulguer d’informations personnelles lorsqu’ils répondent à un courriel, un appel téléphonique ou un message texte ; être conscient de l’apparence des courriels et des pièces jointes frauduleux ; et contacter le service informatique après avoir reçu des appels ou des courriels suspects.
Investissez dans des logiciels antivirus et des pare-feu :
Installez un logiciel antivirus sur tous les appareils et mettez-les régulièrement à jour avec des correctifs de sécurité. Installez également un pare-feu et configurez-le pour limiter le trafic vers le réseau aux seuls ports et adresses IP nécessaires.
Appliquez régulièrement des correctifs à vos systèmes :
Il est important de maintenir chaque système à jour en ce qui concerne les correctifs pour se prémunir contre les ransomwares, car les attaquants tirent souvent parti des failles de sécurité et des bogues dans les logiciels ou les systèmes d’exploitation pour diffuser des logiciels malveillants après avoir obtenu un accès.
Effectuez des évaluations régulières des risques :
Évaluez périodiquement les risques de sécurité afin d’atténuer de manière proactive les risques potentiels en identifiant les failles et les lacunes de sécurité sur l’ensemble du réseau de l’entreprise.
Sauvegardez régulièrement vos systèmes :
Faites l’essentiel : La clé pour éviter le paiement de rançons est d’avoir des sauvegardes solides. Sauvegardez régulièrement vos données – localement et dans le cloud – avec un cryptage fort et un accès contrôlé pour garantir la sécurité de vos données d’entreprise. Les experts en sécurité recommandent de conserver au moins trois copies des données de votre entreprise, sur différents appareils ou supports de stockage, et d’en avoir une complètement hors ligne et accessible uniquement physiquement.
Investissez dans une solution solide de gestion des accès privilégiés :
S’il est vrai que les attaquants utilisent aujourd’hui des méthodes et des outils sophistiqués, ce sont plus souvent des privilèges administratifs ouverts et des informations d’identification compromises qui leur donnent un accès initial aux infrastructures critiques. Même dans le cas de l’attaque récente d’une station d’épuration de Floride, il a suffi d’un mot de passe non protégé pour que l’auteur non identifié puisse accéder aux systèmes de contrôle et les gérer à distance. Cela dit, il est crucial pour les entreprises de garantir une gouvernance complète des comptes à privilèges, de gérer l’accès aux systèmes critiques et de surveiller les sessions à privilèges à distance en temps réel grâce à des audits et des rapports complets. En bref, une solution robuste de gestion des accès privilégiés (PAM) peut s’avérer être la première ligne de défense idéale pour les entreprises.
ManageEngine PAM360 est une solution PAM de niveau entreprise qui défend les entreprises contre la cybercriminalité grâce à une puissante gouvernance des accès privilégiés, une automatisation fluide des flux de travail et des analyses avancées. PAM360 s’intègre facilement à divers outils de sécurité informatique, comme les SIEM, les analyses de menaces basées sur l’IA et le ML, et les scanners de vulnérabilité, permettant aux administrateurs d’obtenir un contrôle complet de toutes les activités privilégiées sur le réseau de l’entreprise.
Source: The Colonial Pipeline ransomware attack: Lessons for cybersecurity teams