Lors de l’évaluation, l’équipe rouge de la CISA a exploité une coquille web (web shell) existante pour obtenir un accès initial au réseau de l’organisation. À partir de là, ils ont infiltré la zone démilitarisée (DMZ), effectué des mouvements latéraux et compromis des systèmes d’affaires sensibles ainsi que le contrôleur de domaine de l’organisation. Bien que l’organisation ait détecté une activité malveillante précoce, elle n’a pas réussi à répondre rapidement à la menace, laissant ses systèmes critiques exposés. L’équipe rouge a identifié des faiblesses dans la segmentation du réseau et une dépendance excessive aux solutions de détection et de réponse sur les points de terminaison (EDR), qui n’ont pas réussi à identifier plusieurs charges malveillantes.
L’évaluation a révélé des faiblesses systémiques, notamment l’absence de protections solides au niveau du réseau, comme des pare-feu et des systèmes de prévention des intrusions (IPS). Des systèmes obsolètes, des configurations non sécurisées et une gestion des identités inadéquate ont également permis à l’équipe rouge de maintenir leur persistance et d’escalader leurs privilèges sans être détectés pendant de longues périodes. La formation et les ressources destinées au personnel ont également été identifiées comme des domaines nécessitant des améliorations, beaucoup d’employés manquant d’expertise technique pour répondre efficacement aux cybermenaces.
Les décisions de la direction ont aggravé ces vulnérabilités, car l’organisation a donné une faible priorité à la résolution des risques connus identifiés par son équipe de cybersécurité. Ces lacunes soulignent l’importance d’une gestion proactive et d’investissements dans les mesures de cybersécurité pour atténuer les menaces évolutives.
Pour remédier à ces problèmes, la CISA recommande la mise en œuvre d’une architecture de confiance zéro, comprenant des pratiques sécurisées de gestion des identités et des accès, une authentification multifactorielle (MFA) résistante au phishing et une surveillance centralisée pour détecter les activités anormales. La formation régulière des employés, en particulier sur les menaces liées au phishing, est également essentielle pour réduire le risque de compromission des identifiants.
L’avis met en avant l’alignement des mesures de cybersécurité sur les Objectifs de Performance Intersectoriels en matière de Cybersécurité (CPGs) développés par la CISA et le NIST. Ces directives fournissent une base pour que les organisations se protègent contre les menaces courantes et renforcent les défenses de leurs réseaux. En outre, la CISA recommande de moderniser les infrastructures afin de soutenir des mesures défensives avancées, comme des services cloud sécurisés et une surveillance améliorée des points de terminaison, pour lutter contre des attaques de plus en plus sophistiquées.
Source: Industrial Cyber
La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.