Bienvenue à la cybersécurité dès aujourd'hui.De Toronto, c'est la semaine dans l'édition de revue du vendredi 13 mai 2022.Je suis Howard Salomon, un journaliste contribuant à la cybersécurité pour itworldcanada.com.
Dans quelques minutes, Terry Cutler, chef des laboratoires de Cyology de Montréal, se joindra à moi pour une discussion sur trois nouvelles récentes.Mais d'abord, un regard sur une partie de ce qui s'est passé ces sept derniers jours:
Hier a été la journée anti-ransomware.Tout le monde est contre les ransomwares, mais que peuvent faire les dirigeants à ce sujet?Terry aura des réponses.
En parlant de ransomwares, nous aurons quelques mots à dire sur une proposition à un pipeline colonial fin après l'attaque des ransomwares de l'année dernière dans le U.S.Pourquoi?Parce que le plan de réponse aux incidents de l'entreprise n'aurait pas été approfondi.
Et nous examinerons également la reconnaissance d'Ikea Canada qu'un employé a fouillé dans la base de données des clients de l'entreprise en mars sans autorisation.
Cette semaine également, le directeur de la cybersécurité à la National Security Agency a déclaré à un cyber événement britannique que le nombre d'attaques de ransomwares dans le monde entier avait baissé ces derniers mois.Il soupçonne que c'est parce que les sanctions économiques contre la Russie au sujet de son invasion de l'Ukraine rendent plus difficile pour les criminels russes d'organiser des attaques et de recevoir des ransomwares.
Par ailleurs, les chercheurs de SecureWorks ont rejoint d'autres experts en disant qu'après une interruption des opérations, il y a plus de preuves que le gang de ransomware Revil est de retour en affaires.
Les chercheurs en sécurité ont exhorté les administrateurs de réseau à corriger leurs dispositifs de sécurité Big-IP Network pour fermer une vulnérabilité sérieuse.
La province du Québec a lancé un programme de primes de bogues, qui récompensera les chercheurs qui trouvent des vulnérabilités dans certaines applications gouvernementales.
HP a publié une mise à jour de sécurité pour le BIOS dans un certain nombre de cahiers d'affaires, de PC de bureau, de PC de point de vente, de postes de travail et de clients minces.Les mises à jour arrêtent un attaquant avec les privilèges au niveau du noyau de prendre le contrôle total des ordinateurs affectés.
Microsoft a publié ses mises à jour de sécurité pour Windows sur Patch mardi cette semaine.Mais certains qui sont installés sur des serveurs de contrôleur de domaine provoquent des défaillances d'authentification.Microsoft devra émettre un correctif pour le correctif.
Et Siemens a publié des avis sur les vulnérabilités dans un certain nombre de produits, dont plusieurs de ses dispositifs d'automatisation des bâtiments connectés à Internet Desigo.
(La transcription suivante a été modifiée pour plus de clarté)
Howard: De Montréal, je suis rejoint par Terry Cutler.Bon après-midi.
Commençons par la journée anti-ransomware.Cela a commencé en 2020 en tant qu'initiative éducative par Kaspersky et la coopérative de police d'Interpol.Il a été déclenché par la propagation mondiale trois ans plus tôt de la souche de ransomware Wannacry.Beaucoup de choses ont changé dans Ransonware depuis lors: les gangs ciblent désormais les entreprises et les gouvernements au lieu d'ordinateurs domestiques, les gangs exécutent d'abord des stratégies d'extorsion en volant et en cryptant des données pour exercer une pression supplémentaire sur les entreprises de victimes, ils fonctionnent en directattaques et ils trouvent de meilleures façons d'éviter ses défenses.
Cette semaine, le fabricant du pare-feu Sonicwall a estimé qu'il y avait 623 000 tentatives de ransomware l'année dernière sur ses clients seuls.Terry, nous avons beaucoup parlé des ransomwares avant.Y a-t-il quelque chose de nouveau dans ce que les dirigeants informatiques devraient faire pour réduire le risque d'être victime par les ransomwares?
Terry Cutler: Ransomware has come a long way.Je me souviens avoir vu une attaque pratique se produire à l'un de nos nouveaux clients où ils avaient des logiciels fonctionnant sur l'un de leurs ordinateurs appelés OTR, qui représente le record.Les attaquants se connectaient au système et ils travaillaient avec le support technique de la société de victimes pour lancer les commandes et les lecteurs de cartes dans le système, puis lancer manuellement les attaques de ransomwares.C'est très effrayant de savoir qu'il y a un véritable attaquant pratique dans votre environnement et pas seulement un script automatisé.Et ce que nous voyons, c'est que beaucoup de clients ont encore du mal avec leur gestion des patchs, en particulier autour de ce seul patch appelé la vulnérabilité MS-17010 qui est également connue sous le nom de EternalBlue.C'est celui qui a provoqué l'infection en wannacry.Et il est parfois très difficile de considérer cela parce que vous voulez désactiver la version 1 de SMB [Windows Server Message Block] et parfois il y a de vieux systèmes qui comptent encore sur.Donc ce n'est pas très facile de le désactiver.Chaque fois que nous faisons un test de pénétration, nous aimons mettre la main sur cet exploit s'il est disponible.Ainsi, lorsque nous faisons notre évaluation de la vulnérabilité sur le système d'un client et que nous voyons des machines qui manquent ce patch, une fois que nous l'avons exploité, nous avons un contrôle total sur ce système.Nous obtenons en fait un accès au niveau du système où nous pouvons retirer tous les noms d'utilisateur et les mots de passe, et peut-être aussi décrypter leurs mots de passe s'ils sont faibles et que nous pouvons également faire une attaque pass-hash, où nous prenons des informations hachés et passonsit vers un autre serveur et connectez-vous en tant qu'administrateur ou en tant que service au niveau du système sans jamais connaître le mot de passe.Il est donc très important que les organisations exécutent au moins une évaluation de la vulnérabilité… Le problème en ce moment est qu'il ne fait pas un excellent travail avec la gestion des patchs.
Howard: And and just a reminder to our listeners.Vous parlez de la vulnérabilité Eternalblue Windows qui a été corrigée il y a quatre ans - et vous dites qu'il y a des entreprises qui exécutent toujours des serveurs qui n'ont pas installé ce patch.
Terry: Yeah.Parfois, il n'utilise pas toujours des mises à jour automatiques, ils doivent donc télécharger manuellement et appliquer ce patch.Mais souvent, ils ne réalisent même pas que c'est une vulnérabilité parce que souvent ils l'embauchent des gars qui ne connaissent pas la cybersécurité et les vulnérabilités qui existent là-bas.Ils font juste des emplois de pause.
Howard: Talking about how ransomware gangs are able to exploit companies, I was listening yesterday to a webinar by Info-tech Research about ransomware, and they got a question from one of their clients wondering how hackers seem to know who of their failing phishing tests … Apparently this company was hacked and the victim employee was someone who was regularly failing tests and the hackers knew about it and they targeted this particular guy.Il me semble que c'est une preuve qui montre que les pirates sont dans un système assez longtemps pour lire les e-mails des gens et qu'ils découvrent des choses sur les employés et qu'ils découvrent quels employés sont les plus susceptibles de phishing.
Terry: Wouldn’t it be funny if it was actually the hackers that were testing the employees to see who would fail their tests? The thing is most hackers are in your system for about six to 18 months prior to being detected.Ils sont en mesure d'avoir accès aux formulaires de changement bancaire afin qu'ils puissent envoyer un message comme «Ne câblez pas l'argent ici câblé sur un autre compte bancaire» (que les pirates contrôlent).
Howard: Kaspersky this week issued an update on recent ransomware trends, one of which is that gangs are making their ransomware able to run not only on Windows but also on Linux systems as well.C'est toute une menace pour de nombreuses entreprises parce que Linux est largement utilisé, en particulier sur les serveurs Web.
Terry: Folks have to lose the perception that Linux and Macs are unhackable.Il y a certainement des exploits qui sortent actuellement qui peuvent avoir un impact similaire aux environnements Windows.Prenons par exemple Revil et Darkside Gangs.Ils sont capables de créer une version de ransomware qui s'exécute nativement sur Linux.Il est donc très important que les gens de la cybersécurité et les gars ont un consensus que la sécurité est une plate-forme agnostique - et nous devons réaliser que le plus rapidement possible.Nous devons toujours nous assurer que nos correctifs sont à jour.Restez connecté aux forums [de la cybersécurité] parce que la dernière chose que vous voulez faire est de vous randre et de réaliser que ce [exploit] était une connaissance publique - comme avec EternalBlue.Lorsque vous protégez les serveurs Linux, assurez-vous d'implémenter des choses comme la stratégie de sauvegarde 3-2-1 où vous devez vous assurer que vous avez trois copies, deux d'entre elles pourraient être sur place et l'une d'elles doit être hors site et accessible uniquement en cas de casune catastrophe.Et assurez-vous que vous exécutez une technologie comme EDR [détection et réponse de point de terminaison] pour prévenir les ransomwares.
Howard: Kaspersky also released the results of a separate survey they did in April.Cette fois, ils ont interrogé des cadres supérieurs des entreprises sur les ransomwares.Soixante pour cent des 900 répondants pensent que les médias agrandissent les menaces de ransomware qu'elles ne le sont réellement.Que faites-vous de cela?
Terry: Well, they are big.Je ne pense pas qu'ils le soufflent nécessairement hors de proportion.La partie que je n'aime pas être explosée en proportion est que certains pensent: «Ces gangs sophistiqués nous ont ciblé."Non, l'utilisateur a simplement cliqué sur un lien qu'il n'était pas censé, et il [l'entreprise] n'avait aucun processus interne en place pour savoir qu'il y a un pirate là-dedans et aucun plan de réponse approprié pour le faire sortir.C'est généralement ce qui se passe.Il n'y a pas assez de visibilité dans les environnements informatiques, et la seule fois où ils réalisent qu'il y a un problème, c'est quand le pirate fait une erreur.
Howard: The survey also said that 64 per cent of respondents said that their firms had already been victims of ransomware So what are those chief executives and vice presidents who believe that the media overhypes ransomware thinking? ‘Well, we’ve been hit once it won’t happen to us again?’ or are they thinking, ‘We’ve been hit once and we’ve improved our defenses so we won’t be hit again?’
Terry: It’s funny you mentioned that because the newest ransomware notes start with, ‘Hello again."... nous perdons définitivement la guerre.Même si vous pompez des millions de dollars de technologies de cybersécurité, il y a encore de bonnes chances que vous soyez touché.Il n'y a pas de solution miracle pour arrêter un pirate, donc la priorité doit être à quelle vitesse pouvez-vous récupérer correctement.
Howard: What should IT teams be doing before, during and after a cyber attack?
Terry: The first thing is get a vulnerabilty assessment done first.Ils ont besoin de savoir quelles vulnérabilités ils ont actuellement dans leur environnement informatique et d'obtenir un bon inventaire d'actifs.S'ils sont frappés par des ransomwares, ils doivent savoir qui est responsable de ce qui - qui est chargé de parler avec des avocats, qui va faire un appel aux forces de l'ordre pour les informer au moins qu'une extorsion se produit, dont l'appel de la cyber-assuranceCompagnie, qui va s'occuper de faire venir des intervenants incidents?
Les employés doivent être formés à garder leurs mains sur leurs ordinateurs.Nous avions un cas où même si les fichiers étaient tous cryptés, un utilisateur a continué à cliquer sur la note de rançon pour ouvrir ses fichiers.Lorsque nous avons dû négocier avec les acteurs de la menace, l'entreprise a dû payer trois fois le montant, car chaque fois que l'utilisateur cliquait, il a commencé un autre niveau de ransomware.
Howard: One I’d like to make clear is preparing to defend against a ransomware attack is the same as preparing for any other kind of malware attack: Know your assets.Assurez-vous que les choses sont corrigées.Vous devez rechercher des vulnérabilités.Sauvegardez indépendamment vos données.Avoir un plan de réponse aux incidents.
…
En parlant de plans de réponse aux incidents, les auditeurs peuvent se rappeler que l'année dernière, le pipeline colonial dans le U.S.a dû fermer son oléoduc après une attaque de ransomware du côté informatique de l'entreprise.Pas le côté opérations du pipeline.Cet arrêt a provoqué d'énormes alignements dans les stations-service sur la côte est de l'u.S.Cette semaine le u.S.Le régulateur du pipeline a proposé à la fin de Colonial d'environ 850 000 $ en partie parce qu'il n'avait pas de procédures correctement documentées pour redémarrer le pipeline manuellement, et cela comprenait quoi faire si le système téléphonique était fermé afin que les opérateurs de pipeline puissent obtenir des instructions et des confirmations.Pour moi, cette amende proposée concerne la réponse incomplète des incidents et le plan de reprise après sinistre.Comment un service informatique devrait-il élaborer un plan de réponse aux incidents?
Terry: There are a lot of moving parts.Vous devez écrire tout ce qui peut mal tourner dans l'environnement et comment répondre.Puis mettez-le dans un livre de jeu.Tout cela fait partie de toute la stratégie de reprise après sinistre.Vous devez être en mesure de détecter quelque chose de mal, de trouver un moyen de triage les informations, de contenir l'attaque et de regarder l'activité post-incident.Une documentation appropriée est essentielle ici.
Lorsque nous développons des livres de jeu pour les entreprises, nous devons penser à tout, y compris les catastrophes naturelles.Nous avions un cas où un client était très préoccupé par une tornade pourrait anéantir son centre de données et les deux SAN (réseaux de zone de stockage) auraient disparu.Comment feraient-ils reculer leur entreprise?Vous devez prendre en compte tout - y compris les retards de la chaîne d'approvisionnement.Par exemple, si vous avez besoin d'un serveur de remplacement, vous devez tenir compte de quatre à neuf semaines ou plus de retards.Une suggestion: apprendre des autres.Apprenez des histoires d'horreur d'autres personnes.
Vous devriez avoir des sections dans votre rapport appelé «Rôles et responsabilités."Ça va impliquer à peu près toutes les têtes des départements.Vous allez avoir des personnes responsables des deux communications internes avec les employés et des communications externes pour les médias.Tu vas avoir une gestion des RH là-dedans.Vous devez avoir une sécurité physique.Et le personnel de soutien administratif qui sera responsable de prendre des notes à mesure que l'équipe de réponse aux incidents se réunit.
Howard: You also need a patched backup PC for the IT team with all of the tools that it needs for recovery with a cellular connection to the internet that’s on a different network than the organization’s regular provider, and a cell phone to be used by the incident response team.
Il y a beaucoup de ressources gratuites sur Internet.Si vous effectuez une recherche de «Comment préparer un plan de réponse aux incidents informatiques», vous trouverez beaucoup de ressources.[Vous pouvez commencer par lire l'une de mes histoires du secteur]
Enfin, je pensais que nous devrions examiner l'admission d'Ikea Canada qu'un employé a mal recherché sa base de données client.Ceci est connu génériquement comme une attaque d'initiés.Quatre-vingt-treize mille clients IKEA Canada sont informés que certaines de leurs informations peuvent avoir été exposées.IKEA Canada dit qu'aucune donnée financière ou de carte de crédit n'a été accessible.Il a également déclaré qu'il avait pris des mesures pour s'assurer que les données n'avaient pas été enregistrées ou partagées avec personne d'autre, mais il y a beaucoup de questions ici.Que faisait l'employé, ont-ils sauvé les données, comment l'employé a-t-il été capturé?Ce sont des questions que j'ai posées à Ikea Canada, et ils m'ont dit seulement que cela avait été remarqué lors d'une enquête.Qu'est-ce qui vous a attiré sur cet incident?
Terry: It reminded me very much of a financial institution here in Montreal where the employee had too much access.Il accédait à des choses qu'il n'était pas censé.Il a fait des copies des données et n'a été attrapé que plus tard.Donc, évidemment, l'application qu'ils ont utilisée pour surveiller l'accès à leurs données client ne faisait pas d'audit ou de surveillance.Ou peut-être que ce truc était enregistré mais personne ne le regardait jusqu'à ce qu'un problème se produise.
Je soupçonne qu'ils ont dû faire une analyse médico-légale de l'ordinateur portable de l'employé pour voir ce qu'il recherchait, car parfois les serveurs ou les applications Windows manquent de fonctionnalité de journal.Ou si le service informatique permet l'exploitation de l'exploitation.
