Leçons de l'attaque SolarWinds: comment protéger votre entreprise

Au moment où elle a été découverte en décembre, la cyberattaque de SolarWinds avait éludé les défenses de sécurité et pénétré au moins 18 000 agences gouvernementales, entreprises Fortune 500 et autres organisations . «L'attaque était sans précédent en termes d'audace et de portée», a rapporté le programme d'information CBS 60 Minutes .

Plus tôt ce mois-ci, Gartner a publié son Top 10 Lessons Learned from the SolarWinds Attack avec plusieurs leçons pour les entreprises touchées par le piratage de la chaîne logistique logicielle – et celles qui veulent éviter d'être victimes d'attaques similaires à l'avenir (abonnement Gartner requis). La clé à emporter? Vous serez violé. En fait, une attaque non détectée pourrait être en cours même maintenant. Ainsi, chaque organisation doit être prête à détecter et à réagir rapidement aux violations.

En vous basant sur ces leçons SolarWinds, voici quelques idées des experts en sécurité d'OpenText sur la façon de protéger votre entreprise contre les retombées continues de SolarWinds – et les inévitables défis de sécurité futurs.

La détection et la réponse des points de terminaison sont indispensables

«Les outils de détection et de réponse des points de terminaison (EDR) sont désormais un contrôle de sécurité obligatoire», écrit l'analyste de Gartner Peter Firstbrook. OpenText a fait d'EDR un pilier de notre stratégie de cyber-résilience grâce à notre solution OpenText ™ EnCase ™ Endpoint Security ainsi qu'à notre portefeuille de services BrightCloud Threat Intelligence. Et nous avons identifié cinq facteurs essentiels pour la sécurité des terminaux que chaque organisation devrait avoir en place:

1. Chasse aux menaces et intelligence des menaces basées sur l'intelligence artificielle et l'apprentissage automatique
2. Détection complète avec surveillance continue en temps réel
3. Un simplifié infrastructure de réponse aux incidents capable de détecter les attaques, de contenir les dommages et de restaurer les systèmes et les données
4. Technologie de sécurité agile, intégrée et automatisée
5. Stratégies de correction dynamiques conçues pour ramener rapidement les opérations commerciales à un état de confiance

OpenText offre toutes ces fonctionnalités . En fait, notre dernière version offre encore plus d'accès et de visibilité aux points de terminaison hors réseau, ainsi que des capacités d'enquête étendues, une surveillance continue plus efficace et une détection plus intelligente des menaces.

Les priorités comprennent la surveillance des anomalies et l'hygiène des répertoires [19659005] Le piratage de SolarWinds n'a pas été détecté pendant des mois et n'a été découvert que pendant que la société de sécurité FireEye enquêtait sur ses propres systèmes pour un piratage. Cette découverte souligne l'importance de la surveillance des anomalies et de l'hygiène des répertoires, toutes deux identifiées comme prioritaires par Gartner.

OpenText Security recommande fortement une surveillance continue des opérations et de la chaîne d'approvisionnement de la sécurité, y compris les points de terminaison. Cela signifie également enquêter et réagir lorsque vous repérez une activité inhabituelle qu'il s'agisse d'échecs répétés de connexions, de modèles de trafic Web inhabituels, d'adresses IP suspectes ou autre. Par exemple, l'attaque SolarWinds a peut-être été repérée plus tôt via une enquête sur les adresses IP associées qui avaient précédemment été classées comme à haut risque par BrightCloud Threat Intelligence.

Notre dernière mise à jour EnCase contient plus de 400 nouveaux champs dans le constructeur de détection d'anomalies, ainsi que de nombreuses nouvelles règles conçues pour détecter les tactiques, techniques et procédures (TTP) à l'aide du framework MITRE ATT & CK® .

Focus sur les principes de DevSecOps

Une autre leçon à tirer de l'attaque SolarWinds est que la sécurité est l'affaire de tous et doit être intégrée à tout, pas seulement à l'informatique d'entreprise, mais aussi à l'environnement des développeurs.

Comme l'a noté Gartner, les développeurs sont «une cible clé des attaquants avancés et ne peuvent plus être exclus de les stratégies de protection des points de terminaison », et le pipeline des développeurs doit être testé pour détecter les vulnérabilités. C'est une réflexion DevSecOps et quelque chose qui nous tient à cœur chez OpenText.

En pratique, cela signifie adopter un état d'esprit Zero Trust et une approche de défense en profondeur de la sécurité. Les principes fondamentaux ici incluent des défenses renforcées, une détection de niveau médico-légal et une réponse / récupération rapide. Il s'agit autant de la cyber-résilience que de la cybersécurité. Quelle est la différence? Comme ce billet de blog de l'année dernière le dit: «Si vous voulez les empêcher d'entrer, vous avez besoin de la cybersécurité, mais la résilience dépend de ce que vous faites lorsqu'ils y sont, car vous savez in. »

Pour en savoir plus sur la cyber-résilience, et à quoi cela ressemblera à l'avenir, dans ce livre blanc du PDG d'OpenText et CTO Mark J. Barrenechea.

recherche de failles de sécurité

Chaque organisation doit rechercher des failles dans sa pile de sécurité. Par exemple, un produit existant peut ne pas disposer des fonctionnalités appropriées. Ou vous n'avez peut-être pas les bons outils pour, par exemple, gérer les accès privilégiés ou les identités des machines. Ou un domaine de la sécurité pourrait être complètement négligé. Comme la pandémie l’a si clairement illustré, l’environnement dans lequel vous faites des affaires n’est pas nécessairement le même que celui dans lequel vous étiez il y a un an.

Les circonstances changent. De nouveaux règlements entrent en vigueur. Les entreprises évoluent. C'est pourquoi OpenText Security recommande de mener une Évaluation des risques pour vous assurer que votre organisation est aussi préparée que possible dans l'environnement actuel.

En savoir plus

La prochaine cyberattaque pourrait être en cours de planification même maintenant. Une violation peut déjà s'être produite, avec un attaquant résidant à l'intérieur de votre système. Il est vital de préparer vos défenses partout: à travers les chaînes d'approvisionnement, sur vos réseaux, dans le cloud et plus encore. OpenText Professional Services peut vous aider à comprendre votre environnement de sécurité actuel, à identifier les lacunes et à tracer la voie vers une cyber-résilience améliorée.