Les chaînes d’approvisionnement sont cruciales pour les opérations commerciales. Il est essentiel de vérifier que les connexions requises pour qu’ils fonctionnent ne fournissent pas une voie opaque aux cybercriminels à exploiter. Cela fait de la sécurité de la chaîne d’approvisionnement une préoccupation critique pour les organisations du monde entier.
Les criminels déterminés à infliger la sécurité et à établir une présence persistante sur les réseaux visent de plus en plus des vulnérabilités dans les chaînes d’approvisionnement. Grâce à un seul point d’entrée, ils peuvent compromettre plusieurs organisations. La détection et la réponse du réseau de flux de progrès (NDR) peuvent détecter l’activité d’attaque provenant des chaînes d’approvisionnement.
Nous avons récemment hébergé un webinaire décrivant comment utiliser NDR pour détecter et combattre les attaques de la chaîne d’approvisionnement. Lisez la suite pour explorer les principaux points présentés, les stratégies de lutte contre ces menaces sophistiquées, les exemples du monde réel et les recommandations pratiques pour renforcer la sécurité de votre chaîne d’approvisionnement. Vous pouvez également prendre la session complète ici:
Qu’est-ce qu’une chaîne d’approvisionnement?
Tel que défini au début du webinaire, une chaîne d’approvisionnement englobe l’ensemble de la chaîne de fabrication et de livraison qui apporte un produit de sa conception à l’utilisateur final. Cela comprend les matières premières, les fournisseurs, les fabricants, les distributeurs, les clients et les consommateurs.
Chaque lien de cette chaîne représente une vulnérabilité potentielle que les attaquants peuvent exploiter pour affecter les organisations liées. Ce qui rend les attaques de chaîne d’approvisionnement particulièrement efficaces, c’est notre confiance inhérente aux fournisseurs. Les organisations mettent souvent en œuvre de nouveaux équipements, logiciels ou technologies de fournisseurs de confiance sans se rendre compte que, quelque part en amont, un attaquant a peut-être déjà compromis l’intégrité de ces éléments.
Exemples d’attaques de la chaîne d’approvisionnement
Pour donner aux téléspectateurs une idée de ce que ces attaques englobent et des dégâts qu’ils causent, deux attaques de chaîne d’approvisionnement réussies ont été couvertes dans le webinaire:
Target Corporation – Cette attaque de novembre 2013 a entraîné le vol de 40 millions de numéros de carte de crédit, mais ce qui est particulièrement intéressant, c’est comment les assaillants ont eu accès. Plutôt que de violer directement la sécurité de Target, ils ont compromis un fournisseur de CVC en Pennsylvanie qui a maintenu les systèmes de climatisation de Target.
Les attaquants ont livré des logiciels malveillants via un e-mail à la société CVC, ce qui leur a permis de voler des informations d’identification VPN utilisées par les techniciens pour accéder au réseau de Target. Une fois à l’intérieur, ils ont découvert que le réseau de Target manquait de segmentation appropriée, leur permettant d’accéder et d’infecter chaque caisse enregistreuse dans 1 800 magasins. Cette attaque met en évidence à quel point les fournisseurs tiers non liés peuvent devenir des points d’entrée pour les attaquants, soulignant la nécessité de mesures de sécurité de la chaîne d’approvisionnement robustes.
Crowdsstrike – Cet infâme incident 2024 a démontré comment les problèmes de chaîne d’approvisionnement peuvent avoir des effets en cascade. Bien qu’il ne s’agisse pas d’une attaque malveillante, une mise à jour logicielle corrompue a affecté 8,5 millions d’appareils Windows, provoquant des perturbations généralisées entre les compagnies aériennes, les systèmes de soins de santé et les services financiers. De nombreuses organisations sont toujours confrontées aux conséquences de cet incident, à la fois techniquement et devant les tribunaux, par le biais de poursuites contre Crowdsstrike et autres.
L’impact des attaques de la chaîne d’approvisionnement
Les attaques de la chaîne d’approvisionnement peuvent se produire sous plusieurs formes, y compris celles illustrées à la figure 1.
Chacun aura un impact différent sur les organisations affectées. Ces impacts comprennent:
-
Pertes financières: Les violations de données peuvent entraîner des pertes financières importantes en raison des informations sur les cartes de crédit volées et du vol de propriété intellectuelle.
-
Perturbations opérationnelles: Les attaques peuvent perturber les systèmes critiques et perturber les opérations commerciales, entraînant des temps d’arrêt, une perte de productivité et une insatisfaction des clients.
-
Dommages de réputation: Les attaques de la chaîne d’approvisionnement peuvent gravement endommager la réputation d’une organisation, éroder la confiance des clients et avoir un impact sur les opportunités commerciales futures.
-
Implications juridiques et réglementaires: Les organisations peuvent faire face à des répercussions et des amendes légales pour ne pas protéger adéquatement des données sensibles. Surtout maintenant que NIS2 entre en vigueur dans l’UE.
Mais les données montrent que, dans l’ensemble, les attaques de la chaîne d’approvisionnement ont tendance dans la bonne direction, car la conscience des propagations de risque et des actions plus protectrices sont prises. Par exemple, Rapport des statistiques qu’en 2023, environ 138 000 clients ont été touchés par les cyberattaques de la chaîne d’approvisionnement dans le monde, une diminution massive par rapport aux 263 millions de personnes touchées en 2019. Pourtant, le même rapport montre que 183 000 clients ont été affectés en 2024, démontrant que le problème se poursuit.
Recommandations pour améliorer la sécurité de la chaîne d’approvisionnement
Le webinaire couvre certains principes essentiels de la cybersécurité qui aident à renforcer les défenses des types d’attaque de la chaîne d’approvisionnement (et d’autres). Ils tombent en trois catégories:
-
Politique et procédures
- Documenter toutes les politiques et procédures approfondies
- Établir des directives claires pour les fournisseurs de confiance
- Mettre en œuvre des cadres de gouvernance robustes pour la surveillance et l’identification
-
Conseils à risque
- Créez des équipes interfonctionnelles qui incluent des experts de l’informatique, juridique et finance
- Développer des stratégies de gestion des risques de bout en bout dans cette équipe
- Intégrer les risques de sécurité aux autres risques commerciaux dans les processus de sélection et les audits
-
Architecture de confiance zéro
- Implémentez un cadre où personne ne se fait confiance par défaut
- Exiger la vérification de tous ceux qui tentent d’accéder aux ressources du réseau
- Appliquez ce principe de manière cohérente pour l’accès interne et externe
Il est également essentiel de déployer et d’utiliser une solution NDR pour obtenir une visibilité approfondie dans le trafic réseau, de détecter de manière proactive un comportement anormal et de permettre une réponse rapide des incidents. Les outils NDR fournissent des informations précieuses sur les attaques de la chaîne d’approvisionnement, aidant les équipes de sécurité à identifier l’activité malveillante des fournisseurs compromis.
Une procédure pas à pas d’une attaque de chaîne d’approvisionnement en utilisant l’optique de détection de réseau
Pendant le webinaire, un scénario du monde réel impliquant un système d’assistance compromis est utilisé pour décrire comment Flowmon NDR peut aider à détecter et à gérer les attaques de la chaîne d’approvisionnement. La procédure pas à pas utilise les étapes d’attaque de la chaîne d’approvisionnement en 8 étapes illustrées à la figure 2.
Ces huit étapes tombent en trois groupes (obtenez une plongée plus profonde dans l’enregistrement) – et une solution NDR peut aider à chaque point de contact:
-
Reconnaissance et accès initial
- Détecte une activité suspecte, telle que les scans SYN TCP horizontaux ou les adresses IP inconnues, en utilisant des solutions NDR
- Identifie les signes d’alerte précoce des activités de reconnaissance
-
Découverte, accès aux informations d’identification et mouvement latéral
- Détecte la numérisation du réseau par les attaquants, tels que l’énumération des appareils ARP et les scans TCP verticaux
- Identifie les modèles de réseau inhabituels via l’analyse comportementale
- Flags Mot de passe pulvériser des attaques contre des services comme SSH
-
Collection, exfiltration et impact
- Détecte les tentatives d’exploitation du service DNS
- Identifie les activités de collecte et d’exfiltration de données grâce à des méthodes basées sur le comportement
- Surnom et rapporte les perturbations du service et l’indisponibilité du système
Flowmon NDR offre aux équipes de sécurité une image complète du cycle de vie d’attaque grâce à sa visibilité approfondie du réseau et à ses analyses avancées. En corrélant les événements et en tirant parti de l’intelligence des menaces, Flowmon NDR permet une détection, une enquête et une réponse en temps opportun pour atténuer les dégâts causés par les attaques de la chaîne d’approvisionnement. Il fait cela via:
-
Capacités avancées de détection des menaces
-
Analyse du trafic réseau en temps réel
-
Mécanismes de réponse automatisés
-
Visibilité approfondie dans les environnements de nuages hybrides
Réflexions finales
La solution Flowmon offre de nombreux avantages pour les équipes informatiques, telles que:
-
Amélioration de la visibilité dans le trafic réseau avec des tableaux de bord, des alertes et des rapports personnalisables
-
Détecter automatiquement les menaces et identifier les indicateurs de compromis
-
Surveillance des performances du réseau pour afficher si des problèmes signalés sont dus à un problème de réseau ou d’application
-
Fournir une analyse automatique et des suggestions de causes profondes via un langage facile à comprendre basé sur des cadres comme Mitre Att & CK
-
Fournir les données nécessaires pour les problèmes de dépannage, l’analyse post-incidence ou la planification de la mise à niveau des infrastructures
En savoir plus sur Flowmon Solutions sur Cette page d’aperçu. Vous pouvez aussi obtenir une démo de Flowmon NDR pour voir rapidement comment cela rendra votre cybersécurité plus résiliente et la surveillance de votre réseau plus transparente et utile.
Source link