La montée en puissance des entreprises de cybersécurité en tant que cibles [Leçons de 2024]

Pourquoi les attaquants cherchent-ils de plus en plus à exploiter les entreprises de cybersécurité pour infiltrer les écosystèmes ? Notre RSSI Todd Carroll explore ce nouveau changement de tactique.

Lorsque l'on examine la réalité de cette tendance, plusieurs enseignements peuvent être tirés. Les cas de Cyberhaven, BeyondTrust et bien d'autres illustrent cette évolution et montrent à la fois les vulnérabilités exploitées, le ciblage des fournisseurs de cybersécurité et les enseignements tirés.

Les leçons de Cyberhaven : Le risque des extensions de navigateur

En décembre 2024, CyberhavenL'entreprise, connue pour ses solutions avancées de prévention des pertes de données (DLP), s'est retrouvée au centre d'une affaire très médiatisée. attaque. Les acteurs de la menace ont compromis l'extension de navigateur de l'entreprise en infiltrant des comptes de développeurs. Les attaquants ont injecté un code malveillant dans une extension légitime, ce qui a permis de voler les cookies du navigateur et les jetons d'authentification de plus de 600 000 utilisateurs.

Cette attaque a mis en évidence les risques associés aux extensions de navigateur tierces. En ciblant une entreprise profondément ancrée dans la sécurité des données, les attaquants ont eu accès à des informations sensibles susceptibles de compromettre des environnements d'entreprise entiers. Quels sont donc les principaux enseignements à tirer de cet incident ?
En voici une courte liste :

• La nécessité de des pratiques de sécurité solides autour d'outils tiers
• La nécessité de audits fréquents
• Comprendre l'importance de la l'authentification multifactorielle (AMF) est destiné aux comptes de développeurs,
• La nécessité de un suivi rigoureux en cas d'activité inhabituelle

Les leçons de BeyondTrust : L'exploitation de la gestion des accès privilégiés

Au-delà de la confianceleader américain de la gestion des accès privilégiés, a révélé publiquement qu'elle avait été prise pour cible à la fin du mois de décembre. Le leader de la gestion des accès privilégiés a fait l'objet d'une campagne ciblée exploitant les vulnérabilités de sa solution d'accès privilégié. Les attaquants les systèmes d'hameçonnage utilisés pour prendre pied, puis par un mouvement latéral pour compromettre l'infrastructure en nuage de BeyondTrust, notamment en exploitant une clé API compromise dans le logiciel de gestion à distance. CVE-2024-12356 est une vulnérabilité critique qui affecte les produits d'accès à distance privilégié (PRA) et de support à distance (RS) de BeyondTrust. La faille a été préjudiciable car elle a ciblé des informations d'identification privilégiées qui sont les clés des systèmes critiques. 

Les attaquants ont accédé aux environnements sensibles des clients en utilisant les solutions de ces fournisseurs. Ce cas souligne l'importance de renforcer les solutions PAM contre les menaces internes et les attaques externes. 

En voici quelques-uns meilleures pratiques à tirer de cet incident : 

• Mettre en œuvre cadres de confiance zéro 
• Garantir surveillance continue du comportement
• Superviser que les outils PAM sont isolés de ceux qui sont en contact avec l'internet des systèmes d'alimentation en eau.

Leçons tirées de l'expérience Sophos : Pourquoi l'exploitation d'un pare-feu peut être si dangereuse

Le dernier cas d'utilisation concerne l'entreprise britannique de cybersécurité Sophos. Ils étaient engagés dans une bataille complexe avec des pirates informatiques chinois ciblant leurs produits de pare-feu, dans une affaire qualifiée de "combat au couteau cybernétique de cinq ans avec des APT chinois".

Les attaquants ayant des liens avec Groupes APT, y compris APT41/Winnti, APT31et Volt Typhoon ont exploité les vulnérabilités des appareils de Sophos pour infiltrer des entités de premier plan, y compris des installations militaires et des agences gouvernementales. Sophos a suivi ces pirates, identifié leurs méthodes de travail et retracé leurs activités jusqu'à un réseau de chercheurs associés à l'Université des sciences et technologies électroniques de Chine et aux technologies de l'information de la Silence du Sichuan. 

L'entreprise a publié un rapport détailléLe rapport de la Commission européenne est un document riche en détails sur les difficultés rencontrées par la Commission et l'ensemble de l'industrie en matière de vulnérabilités. 

Sophos a donné quelques conseils pour éviter les mêmes risques. En voici quelques-uns :

• Suivez de près votre guide de durcissement des dispositifs du vendeur pour réduire votre surface d'attaque et limiter l'exploitabilité des vulnérabilités de type "zero-day", en accordant une attention particulière aux interfaces administratives.
• Activer les correctifset mettez en place des processus pour contrôler les communications de vos fournisseurs. 
• Assurez-vous que vous êtes fonctionnement du matériel pris en charge et les logiciels pour lesquels votre fournisseur s'est engagé à publier des mises à jour de sécurité

Pourquoi les entreprises de cybersécurité ont-elles été des cibles privilégiées l'année dernière ?

En bref, il s'agit bien sûr de données de grande valeur. Les entreprises de cybersécurité gèrent le plus souvent des données clients très sensibles, ce qui en fait des cibles lucratives pour les cybercriminels qui peuvent extorquer ou vendre ces données, 

1. Exploitation de la confiance: La compromission d'un fournisseur de sécurité de confiance amplifie encore l'impact, car les attaquants peuvent tirer parti de la brèche pour infiltrer les clients en aval dans une boucle vicieuse.
2. La sophistication croissante des acteurs de la menace: Les acteurs étatiques et les menaces persistantes avancées (APT) ciblent de plus en plus les entreprises de cybersécurité pour obtenir des avantages stratégiques.

Conclusion : Comment réduire les risques en 2025 pour vous et votre équipe SOC

Les attaques contre Cyberhaven, BeyondTrust et bien d'autres l'année dernière montrent à quel point les entreprises de cybersécurité peuvent devenir vulnérables si elles ne mettent pas en place une stratégie défensive adéquate. Les principales recommandations sont les suivantes

1. La veille proactive sur les menaces est cruciale: Partager et agir sur les informations relatives aux menaces en temps réel - ce n'est pas le moment de s'attarder sur les problèmes. L'année 2024 a été marquée par une nouvelle sophistication des menaces, qui se développera probablement davantage cette année.
2. Les architectures de confiance zéro doivent figurer sur votre liste de contrôle: Adopter des principes de confiance zéro pour limiter le rayon d'action des violations potentielles. Les cas d'utilisation ci-dessus montrent à quel point ils sont essentiels.
3. Le renforcement de la sécurité des développeurs est plus important que jamais en 2025: Mettre en œuvre l'AMF, les protocoles de signature de code et la surveillance continue. Mettre en œuvre ces mesures dans tous les environnements de développement.
4. La résilience de la chaîne d'approvisionnement est d'actualité pour une bonne raison: Vous devez procéder à des évaluations approfondies des risques liés aux fournisseurs tiers. Vous devez également appliquer des contrôles de sécurité rigoureux pour les intégrations.

Les leçons de 2024 - des vulnérabilités des extensions de navigateur aux compromissions de la chaîne d'approvisionnement - vous invitent à repenser votre stratégie et à renforcer vos défenses face à de tels stratagèmes cybercriminels.

L'approche de CybelAngel est avant tout proactive. Notre solution EASM vous permet d'identifier et de traiter les menaces de sécurité potentielles avant qu'elles ne soient exploitées. Votre analyste dédié s'assure que vous recevez des informations qualifiées pour remédier rapidement à la situation. Si vous souhaitez en savoir plus, contactez-nous. toucher avec notre équipe d'experts.