Comment les petites entreprises ne sont pas à l'abri des cybermenaces sophistiquées.

Nicolas | 15 minutes | Case Study
Nick

Nicolas

CEO, Security Engineer

CCNP JNCIP-SP OSCP GXPN

Refonte du réseau

La conception logique et physique du réseau client ne permettait pas un positionnement optimal des dispositifs de contrôle d'accès. Ce dernier comportait également des équipements réseau obsolètes et présentait de multiples vulnérabilités et défauts de conception.

Le réseau du client était essentiellement plat, sans hiérarchie ni délimitation claire. Il s'agissait essentiellement d'une couche cœur/agrégation fusionnée et d'une couche d'accès sans contrôle d'accès réseau (NAC). Un acteur malveillant aurait pu facilement se connecter à un port d'accès et accéder à un VLAN utilisateur. Ces VLAN auraient pu être traversés par double marquage ou par des attaques ciblant le protocole propriétaire VTP de Cisco.

De plus, quelques périphériques réseau clés étaient sujets à diverses vulnérabilités, telles que la vulnérabilité CVE-2018-0171 affectant le client Smart Install. Cette dernière pouvait être exploitée pour télécharger la configuration actuelle et donc les mots de passe des équipments, dont certains étaient stockés sous forme de mots de passe de type 5 (Unsalted MD5).

Analyste de sécurité Exosys

Nous avons donc proposé une meilleure conception, qui pourrait être déployée progressivement, après avoir remplacé les équipements obsolètes, notamment ceux qui ne pouvaient plus recevoir de mises à jour logicielles.

Postes de travail et terminaux

Certains postes de travail utilisaient des systèmes d'exploitation obsolètes qui n'avaient pas reçu de correctifs ni de mises à jour pour diverses raisons, comme un manque d'espace disque ou des bugs liés au service de mise à jour. Certains postes étaient vulnérables à l'exploitation à distance et n'étaient absolument pas protégés. Une solution temporaire a été trouvée avec le client pour protéger temporairement ces appareils jusqu'à leur mise à jour ou leur correction.

Le client s'appuyait presque exclusivement sur une solution EDR coûteuse, qui s'est avérée inefficace lors des événements spécifiques liés à la précédente compromission de son réseau. En effet, elle n'a pas pu détecter la pièce jointe malveillante dans l'e-mail du sous-traitant, ni l'exécution de l'injecteur, le canal de communication C2 ou les artefacts déposés sur le disque.

Gestion des identités (Active Directory)

Une vulnérabilité majeure identifiée lors de l'évaluation initiale était l'absence de gestion centralisée des identités. Le client n'était pas en mesure d'appliquer des politiques de sécurité essentielles, telles que l'expiration obligatoire des mots de passe, les exigences de complexité et l'authentification à deux facteurs (2FA), à l'échelle de l'organisation.

Pour remédier à cela, nous avons mis en œuvre Microsoft Active Directory comme service d'annuaire central, complété par des services RADIUS redondants pour une authentification réseau sécurisée. Ces améliorations permettent désormais :

  • La gestion centralisée des utilisateurs et des groupes
  • L'application systématique des politiques d'authentification forte
  • La prise en charge de l'authentification multifacteur lorsque nécessaire
  • L'application des politiques de sécurité relatives aux techniques de mitigation et aux pare-feu
  • L'amélioration de l'audit et du contrôle d'accès sur les postes de travail, les serveurs et les périphériques réseau

Cette refonte a considérablement renforcé les fondements de la gestion d'identité du client, réduisant ainsi les risques associés aux identifiants faibles ou non gérés. et fournissant également une sécurité évolutive et axée sur des politiques qui s'aligne sur les meilleures pratiques en vigeur.

SIEM et réponse aux incidents

Nous avons mis en place un service de sécurité plus performant permettant la collecte et l'analyse de données distribuées. Le client bénéficie désormais d'une meilleure visibilité sur son trafic réseau, et la nouvelle solution SIEM améliore la visibilité, la collecte des événements et les capacités d'analyse. Notre équipe de réponse aux incidents, en collaboration avec l'équipe informatique du client, peut désormais intervenir en cas de problème de sécurité, et ce en un temps record.

Stratégie de sauvegarde

Enfin, nous avons également ajouté une solution de sauvegarde chiffrée à distance pour protéger les données critiques et permettre une restauration rapide et opportune des systèmes d'exploitation en cas d'incidents techniques ou de sécurité. Les données sont désormais stockées sur site et à distance, offrant une sécurité accrue, notamment en cas d'imprévus.

Collaboration en cours et résultats

Conformément à nos pratiques habituelles, nous avons maintenu une communication régulière avec le client afin de contrôler l'efficacité des mesures mises en œuvre et de traiter toute menace émergente. Au cours de l'année écoulée, le client n'a subi aucun incident de sécurité, malgré la détection et l'enregistrement de milliers de tentatives d'attaque durant cette période.

Le déploiement de notre solution IDS/IPS avancée, associé à une stratégie de défense multicouche complète, a permis à notre client d'acquérir de solides capacités de détection des menaces. Cette approche a considérablement réduit la surface d'attaque d'environ 95%, tout en améliorant significativement les taux de détection et en assurant une protection plus efficace de l'ensemble de l'infrastructure.

Conclusion

Grâce à la mise en œuvre progressive de ces changements, nous avons pu améliorer significativement la sécurité et la résilience du client. Il peut désormais mieux se protéger, détecter rapidement les menaces émergentes et, dans le pire des cas, restaurer les hôtes compromis et ce en quelques minutes.

Notre équipe collabore régulièrement avec le client pour garantir l'application des nouvelles politiques de sécurité. Des tests d'intrusion en boîte grise sont régulièrement effectués afin de garantir qu'aucune faille ou vulnérabilité majeure ne soit négligée.

Related articles