Comment les petites entreprises ne sont pas à l'abri des cybermenaces sophistiquées.
Nicolas
CEO, Security Engineer
Refonte du réseau
La conception logique et physique du réseau client ne permettait pas un positionnement optimal des dispositifs de contrôle d'accès. Ce dernier comportait également des équipements réseau obsolètes et présentait de multiples vulnérabilités et défauts de conception.
Le réseau du client était essentiellement plat, sans hiérarchie ni délimitation claire. Il s'agissait essentiellement d'une couche cœur/agrégation fusionnée et d'une couche d'accès sans contrôle d'accès réseau (NAC). Un acteur malveillant aurait pu facilement se connecter à un port d'accès et accéder à un VLAN utilisateur. Ces VLAN auraient pu être traversés par double marquage ou par des attaques ciblant le protocole propriétaire VTP de Cisco.
De plus, quelques périphériques réseau clés étaient sujets à diverses vulnérabilités, telles que la vulnérabilité CVE-2018-0171 affectant le client Smart Install. Cette dernière pouvait être exploitée pour télécharger la configuration actuelle et donc les mots de passe des équipments, dont certains étaient stockés sous forme de mots de passe de type 5 (Unsalted MD5).
Nous avons donc proposé une meilleure conception, qui pourrait être déployée progressivement, après avoir remplacé les équipements obsolètes, notamment ceux qui ne pouvaient plus recevoir de mises à jour logicielles.
Postes de travail et terminaux
Certains postes de travail utilisaient des systèmes d'exploitation obsolètes qui n'avaient pas reçu de correctifs ni de mises à jour pour diverses raisons, comme un manque d'espace disque ou des bugs liés au service de mise à jour. Certains postes étaient vulnérables à l'exploitation à distance et n'étaient absolument pas protégés. Une solution temporaire a été trouvée avec le client pour protéger temporairement ces appareils jusqu'à leur mise à jour ou leur correction.
Le client s'appuyait presque exclusivement sur une solution EDR coûteuse, qui s'est avérée inefficace lors des événements spécifiques liés à la précédente compromission de son réseau. En effet, elle n'a pas pu détecter la pièce jointe malveillante dans l'e-mail du sous-traitant, ni l'exécution de l'injecteur, le canal de communication C2 ou les artefacts déposés sur le disque.
Gestion des identités
Auparavant, l'entreprise ne disposait pas d'une gestion centralisée des identités ni de la capacité à appliquer des politiques telles que l'expiration des mots de passe et l'authentification à deux facteurs (2FA). Le client utilise désormais Active Directory et des services Radius redondants pour résoudre ces problèmes spécifiques.
SIEM et réponse aux incidents
Nous avons mis en place un service de sécurité plus performant permettant la collecte et l'analyse de données distribuées. Le client bénéficie désormais d'une meilleure visibilité sur son trafic réseau, et la nouvelle solution SIEM améliore la visibilité, la collecte des événements et les capacités d'analyse. Notre équipe de réponse aux incidents, en collaboration avec l'équipe informatique du client, peut désormais intervenir en cas de problème de sécurité, et ce en un temps record.
Stratégie de sauvegarde
Enfin, nous avons également ajouté une solution de sauvegarde chiffrée à distance pour protéger les données critiques et permettre une restauration rapide et opportune des systèmes d'exploitation en cas d'incidents techniques ou de sécurité. Les données sont désormais stockées sur site et à distance, offrant une sécurité accrue, notamment en cas d'imprévus.
Conclusion
Grâce à la mise en œuvre progressive de ces changements, nous avons pu améliorer significativement la sécurité et la résilience du client. Il peut désormais mieux se protéger, détecter rapidement les menaces émergentes et, dans le pire des cas, restaurer les hôtes compromis en quelques minutes. Notre équipe collabore régulièrement avec le client pour garantir l'application des nouvelles politiques de sécurité. Des tests d'intrusion en boîte grise sont régulièrement effectués afin de garantir qu'aucune faille ou vulnérabilité majeure ne soit négligée.
