Sécurité réseau

Menaces internes et externes : naviguer dans le cloud en sécurité

Menaces internes et externes : naviguer dans le cloud en sécurité

L’adoption du cloud a augmenté de façon spectaculaire l’année dernière, et de nombreuses organisations ont découvert les avantages du travail à distance. Les employés bénéficient d’un meilleur équilibre entre vie professionnelle et vie privée, et ils peuvent économiser sur l’essence et les trajets.

Les organisations bénéficient d’employés plus heureux qui peuvent rester chez eux et rester productifs. Pour les entreprises, cela limite également les besoins en immobilier.

L’inconvénient d’une politique de travail à domicile est l’augmentation des risques de cybersécurité. Le cloud offre de nombreux avantages aux organisations qui souhaitent proposer le travail à domicile, mais cela signifie que le personnel informatique doit être conscient du risque de sécurité supplémentaire.

Le phishing, l’ingénierie sociale, l’élévation des privilèges, les attaques par mot de passe par force brute et bien d’autres exploits constituent une menace pour la posture de cybersécurité des organisations. Ces menaces peuvent être à la fois externes et internes, mais les organisations peuvent prendre les bonnes précautions pour garantir la confidentialité et la sécurité des données.

Surveiller et bloquer les menaces externes

Toute infrastructure basée dans le cloud est accessible non seulement aux employés, mais aussi aux attaquants si des vulnérabilités existent sur le réseau et peuvent être exploitées.

La plupart des pirates écrivent des scripts pour trouver des vulnérabilités, et de bons systèmes de détection des intrusions et de surveillance par force brute bloqueront les sondages continus des menaces externes.

Les attaquants utilisent également des méthodes de reconnaissance pour trouver des vulnérabilités, notamment des cibles potentielles pour le phishing et l’ingénierie sociale.

LinkedIn est couramment utilisé pour trouver des organigrammes et des utilisateurs à haut niveau de privilège, tels que le personnel des RH et les cadres. Avec une liste de victimes potentielles, un pirate peut lancer des attaques via le courrier électronique ou des appels vocaux.

Si l’organisation possède des applications Web, celles-ci peuvent être utilisées dans des exploits potentiels. Les scripts intersites (XSS), la falsification des requêtes côté serveur (SSRF), l’injection SQL et d’autres attaques basées sur le Web pourraient permettre aux acteurs de la menace d’accéder à des données sensibles.

Les scripts permettant de trouver ces vulnérabilités peuvent les exploiter automatiquement, ou un attaquant peut sonder le serveur encore plus profondément pour trouver d’autres problèmes de cybersécurité.

Les menaces externes conduisent souvent à des violations de données. Pour les grandes organisations, les attaquants pourraient exfiltrer des millions d’enregistrements s’ils ont suffisamment de temps pour voler silencieusement des données.

Des systèmes de surveillance doivent être mis en place pour détecter ces menaces, en particulier les systèmes auxquels les travailleurs à distance ont accès. L’infrastructure du cloud est intrinsèquement sûre, mais le personnel informatique doit la configurer correctement pour détecter et bloquer les menaces courantes.

Les systèmes de journalisation facilitent également les enquêtes sur la gravité d’une compromission réussie, en donnant au personnel informatique un moyen de comprendre ce qui a mal tourné et la gravité de la violation.

Éviter les menaces internes courantes

Les employés sont le maillon le plus faible des défenses de cybersécurité. Même si des systèmes de surveillance sont en place, une attaque sophistiquée de phishing ou d’ingénierie sociale peut contourner la sécurité et permettre à un attaquant d’accéder à des données ou de commettre un vol financier.

Les courriels de phishing sont souvent utilisés dans ces attaques, et la formation des utilisateurs ne suffit pas à les arrêter. Les menaces internes posent également un problème de conformité. Les employés doivent savoir comment communiquer, transférer, stocker et protéger les données des utilisateurs.

Par exemple, un employé ne doit pas envoyer une présentation PowerPoint par courrier électronique à un destinataire externe si la présentation contient des données sensibles. Le courrier électronique est un risque pour les messages entrants et sortants, et le personnel informatique doit savoir comment le protéger des menaces.

La formation est indispensable dans toute organisation, en particulier pour les cibles communes telles que le personnel des RH, des finances et du service clientèle. Le personnel doit savoir qu’il faut toujours vérifier l’identité de l’appelant et éviter de prendre des décisions urgentes sur la base d’informations limitées fournies par l’appelant.

La formation du personnel à l’identification de l’ingénierie sociale par le biais d’appels vocaux réduit considérablement les risques.

Les filtres destinés à bloquer les messages électroniques de phishing entrants constituent la meilleure défense contre les liens et pièces jointes malveillants. Les attaquants ciblent souvent les membres clés du personnel qui peuvent exécuter des malwares sur le réseau, mais les utilisateurs à faible privilège sont également une cible.

Par exemple, un attaquant peut envoyer à un utilisateur un message contenant un lien permettant de télécharger un logiciel malveillant ou une pièce jointe contenant des macros permettant de le télécharger.

Les malwares peuvent être utilisés pour prendre le contrôle des appareils de l’utilisateur, ce qui permet à un attaquant d’accéder au réseau interne en utilisant les privilèges de l’appareil et du compte de l’utilisateur.

Au lieu de compter sur les utilisateurs pour identifier ces messages de phishing malveillants, les filtres les empêchent d’atteindre la boîte de réception du destinataire. Ils empêchent les utilisateurs de voir les messages, et les administrateurs peuvent les examiner pour identifier les faux positifs.

Les filtres protègent contre les nombreuses attaques qui peuvent être lancées par courrier électronique. Ils réduisent ainsi les risques de ransomware, de chevaux de Troie, de rootkits, de vol d’identifiants, d’écoute de données et de vol de données.

Les menaces internes et externes doivent être prises en compte dans le plan de cybersécurité d’une organisation. La surveillance et la détection des intrusions peuvent défendre contre les menaces externes, mais les filtres de courrier électronique et la cybersécurité sont primordiaux pour une bonne protection contre le phishing et l’ingénierie sociale.

Les mesures typiques de sécurité du réseau pour se protéger contre l’accès sont :

  • L’utilisation de la défense en profondeur.
  • La protection des données à la source.
  • L’utilisation du chiffrement pour les données au repos ainsi que pour les données en mouvement.
  • L’utilisation d’un accès basé sur les rôles et une gestion des accès privilégiés (PAM).
  • L’exigence de l’utilisation d’un ordinateur distinct pour l’accès de l’administrateur aux ressources.
  • L’utilisation de la journalisation et la surveillance de l’accès pour discerner les schémas inhabituels.
  • La mise en place des processus de sauvegarde et de récupération sécurisés.
  • La limitation de la capacité des employés à utiliser les services de transfert de fichiers et de poste à poste.

Mesures commerciales

Il est essentiel d’appliquer les meilleures pratiques commerciales au domaine informatique. Il s’agit notamment de :

  • Documenter clairement et appliquer systématiquement les politiques et les contrôles.
  • Séparer les tâches — utilisez des contrôles et des équilibres. Si un employé ou un contractant a de mauvaises intentions, les dommages seront au moins limités.
  • Appliquer la règle du moindre privilège pour toutes les ressources. Les individus ne doivent avoir accès qu’aux informations nécessaires pour fonctionner efficacement, et pas plus.
  • Contrôler et surveiller l’accès physique aux ressources.
  • Détruire et éliminer correctement les données, les imprimés et la documentation.

Une combinaison de contrôles informatiques et commerciaux est nécessaire pour se protéger contre les menaces internes. Pour être vraiment efficace, impliquez vos sous-traitants et vos partenaires commerciaux dans cet effort.

Les organisations doivent procéder à des révisions régulières des privilèges d’accès pour éviter d’accorder des accès inutilement libérés et réduire ainsi les points de faiblesse potentiels.

Vous devez également faire confiance à vos employés, mais vous devez équilibrer cette confiance avec des contrôles de sécurité appropriés pour l’entreprise et le réseau.

Protégez vos employés contre les attaques de phishing en combinant une formation de sensibilisation à la cybersécurité et une protection antispam des e-mails. En savoir plus sur la solution avancée de protection contre le spam. Découvrez la démonstration de SpamTitan dès aujourd’hui.

6 types d’attaques DNS à connaître

6 types d’attaques DNS à connaître

Les attaques DNS sont critiques pour les organisations de toutes tailles et de tous secteurs. Nous vivons à une époque où le fait de naviguer accidentellement vers un mauvais site web peut avoir des conséquences désastreuses.

Un utilisateur qui tape incorrectement un nom de domaine ou qui clique au hasard sur un lien intégré dans un e-mail peut lancer une attaque dévastatrice de ransomware, mettant hors service un seul ordinateur, un réseau entier et même envahir les chaînes d’approvisionnement.

Le filtrage web ne consiste pas seulement à arrêter les utilisateurs déterminés à se rendre sur des sites inappropriés. Il s’agit d’empêcher un accident ou une action involontaire qui pourrait compromettre l’ensemble de l’entreprise.

Aujourd’hui, la protection de la cybersécurité passe par une approche multicouche de la stratégie de sécurité. En fait, la protection des utilisateurs contre les contenus de sites malveillants, les malwares et les attaques de phishing passe par la couche DNS. Il est donc essentiel de la sécuriser.

La couche qui rend la navigation sur Internet possible est la même que celle que les pirates utilisent pour mettre en œuvre leurs attaques. Ignorer la couche DNS fait peser toute la charge sur les mécanismes de sécurité des points de terminaison qui peuvent rapidement être dépassés.

Les principales attaques DNS contre lesquelles vous devez protéger votre entreprise

Phishing

Le courrier électronique reste le principal mécanisme de diffusion des malwares, des ransomwares et des cyberescroqueries. Mais la plupart des attaques de phishing utilisent les deux composants les plus utilisés de votre environnement utilisateur, à savoir le courrier électronique et Internet.

Les cybercriminels continuent d’utiliser les attaques de phishing parce qu’elles sont faciles à mettre en œuvre et peuvent manipuler les utilisateurs avec succès. Il leur suffit de disposer d’une base de données d’adresses électroniques pour lancer leurs grands filets et prendre au piège des utilisateurs peu méfiants.

À l’instar de la pêche à l’achigan ou à la truite, le phishing dépend du bon appât qui incitera les utilisateurs à cliquer sur un lien intégré qui pointe vers un site Web et télécharge la charge utile malveillante sur le bureau de l’utilisateur.

Bien que la plupart des entreprises disposent d’une solution de filtrage des e-mails, il est pratiquement impossible d’éliminer toutes les tentatives de phishing. C’est pourquoi il est essentiel de disposer d’une solution de filtrage web qui fonctionne en tandem avec votre solution de sécurité du courrier électronique afin d’empêcher tout type de connexion Web malveillante en premier lieu.

Attaques BEC

Les attaques BEC sont une forme de phishing à fort enjeu, également connue sous le nom de spear phishing. Les attaques BEC impliquent spécifiquement des utilisateurs à hauts privilèges identifiés au sein d’une organisation. L’objectif de ces attaques est de gagner beaucoup d’argent.

Les attaquants passent souvent des mois à scruter et à surveiller le trafic de courrier électronique d’un système compromis afin de connaître sa culture et ses protocoles de communication.

Bien que les attaques de BEC n’impliquent pas toujours l’internet, un système de sécurité web peut être l’outil permettant d’éviter une perte qui peut facilement atteindre des dizaines de millions de dollars.

Malware

La lutte contre les malwares ne se limite plus aux points d’accès. Vous ne pouvez plus placer toute votre confiance dans les solutions d’extrémité, car des attaquants expérimentés ont développé des méthodologies pour contourner ces outils de sécurité à petite échelle.

Vous devez arrêter les malwares à la source. Les utilisateurs ne peuvent pas télécharger accidentellement des malwares s’ils ne sont jamais autorisés à se connecter à un site de téléchargement.

Même dans le cas où un site n’a pas été correctement identifié, une solution moderne de filtrage web devrait pouvoir analyser les paquets qui traversent le réseau et les débarrasser du code malveillant avant qu’ils ne puissent s’infiltrer sur les ordinateurs des utilisateurs finaux.

Ransomware

Bien que les ransomwares soient un type de malwares, ils méritent désormais leur propre catégorie. Nombreux sont ceux qui les considèrent aujourd’hui comme la première menace de cybersécurité.

Les attaques de phishing et du type BEC ont généralement pour but de réaliser une arnaque rapide. Ce n’est pas le cas des ransomwares, car ils peuvent entraîner l’arrêt des opérations essentielles à la mission d’innombrables organisations, grandes ou petites.

En sécurisant la couche DNS, vous faites plus que protéger votre entreprise contre les cyberattaques. Vous protégez également votre organisation contre une perturbation potentiellement dévastatrice des opérations de base.

Attaques par déni de service

Les attaques par déni de service (DoS) constituent un type d’attaque différent. Comme les ransomwares, elles ont pour but de perturber le fonctionnement du réseau d’une entreprise dans l’espoir de lui extorquer de l’argent.

Ces attaques impliquent une armée de robots qui travaillent en coordination les uns avec les autres. Chaque robot envoie du trafic divers dans le but de consommer toute la bande passante disponible.

Ces attaques visent souvent les détaillants en ligne ou d’autres entreprises qui dépendent fortement de l’infrastructure de leur site Web. Bien qu’elles ne soient pas aussi répandues, les attaquants peuvent également mener des attaques DoS au sein du réseau interne d’une entreprise.

Ces attaques impliquent généralement un type de malware qui utilise ensuite les nœuds disponibles pour envoyer des paquets malveillants.

Typosquattage

Les attaques de typosquattage sont des exemples parfaits pour attirer les visites accidentelles d’un utilisateur peu méfiant. Les cybercriminels achètent des noms de domaine dont l’orthographe est similaire à celle de sites web bien connus.

Lorsqu’un utilisateur se trompe accidentellement de nom de domaine dans son navigateur web, il est alors redirigé vers un faux site de connexion qui capture ses identifiants de connexion.

Les pirates utilisent ensuite les informations d’identification compromises pour accéder au site Web lui-même et mener leurs actions malveillantes, comme le retrait de fonds ou la réalisation d’achats non autorisés.

Solution contre ces différents types d’attaques DNS

De la même manière que les utilisateurs dépendent aujourd’hui des services d’identification de l’appelant pour trier les appels de télémarketing et les appels automatisés, les solutions de filtrage DNS sont le moyen privilégié d’éliminer les attaques basées sur le Web.

Vos utilisateurs et vos opérations critiques dépendent d’une expérience Internet sûre. Par conséquent, une solution de filtrage DNS avancée telle que WebTitan est aujourd’hui un outil indispensable.

Une approche de sécurité à plusieurs niveaux est essentielle pour toutes les organisations afin de protéger les clients, les employés et les données de l’entreprise contre les attaques DNS. Une combinaison de SpamTitan et de WebTitan peut rendre votre organisation à l’abri des attaques DNS avancées.

Contactez un expert en sécurité de TitanHQ dès aujourd’hui pour découvrir comment nous pouvons utiliser une approche en couches pour protéger votre organisation.

Se protéger du phishing en 2021

Se protéger du phishing en 2021

Avec la hausse astronomique des attaques de phishing en 2021, découvrez comment les éviter. En général, vous recevez un email dans votre boîte de réception. Il a l’air légitime, semble urgent et vous demande d’entreprendre une action immédiate. Devriez-vous le prendre au sérieux ou simplement le supprimer ?

Les professionnels de la sécurité vous diront qu’il faut toujours faire preuve de prudence et supprimer le message. Pourtant, il y a cette incertitude innée qui pousse de nombreuses personnes à suivre l’action suggérée par l’email, si c’est le cas.

Après tout, il est parfaitement logique que les grandes marques comme Netflix, PayPal ou Bank of America vous contactent si vous êtes un de leurs clients.

Sachez que plus de 3 milliards d’emails frauduleux sont envoyés chaque jour. Bien que la plupart des comptes de messagerie soient protégés par une solution de filtrage de sécurité, quelques-uns parviennent tout de même à se frayer un chemin dans le système.

Ceci accentue la possibilité qu’il s’agisse d’un message légitime pour l’utilisateur final puisqu’il est arrivé dans sa boîte de réception.

Quelques moyens de se protéger du phishing

Vérifiez toujours l’adresse d’envoi

Il faut un bon appât pour piéger un utilisateur d’email peu méfiant avec une attaque de phishing. Si, il y a dix ans, les emails de phishing étaient truffés de fautes d’orthographe et de grammaire, ce qui les rendait très évidents, ce n’est plus le cas aujourd’hui.

Désormais, de nombreux emails de phishing incluent le logo et l’en-tête de l’entreprise dans le corps du message. Ces graphiques ne sont pas seulement utilisés pour donner à l’email un aspect aussi officiel que possible, mais aussi pour détourner votre attention de l’adresse réelle de l’expéditeur.

Prenons un exemple : alors que le nom de l’expéditeur annonce IRS.Gov, l’adresse réelle de l’expéditeur provient clairement d’un domaine distinct. Cependant, le sceau officiel de l’IRS dans le coin droit fait que l’utilisateur y prête attention, détournant entièrement son attention de l’en-tête de l’email. Notez que le message contient souvent une pièce jointe et un lien intégré.

Les cybermenaces clés qui menacent les travailleurs à domicile

Si le corps de l’email se lit bien et est parfaitement logique, vous n’avez même pas besoin de perdre du temps à le lire si vous validez d’abord l’adresse d’envoi à chaque fois.

Si, pour une raison quelconque, vous utilisez un client de messagerie qui ne vous est pas familier et que vous ne trouvez pas l’en-tête de l’email, vous pouvez toujours appuyer sur le bouton de transfert. L’email de transfert comprendra l’adresse email réelle de l’expéditeur dans le corps de l’email.

Une mauvaise adresse d’envoi est parfois difficile à repérer au premier coup d’œil. Par exemple, l’adresse de retour peut être paypaal.com, alors que le domaine réel ne comporte qu’une seule lettre, c’est-à-dire paypal.com.

Les cybercriminels achètent souvent des domaines de typosquattage d’un nom de domaine populaire et imitent ensuite son site web. Le mieux serait donc de lire attentivement l’adresse électronique d’envoi.

Comment les escrocs savent-ils que je suis un client ?

Vous vous demandez peut-être comment ils savent que vous êtes client d’une entreprise donnée. Comment savent-ils par exemple que vous attendez un colis d’une société de transport particulière ?

Dans la plupart des cas, ils ne le savent pas. Les cybercriminels envoient simplement des millions d’emails en se faisant passer pour des entreprises internationales, sachant qu’un certain pourcentage d’utilisateurs sera effectivement des clients réels.

Si vous recevez de nombreux emails suspects de la part de sociétés Internet que vous visitez fréquemment, il se peut que votre ordinateur soit infecté par un spyware qui capte tout votre trafic Web et le transmet à l’attaquant. Si tel est le cas, vous aurez besoin d’une bonne application de sécurité des points d’accès ou d’une solution antispyware pour nettoyer votre machine.

Trame commune

Les attaques de phishing ont tendance à utiliser toujours le même type de leurre. Pourquoi ? Parce qu’elles fonctionnent. Voici une liste de scénarios qui devraient immédiatement vous mettre la puce à l’oreille.

  • Le service informatique de votre employeur vous demande de faire quelque chose, mais la signature du email est générique, telle que « Service informatique » ou « Service d’assistance ».
  • Une entreprise vous envoie un avis d’activité suspecte concernant votre compte et vous demande de prendre une mesure quelconque, comme réinitialiser votre mot de passe.
  • Une entreprise vous a envoyé une facture sous la forme d’un fichier PDF joint.
  • Un bureau gouvernemental ou l’IRS déclare que vous avez droit à un remboursement ou à une subvention.
  • Il vous est demandé de confirmer certaines informations personnelles concernant votre compte.
  • L’email ne comporte pas de salutation personnelle et se réfère à un contexte générique tel que « Cher utilisateur ».

Les bonnes règles à suivre

Voici une liste de bonnes règles à suivre pour vous épargner du temps et des efforts dans l’évaluation de la légitimité d’un email.

  • Aucune organisation ne vous demandera jamais votre mot de passe. Elle n’enverra pas non plus d’email non sollicité pour vous demander de changer votre mot de passe
  • Bien que l’IRS ou les institutions financières vous envoient des emails pour confirmer la réception ou une modification de votre profil ou de votre compte, ils ne vous enverront jamais un email non sollicité vous demandant de faire quelque chose.
  • N’appelez jamais le numéro de téléphone d’une institution financière contenu dans un email qui vous demande de répondre à quelque chose. Recherchez le numéro vous-même et appelez.
  • Si quelqu’un vous envoie par email une facture que vous n’attendez pas, ignorez-la. Il en va de même pour un email concernant un colis que vous n’attendez pas.

Deux bonnes mesures de sécurité contre les escroqueries par phishing

Toute organisation qui fournit du courrier électronique à ses employés doit sécuriser toutes les activités de courrier électronique à l’aide d’un système de sécurité avancé.

Il est possible de se défendre contre les escroqueries par phishing, les piratages de mots de passe, les fraudes à la carte de crédit et les attaques de malwares les plus courants avec des outils largement disponibles et une formation de bas niveau.

Une solution de sécurité du courrier électronique telle que SpamTitan bloquera les attaques de phishing ainsi que les ransomwares et d’autres variantes de malwares. Vous devriez également protéger tous les comptes financiers avec un type d’authentification multifactorielle.

Vous serez ainsi protégé si vos informations d’identification sont compromises. Si les attaques de phishing restent aujourd’hui une menace très sérieuse, les défenses pour s’en protéger sont disponibles.

La première défense contre la cybersécurité pour les petites entreprises commence par la prise en charge de celle-ci. Parlez-en directement avec nous ou avec votre fournisseur de services gérés.

Ils seront en mesure de vous proposer des services de cybersécurité essentiels, des formations de sensibilisation à la sécurité et des conseils sur la protection, la sauvegarde et la récupération des données.

Contactez un expert en sécurité chez TitanHQ dès aujourd’hui et découvrez comment SpamTitan Email Security peut prévenir les attaques de phishing.

DNSSEC et Sécurité DNS

DNSSEC et Sécurité DNS

Croyez-le ou non, la structure fondatrice d’Internet a à peine 50 ans. Quant au DNS, il a été créé en 1983 et est devenu une norme Internet en 1986.

Le courrier électronique est un peu plus ancien puisque la première personne à utiliser le signe @ pour relier un nom d’utilisateur à un serveur de destination pour communiquer a eu lieu en 1971.

Ces deux normes ont été créées à une époque d’innocence. À notre connaissance, il n’y avait pas de pirates informatiques à l’époque. Il n’y avait certainement pas d’organisations criminelles qui diffusaient des ransomwares ou d’acteurs de la menace d’État qui faisaient du cyberespionnage. Vous pouviez faire confiance à la communauté Internet dont vous faisiez partie.

Les inventeurs de ces technologies n’ont probablement même pas pensé à la sécurité à l’époque. En raison des risques et des dangers persistants qui sont toujours présents dans la nature numérique d’aujourd’hui, nous nous retrouvons à devoir ajouter des mécanismes de sécurité à une technologie qui n’a pas été conçue pour être sécurisée à l’origine.

Le DNS faisant partie intégrante du réseau de base et du trafic Internet, il est essentiel de le sécuriser. Cela implique l’utilisation du DNSSEC (Domain Name System Security Extensions) et du DNS (Domain Name System). Ces deux éléments peuvent parfois être confondus comme étant une seule et même chose, mais ce n’est pas le cas.

Sécurité du DNS

La sécurité DNS implique le concept général de sécurisation de votre infrastructure DNS. Le DNSSEC est en fait un aspect de ce processus.

La sécurité DNS implique non seulement la mise en œuvre du DNSSEC en tant que meilleure pratique, mais aussi des choses telles que le maintien de vos serveurs DNS corrigés et à jour, leur sécurisation par un pare-feu périmétrique et local et l’utilisation d’autres protocoles de sécurité DNS spécifiques tels que DoH (DNS over http).

Pour référence, DoH est connu comme les requêtes DNS par le biais de sessions HTTPS afin de chiffrer la communication DNS par l’utilisation de clés négociées, tout comme un site web sécurisé.

La nature confiante du DNS

Avant d’expliquer ce que fait le DNSSEC, il est important de comprendre la nature de confiance du DNS natif.

Lorsqu’un ordinateur émet une requête DNS afin de diriger correctement un utilisateur vers le site Web qu’il souhaite, il envoie une demande d’assistance à un serveur DNS. Cette demande est appelée « requête DNS ». Il existe une hiérarchie DNS dans le monde entier. Au sommet se trouvent treize serveurs DNS « racine ».

Ces serveurs représentent la première étape de la résolution d’un nom de domaine. Les serveurs racine renvoient les demandes vers le serveur de domaine de premier niveau (TLD) approprié. Ces serveurs DNS font office d’autorité pour .COM, .NET, .ORG, etc.

Ces serveurs transmettent ensuite les demandes aux serveurs DNS de domaines spécifiques ou éventuellement de sous-domaines si nécessaire. À la fin de ce processus, le client reçoit l’adresse IP demandée pour le nom d’hôte en question. Ce qui est fascinant dans tout cela, c’est la rapidité incroyable avec laquelle tout se déroule.

La validité de l’adresse IP renvoyée repose sur l’hypothèse que seules les autorités DNS appropriées ont été impliquées. Mais ce n’est pas toujours le cas.

La nature non sécurisée du DNS le rend sensible aux attaques de type « man-in-the-middle ». Un pirate informatique pourrait injecter un serveur malveillant dans le processus, qui pourrait ensuite renvoyer les clients vers des sites non légitimes.

Ces sites pourraient être utilisés pour imiter un site Web afin de voler les informations d’identification des utilisateurs ou de télécharger un code malveillant ou un cheval de Troie.

Comment fonctionne le DNSSEC ?

Le DNSSEC est utilisé pour éliminer cette vulnérabilité inhérente du DNS aux attaques de type « man-in-the-middle ». Pour ce faire, il fournit une couche supplémentaire d’authentification à la réponse du DNS qui utilise la cryptographie à clé publique.

L’utilisation de ces clés permet de vérifier les enregistrements DNS associés à un domaine. Lorsque plusieurs serveurs DNS sont impliqués dans un processus de requête, chacun d’eux est validé, ce qui garantit au client que chaque étape est légitime.

Les treize serveurs DNS racine sont déjà protégés par le DNSSEC. Une fois qu’une réponse d’un serveur racine est validée, le serveur fournit les clés publiques du serveur situé en dessous de lui dans la chaîne. Cette clé publique est ensuite authentifiée par la clé privée du serveur. Et ainsi de suite jusqu’en bas de la chaîne.

Gardez à l’esprit que le DNSSEC ne chiffre pas le trafic lui-même, c’est le travail du DoH. Notez également que le DNSSEC nécessitera plus de puissance de traitement pour votre serveur DNS que la normale.

DNSSEC et sécurité DNS : Optez pour TitanHQ

TitanHQ a pour mission de sécuriser votre trafic Internet basé sur le DNS et vos communications par e-mail grâce à ses solutions de sécurité avancées.

WebTitan offre une sécurité DNS et un filtrage du contenu DNS afin d’empêcher vos utilisateurs d’accéder à des sites malveillants et de télécharger du code malveillant sur Internet.

La sécurité du courrier électronique de SpamTitan vous protège en bloquant les attaques de phishing, les ransomwares et bien d’autres menaces basées sur des malwares.

Si le DNS et la messagerie ont été créés à une époque d’innocence, TitanHQ dispose actuellement des outils nécessaires pour les sécuriser à une époque de « confiance zéro ».

Parlez à un expert en sécurité de TitanHQ pour découvrir comment protéger votre couche DNS avec une approche de sécurité multicouche. Contactez-nous dès aujourd’hui.

Colonial Pipeline : une attaque  à cause d’un mot de passe non protégé

Colonial Pipeline : une attaque à cause d’un mot de passe non protégé

En avril 2021, des pirates ont accédé au réseau de Colonial Pipeline et ont déployé un ransomware qui a forcé l’arrêt d’un système de pipelines de carburant desservant la côte est des États-Unis. L’approvisionnement en carburant étant menacé, les Américains de la côte est ont acheté du carburant en panique, ce qui a entraîné des pénuries locales.

Le prix de l’essence a atteint son niveau le plus élevé depuis plus de six ans et les stocks d’essence de la côte est ont diminué de 4,6 millions de barils.

L’attaque a été attribuée à l’opération d’un « ransomware-as-a-service (RaaS) » appelé DarkSide, qui a depuis cessé ses activités. Avant la fermeture, Colonial Pipeline a payé une rançon de plus de 3.7 millions d’euros pour obtenir les clés permettant de déverrouiller les fichiers chiffrés.

La décision de payer la rançon a été prise en raison de la menace qui pesait sur l’approvisionnement en carburant.

Colonial Pipeline fournit 45 % du carburant à la côte est, et bien que la décision de payer les attaquants ait été difficile à prendre, le paiement a été effectué en raison de la menace pour l’approvisionnement en carburant, étant donné le temps qu’il aurait fallu pour récupérer sans les clés de déchiffrement fournies par les attaquants.

Une attaque d’une telle ampleur contre une entreprise d’infrastructure critique aurait dû être difficile. Cependant, une enquête sur la cyberattaque a révélé que l’accès au système informatique de l’entreprise n’aurait pas pu être plus simple.

L’origine de l’attaque de ransomware provient d’un mot de passe non protégé

En fait, les attaquants ont utilisé un mot de passe compromis pour accéder à distance aux systèmes de Colonial Pipeline, et ce compte n’était pas protégé par une authentification multifactorielle.

Le mot de passe correspondait à un compte de réseau privé virtuel, selon Charles Carmakal, vice-président senior de la société de cybersécurité Mandiant, qui a participé à l’enquête. Le compte n’était pas utilisé, mais il était toujours possible d’utiliser les identifiants de connexion pour accéder au réseau de Colonial Pipeline.

On ne sait pas comment les pirates ont obtenu le mot de passe. Il a été trouvé dans une base de données de mots de passe usurpée qui a été divulguée sur le darkweb. Il est possible qu’une personne ait défini un mot de passe pour le compte qui avait été utilisé pour un autre compte qui avait été piraté.

Il est fréquent que les mots de passe provenant de violations de données soient tentés dans des attaques par la force brute, car la réutilisation des mots de passe est courante. Les mots de passe sont également souvent obtenus lors des attaques de phishing.

Mandiant a cherché des preuves de la façon dont le mot de passe a été obtenu par les pirates. Les chercheurs n’ont trouvé aucun signe d’activité des attaquants avant le 29 avril 2021, ni aucune preuve de phishing. On ne saura peut-être jamais comment le mot de passe a été obtenu et le nom a été d’utilisateur déterminé.

Ce qui est clair, c’est que l’attaque aurait pu être facilement évitée si les meilleures pratiques en matière de cybersécurité avaient été suivies, comme :

  • La réalisation d’audits des comptes et la fermeture des comptes qui ne sont plus utilisés
  • La définition de mots de passe uniques et complexes pour chaque compte
  • La mise en œuvre d’une authentification multifactorielle pour empêcher l’utilisation de mots de passe compromis
  • La mise en œuvre d’une solution antispam efficace pour bloquer les e-mails de phishing.
Les cybercriminels ciblent les écoles avec des malwares

Les cybercriminels ciblent les écoles avec des malwares

Comme toute grande organisation, les universités et autres établissements d’enseignement supérieur sont exposés à des risques de violation de données et de menaces de malwares.

Du point de vue des cybercriminels, les écoles et les universités représentent une cible très attrayante. En fait, les données personnelles et financières stockées sur les systèmes de données universitaires sont précieuses pour les escrocs pour leur permettre de mener différentes sortes d’attaques cybercriminelles.

Pour les écoles, les conséquences d’un malware peuvent être énormes

Les conséquences d’un vol de données sont considérables pour les établissements scolaires. Elles peuvent nuire à leur réputation ; impliquer la non-conformité de l’organisation au regard des législations en vigueur et impacter l’économie et le fonctionnement de l’établissement en général.

Suite à une attaque réussie, les établissements scolaires peuvent perdre des opportunités de financement, les frais d’inscription des étudiants et des revenus associés. Outre la perte de données sensibles, des poursuites judiciaires et d’autres sanctions pourraient également survenir. Il peut même y avoir des dommages qui paralysent l’infrastructure et les activités de l’institution.

Les attaques de malwares et de ransomwares contre les établissements scolaires ne sont pas rares

Prenons l’exemple de l’attaque de malware qui visait une école du Minnesota. Elle a été si grave, au point que l’établissement a dû fermer ses portes pendant une journée. Les réparations complètes des dommages avaient pris des semaines, alors qu’ils auraient pu être évités.

Une attaque de crypto-ransomware a récemment chiffré le réseau du district scolaire du New Jersey. La source de l’infection n’est pas claire. Elle pourrait résulter de l’ouverture d’une pièce jointe d’un e-mail malveillant ou d’une application malveillante, ou simplement de la consultation d’un site web contenant des publicités malveillantes.

La nature du campus universitaire et de son réseau informatique constitue la véritable différence entre les établissements d’enseignement supérieur et les entreprises. Composée de nombreux réseaux dispersés, l’infrastructure réseau des universités est souvent complexe.

Il s’agit d’environnements où le concept de sécurité stricte des données est traditionnellement inutile, voire indésirable. Lorsqu’une institution prospère grâce au libre échange de données et d’idées, elle ne peut pas facilement appliquer les mêmes mesures de sécurité que les grandes entreprises.

Pour les cybercriminels, tout est dans le timing

Pour les cybercriminels qui ciblent un établissement scolaire, le timing est primordial. Lorsqu’une nouvelle année scolaire commence, les escrocs segmentent leurs bases de données d’emails pour lancer des attaques ciblées pour accueillir les étudiants et les employés des écoles qui sont de retour via Internet.

Chaque année, les escrocs lancent de nouvelles campagnes de spam et de phishing au moment où les étudiants et élèves retournent en classe. Les faux e-mails de bienvenue, les e-mails de réinitialisation de mot de passe et les notifications bancaires ne sont que quelques-uns des thèmes utilisés par les spammeurs à cette période de l’année.

Trouver un équilibre entre les besoins informatiques et les besoins des enseignants

L’Internet a offert aux professionnels du secteur de l’éducation de grandes possibilités, mais aussi de grands maux de tête. Les enseignants s’efforcent de trouver la meilleure façon d’aider les enfants à utiliser Internet à l’école tout en les protégeant des dangers en ligne.

Le blocage de contenus inappropriés ne doit pas nécessairement nuire à l’apprentissage. Alors que les élèves passent de plus en plus de temps connectés au web, assurez-vous que leurs activités en ligne soient sécurisées, et ce, grâce à l’utilisation d’un filtre de contenu web adapté comme WebTitan.

Grâce à l’analyse du contenu des pages, cette solution de protection de TitanHQ peut suivre l’évolution constante de l’utilisation du web et s’y adapter.

Pourquoi les établissements d’enseignement ont-ils besoin de filtrer les contenus en ligne ?

Il y a plusieurs raisons différentes pour lesquelles les établissements d’enseignement devraient bloquer certains contenus qui sont diffusés sur la toile, notamment :

  • La sécurité des étudiants (protection contre les sites dangereux, inappropriés ou illégaux) ;
  • La sécurisation du réseau ;
  • L’identification des éventuelles cyberintimidations ;
  • La conformité à la CIPA (loi relative à la régulation du contenu préjudiciable aux mineurs lorsqu’ils naviguent sur Internet) ;
  • L’application des politiques d’utilisation acceptable d’Internet ;
  • Le contrôle de la bande passante ;
  • La capacité de surveillance des activités en ligne des utilisateurs du web.

Il est de votre devoir, en tant que propriétaire ou responsable d’un établissement scolaire, de fournir un environnement d’apprentissage sûr. En outre, vous êtes légalement tenue de mettre en place des mesures raisonnables et efficaces pour contrôler l’accès à Internet.

Il devrait toujours exister un juste équilibre entre ce qui doit être autorisé et les mesures de sécurité qui peuvent être mises en place. En fait, la sécurité dans toutes les organisations, commerciales ou universitaires, devrait être un compromis entre la probabilité et l’impact potentiel d’une attaque et le coût financier ou la perte d’utilité qui sont encourus pour se défendre.

Si vous voulez découvrir la façon dont la suite de solutions de sécurité réseau granulaire de TitanHQ répond aux exigences flexibles du secteur de l’éducation, contactez-nous dès aujourd’hui.