Selon les chercheurs en cybersécurité, 66% des malwares sont installés via des pièces jointes malveillantes et 64% des entreprises subissent des attaques liées au phishing.
La plupart des attaques commencent par des e-mails dans lesquels des messages envoyés à un utilisateur ciblé lui demandent de cliquer sur un lien, de télécharger une pièce jointe ou d’effectuer une action telle qu’un virement bancaire.
Plus inquiétant encore, beaucoup d’attaquants se livrent actuellement au spear phishing. Pour ce type d’attaque, les pirates ciblent des personnes ayant accès à des fonctions spécifiques telles que la finance ou l’administration informatique. Une stratégie efficace pour arrêter ces attaques est d’utiliser un filtre de contenu web basé sur le DNS.
Qu’est-ce que le filtrage DNS ?
Pour chaque demande sur Internet, un ensemble spécifique de procédures s’exécute avant qu’un utilisateur puisse visualiser le contenu dans un navigateur. Une des premières étapes consiste à interroger le serveur DNS, lequel est configuré soit comme une valeur statique assignée à la carte réseau du périphérique, soit comme une valeur configurée dynamiquement lorsque le périphérique de l’utilisateur démarre.
Les réseaux informatiques des entreprises ont généralement leurs propres serveurs DNS pour les requêtes internes, puis ils dédient des serveurs DNS externes pour les requêtes web. Au lieu d’obliger les utilisateurs à se souvenir des adresses IP complexes (surtout depuis le déploiement des adresses IPv6), le DNS leur permet de saisir des noms conviviaux dans un navigateur et les requêtes contre les serveurs de noms renvoient l’adresse IP associée.
Plusieurs autres requêtes se produisent entre le handshake client-serveur, mais ce sont les requêtes DNS qui lient le nom de domaine convivial avec l’adresse IP du serveur. L’ancien filtrage de contenu web impliquait l’interception des requêtes et le blocage du contenu du domaine sur la base de politiques définies par les administrateurs informatiques, mais ces méthodes étaient imprécises et les utilisateurs pouvaient éviter ces filtres en utilisant plusieurs méthodes.
Le filtrage DNS implémente le filtrage web pendant le processus de requête. Les administrateurs mettent en place des politiques qui bloquent des adresses IP spécifiques classées comme inappropriées pour un environnement d’entreprise. Toutes les adresses IP bloquées ne sont pas nécessairement malveillantes. Les administrateurs peuvent bloquer les adresses IP auxquelles les utilisateurs ne devraient pas pouvoir accéder pendant les heures d’ouverture et les adresses IP jugées malveillantes peuvent également être bloquées. Avec un blocage de contenu efficace, toutes les requêtes d’accès à des adresses IP malveillantes doivent être enregistrées et l’administrateur doit en être informé.
Si plusieurs utilisateurs tentent d’accéder à la même adresse IP malveillante, des alertes avertissent l’administrateur qu’une campagne de phishing pourrait cibler son organisation.
Filtrage DNS du niveau de la page (Page Level DNS Filtering)
Parce que le filtrage DNS est basé sur la recherche de domaine, toutes les pages d’un domaine risquent donc d’être bloquées. Par exemple, le domaine Medium.com héberge plusieurs types de contenu, de sorte que le blocage du domaine Medium.com filtrerait tout le contenu du domaine.
La solution innovante de filtrage DNS basé dans le cloud peut palier à ce problème, en bloquant uniquement les URL et les pages. Grâce aux filtres les plus récents, les administrateurs peuvent bloquer des pages et leur contenu plutôt que l’adresse IP complète. Les administrateurs disposent ainsi d’une approche plus granulaire du filtrage de contenu web, plutôt que d’établir une liste blanche pour chaque URL que les employés pourraient avoir besoin dans leurs tâches quotidiennes.
Reprenons l’exemple de Medium.com, grâce au filtrage DNS basé dans le cloud, les administrateurs peuvent bloquer certains contenus en fonction des catégories de stratégies, puis autoriser le contenu approprié que les salariés peuvent avoir besoin pour mener à bien leurs attributions.
Cette approche hybride du filtrage donne aux administrateurs un niveau de contrôle plus granulaire sur le contenu. La plupart des attaques sont basées sur les pages plutôt que sur le domaine. Les attaquants peuvent donc utiliser des hôtes connus et cacher des pages dans des contenus inoffensifs et utiles. Ces pages devraient aussi être bloquées de telle sorte que le reste du domaine puissent rester accessible aux employés.
Même avec une approche hybride, les administrateurs informatiques ont toujours la possibilité de bloquer des domaines entiers. Le blocage d’un domaine entier peut s’avérer nécessaire si le même domaine a plusieurs URLs qui pourraient nuire à la sécurité et à la stabilité du réseau.
Les domaines qui hébergent du contenu généré par l’utilisateur pourraient intégrer un contenu malveillant ou de liens de redirection vers un site contrôlé par un attaquant. Grâce à l’approche hybride, les administrateurs peuvent choisir de bloquer l’ensemble du domaine au niveau DNS ou de bloquer uniquement les URL spécifiques contenus dans le nom de domaine.
Quel type de filtrage web peut bloquer les techniques de phishing ?
Les pirates informatiques disposent de nombreuses méthodes pour inciter les utilisateurs à accéder à un site qu’ils contrôlent ou à télécharger une pièce jointe malveillante. Les e-mails contenant des liens simples sont également utilisés pour inciter les utilisateurs à accéder à une page web malveillante. Toute requête web est analysée à l’aide d’une solution de filtrage DNS basé dans le cloud et le contenu jugé inapproprié ou malveillant peut donc être bloqué.
Plus important encore, un bon filtre web peut générer des notifications et des journaux qui permettent à un administrateur d’identifier une attaque possible si la même adresse IP est demandée par plusieurs utilisateurs. Le fait de savoir qu’une campagne de spear-phishing ou une attaque en cours cible une organisation peut aider énormément à éviter les atteintes coûteuses aux données. Lorsqu’ils sont bien informés, les aux administrateurs réseau peuvent bloquer les e-mails malveillants et les pièces jointes qui pourraient télécharger des malwares ou infecter le réseau.
Le filtrage DNS de WebTitan inclut la catégorisation de contenus et la détection d’URL malveillantes. Il propose également des mises à jour en temps réel et automatisées lorsque de nouveaux contenus et sites malveillants sont détectés. WebTitan peut détecter plus de 60 000 nouvelles itérations de programmes malveillants chaque jour.
WebTitan est hautement évolutif. Il est hautement évolutif. Il prend en charge de petits déploiements via des fournisseurs d’accès Internet et des déploiements avec des millions d’utilisateurs, avec des performances de requête en URL exceptionnelles. WebTitan offre également une précision, une couverture et une détection de sites web malveillants à la pointe du marché, et ce, grâce à une API facile à intégrer. Nos catégories web sont rassemblées grâce à des analyses avancées et à la détection en temps réel de 500 millions d’utilisateurs finaux et de plus de 5 milliards de requêtes web par mois, couvrant 99,9 % du web actif.
Pour plus d’informations sur le filtrage DNS de WebTitan, visitez notre page produit. Ou mieux encore, testez WebTitan par vous-même en vous inscrivant pour un essai gratuit. Contactez-nous pour de plus amples renseignements ou pour prenez rendez-vous avec l’un de nos spécialistes pour évaluer par vous-mêmes l’efficacité de notre produit.
Les systèmes scolaires sont censés être des environnements sûrs où les enfants peuvent venir apprendre. Malheureusement, les cybercriminels ont autre chose à dire à ce sujet. Actuellement, un district scolaire américain est victime d’une cyberattaque presque tous les trois jours. Dans un rapport publié par Malwarebytes, « 2019 State of Malware », l’éducation, la fabrication et la vente au détail étaient les principales industries touchées par les chevaux de Troie.
L’éducation était en fait l’une des principaux secteurs les plus touchées par Emotet, le cheval de Troie le plus répandu et le plus insaisissable. Selon le fournisseur de pare-feu, Fortinet, l’éducation est aussi le secteur le plus ciblé par les demandeurs de rançon. 13 % des établissements d’enseignement ont subi des attaques de ransomwares à un moment donné.
Comment se fait-il que les systèmes scolaires soient exploités si facilement et si fréquemment ? Le fait est que les établissements scolaires de la maternelle à la terminale sont actuellement confrontés à des défis de taille. Voici quelques-uns des principaux défis auxquels les systèmes scolaires sont confrontés.
Les établissements scolaires ne sont pas assez réactifs face à l’explosion des cybermenaces
La mission des établissements scolaires est d’éduquer les enfants. L’objectif du département informatique des établissements scolaires est de soutenir la technologie sur laquelle les enseignants comptent. Traditionnellement, cela signifie qu’il faut déployer et soutenir des dispositifs informatiques pour le personnel et les élèves et s’assurer que les projecteurs de classe fonctionnent correctement.
Ce n’est pas une seconde nature pour le personnel des établissements scolaires de commencer sa journée à rechercher les menaces à la sécurité. Ce n’est pas une mauvaise chose. Cela s’explique en grande partie par le fait que l’accent est mis sur l’éducation des enfants. Une enquête publiée par la National School Boards Association a révélé que les responsables scolaires sont moins préparés aux cyberattaques que leurs pairs des entreprises du secteur privé.
Dans une enquête récente sur les CTO K12, plus de 70 pour cent ne considèrent pas les cyberattaques telles que les atteintes à la protection des données, les logiciels de rançon ou les attaques par déni de service comme des menaces graves. Les bonnes nouvelles de la même étude ont toutefois montré que plus de la moitié d’entre eux considèrent maintenant les escroqueries de phishing comme un problème important et que l’accent est mis sur la sécurité du courrier électronique.
Contraintes budgétaires en matière de technologie de l’information
Selon le Consortium for School Networking (CoSN), la principale barrière pour 6 des 7 dernières années est la contrainte budgétaire. Bien que toutes les entreprises et organisations aient des budgets qu’elles doivent respecter, les budgets sont beaucoup plus restreints que ceux du secteur privé. C’est parce que les budgets sont fondés sur des estimations des recettes fiscales. Il n’y a pas de caisse noire importante sur laquelle se tourner pour acheter un système de sécurité imprévu au besoin. De plus, les recettes fiscales fluctuent en fonction des cycles économiques de la région. En période de prospérité économique, les districts peuvent profiter d’importantes rentrées fiscales et maximiser leurs achats d’appareils et de technologies éducatives. Puis, lorsqu’un ralentissement économique se produit, l’argent nécessaire pour sécuriser et entretenir correctement ces appareils n’est pas disponible. La technologie qui n’appuie pas l’enseignement est souvent mise en veilleuse jusqu’à ce que les temps s’améliorent.
Insuffisance du personnel informatique et de sécurité de l’information
Soyons réalistes, la plupart des districts scolaires n’ont pas le personnel nécessaire pour protéger suffisamment leurs grands réseaux. Cela s’explique en grande partie par des contraintes budgétaires. Il est déjà assez difficile pour les grands districts métropolitains d’obtenir le personnel dont ils ont besoin, alors que certains districts ruraux doivent compter sur le personnel à temps plein qui connaît le mieux la technologie. Quand il s’agit de cybersécurité, c’est encore pire. Selon une enquête CoSN de l’année dernière, seulement 25 % des établissements scolaires ont un membre du personnel à plein temps dédié à la sécurité des réseaux. Dans les écoles rurales, ce chiffre tombe à seulement 8 %.
Shadow IT
Le Shadow IT est un problème pour tous les types d’organisations en raison de la consumérisation de l’informatique. Il n’est pas rare que les administrateurs scolaires ou les enseignants fassent des achats de technologie sans le consentement ou même sans que le département de technologie du système en soit informé. Dans ces cas, les équipements et les logiciels sont achetés avec peu ou pas d’égard pour la cybersécurité. Certains enseignants apportent leur propre équipement technologique personnel, comme des imprimantes, des appareils informatiques et des points d’accès WiFi. Parce que ces appareils ne sont pas prêts pour l’entreprise, ils n’ont souvent pas les normes de sécurité requises pour les réseaux qui sont activement ciblés par les cybercriminels. Naturellement, il est impossible pour le personnel technologique interne de protéger ce qu’il ne connaît pas.
Infrastructure patrimoniale
Là encore, en raison de contraintes budgétaires, de nombreux systèmes scolaires ne disposent pas des technologies les plus récentes. Il n’est pas rare de trouver des appareils de classe utilisant des systèmes d’exploitation obsolètes tels que Windows XP ou des logiciels qui ne sont plus supportés du tout. Ces dispositifs ne sont pas corrigés lorsque des vulnérabilités sont découvertes. Les serveurs et les périphériques réseau obsolètes tels que les routeurs et les pare-feu sont souvent en proie à des protocoles de sécurité obsolètes qui offrent une protection minimale sinon nulle.
Manque de sensibilisation et de formation en matière de sécurité
Pour beaucoup d’enseignants, il n’y a pas assez de temps dans la journée. Les enseignants et le personnel doivent déjà jongler avec leur temps pour le personnel professionnel et la formation pédagogique. Le personnel informatique est surchargé dans tout le district et soutient tout le monde et leurs appareils. Et puis, bien sûr, il y a les étudiants. Étant donné qu’un si grand nombre de districts mettent maintenant en œuvre des programmes d’appareils individuels, les jeunes élèves des écoles intermédiaires et élémentaires utilisent des ordinateurs. Bien sûr, personne ne peut s’attendre à ce qu’ils pratiquent une bonne cyberhygiène à un si jeune âge. Tout cela rend la formation des utilisateurs pour qu’ils soient conscients de la sécurité extrêmement difficile.
Partout aux États-Unis, les districts K12 se démènent pour se protéger contre les cyberattaques, qui prennent la forme de courriels hameçons, de logiciels malveillants et d’atteintes à la protection des données. En fin de compte, ce sont tous des défis, et les défis ne sont pas des limites permanentes. Être prêt à faire face à ces menaces comprend l’élaboration et la promotion de politiques sur l’utilisation responsable, le stockage sécurisé des données, la mise en œuvre d’une sécurité et de sauvegardes complètes par couches du courrier électronique et du Web. Les défis peuvent être surmontés et les districts commencent à trouver des moyens d’accomplir le travail, malgré les épreuves et les circonstances uniques que d’autres types d’organisations n’ont pas à endurer.
Vous êtes un professionnel de l’informatique dans une école et vous voulez vous assurer que les données et les appareils sensibles de l’école, des élèves et du personnel sont protégés ? Parlez à un spécialiste ou envoyez-nous un courriel à info@titanhq.fr pour toute question.
En raison du coût élevé par utilisateur de la solution de protection web OpenDNS, de nombreuses PME et fournisseurs de services gérés (MSP) recherchent actuellement une alternative pour offrir la même protection, voire une meilleure protection à un prix bien inférieur.
Chez TitanHQ, nous avons la solution ! Nous offrons une solution avancée de filtrage web dans le cloud, lequel offre une excellente protection contre les menaces en ligne grâce à des contrôles de filtrage très granulaires et filtre différents types de contenus web auxquels les utilisateurs finaux peuvent accéder.
Dans ce dossier, nous allons vous expliquer pourquoi tant de PME et de MSP se sont inscrits à notre solution WebTitan Cloud et, en termes généraux, pourquoi elle est considérée comme une alternative à OpenDNS.
Pour commencer, nous allons vous expliquer pourquoi vous devriez chercher une alternative à OpenDNS.
Le coût d’OpenDNS par utilisateur
OpenDNS est un choix populaire auprès des PME et des MSP, car il s’agit d’une solution de filtrage web complet et fiable. Mais cela a un prix ! Au moment d’écrire ces lignes, le coût d’OpenDNS pour assurer le filtrage par utilisateur est de 2,45 euros par mois, sur la base de 100 utilisateurs.
Certains diront qu’il s’agisse d’un petit prix à payer, si on se base sur le niveau de protection offert par le filtre web et sur l’éventuelle augmentation de la productivité que peut procurer le contrôle minutieux du contenu. Mais ce coût devient plus important au fur et à mesure que le nombre d’utilisateurs augmente. Pour 100 utilisateurs, cela représente plus de 245 euros par mois et environ 2945 euros par an.
Quant à la solution WebTitan, elle ne coûte que 0,82 euro par utilisateur par mois, soit moins de 82 euros par mois et environ 982 euros par an pour 100 utilisateurs. Cela représente une économie de plus de 1960 euros par an, d’autant plus que ce coût peut être réduit si l’entreprise souscrit un abonnement de trois ans.
WebTitan Cloud vous permet donc de réaliser une énorme économie d’argent, et c’est ce qui rend cette solution très attrayante. Bien entendu, le prix n’est pas le seul facteur qui détermine le choix d’une solution à l’autre, car celles qui sont les moins chères ne sont pas toujours les meilleures. Mais dans ce cas précis, vous n’avez pas besoin de vous ruiner, alors que bénéficier d’une meilleure sécurité informatique et d’un meilleur contrôle des contenus web, tout en bénéficiant d’un outil facile à utiliser.
Opter pour une meilleure alternative à OpenDNS pour PME vous permet d’économiser beaucoup d’argent
OpenDNS et WebTitan sont les meilleures solutions de filtrage web basées sur le DNS. Elles offrent également une protection avancée contre les malwares, le phishing et bien d’autres menaces web, et permettent un contrôle précis pour restreindre l’accès à certains types de contenus en ligne.
Ces deux solutions ont été conçues avec les mêmes principes de base et peuvent être utilisées pour bloquer les téléchargements de fichiers couramment associés aux malwares et aux ransomwares, tels que .exe, .js, .scr et tout autre fichier exécutable.
Pour se protéger contre le phishing, les deux solutions prennent en charge l’utilisation de listes noires qui contiennent les sites web et les adresses IP ayant déjà été identifiés comme malveillants ou qui ont un faible indice de confiance. Les utilisateurs sont souvent redirigés vers ces pages web de phishing lorsqu’ils cliquent sur les hyperliens intégrés dans des e-mails malveillants. OpenDNS et WebTitan constituent donc une couche supplémentaire importante pour vous protéger contre le phishing.
Par ailleurs, les deux solutions permettent de définir facilement des politiques d’utilisation acceptables pour les utilisateurs, les groupes d’utilisateurs, les départements, etc. grâce à un système de filtrage par catégorie.
Bref, ces deux filtres web offrent un haut niveau de protection, mais de nombreux MSP et PME préfèrent WebTitan pour son faible coût. Bien entendu, cette solution présente de nombreux autres avantages, comparée à OpenDNS.
Avantages de la solution WebTitan Cloud
Voici quelques-uns des principaux avantages de WebTitan Cloud si on la compare à OpenDNS :
Hébergement local
Certaines entreprises, telles que les fournisseurs de services mobiles, hésiteront à proposer à leurs utilisateurs de migrer vers un service cloud externe. Pour répondre aux besoins de ces entreprises, TitanHQ offre différentes options d’hébergement. En général, WebTitan est hébergé dans le propre environnement de TitanHQ, mais il est également possible de l’héberger localement pour donner aux utilisateurs plus de contrôle et de confidentialité.
Tarification flexible
Le modèle de tarification WebTitan est parfaitement transparent et toutes les fonctionnalités sont incluses dans le prix, y compris le support client.
TitanHQ peut également offrir des licences flexibles et négocier des accords commerciaux qui conviennent aux deux parties. Par contre, OpenDNS ne propose qu’un système de tarification à plusieurs niveaux. Certaines des fonctionnalités avancées sont uniquement disponibles en guise d’add-on. Ceci augmente encore le coût de déploiement et d’utilisation de cette solution.
Support de classe mondiale
Tous les utilisateurs de WebTitan Cloud bénéficient d’un support de classe mondiale, y compris le support avant vente et le support technique, sans oublier la formation commerciale et technique. L’assistance est fournie à tous les utilisateurs sans frais supplémentaires. Les utilisateurs peuvent également bénéficier d’un essai gratuit en cas de besoin.
Clés de sécurité dans le cloud
Il y aura toujours des moments où les systèmes de contrôle et de filtrage web à l’échelle de l’organisation pourraient être contournés par les pirates informatiques.
Plutôt que de changer une politique d’utilisation pour chaque utilisateur et de devoir ensuite revenir à la politique originale, TitanHQ a développé des codes de contournement, notamment des clés de sécurité dans le cloud. Ces clés peuvent être utilisées pour contourner temporairement les stratégies de filtrage. Ils peuvent être réglés pour expirer après une certaine période ou après un certain nombre d’utilisations.
Une alternative idéale à OpenDNS pour les MSP
Les MSP sont les plus grandes organisations qui utilisent OpenDNS et qui ont décidé de migrer vers WebTitan. Comme susmentionné, l’une des raisons est la possibilité pour WebTitan d’être hébergé localement. C’est avantage majeur pour les MSP qui préfèrent héberger leurs solutions dans leurs propres clouds privés.
Comme avantage supplémentaire, WebTitan Cloud peut être fourni en marque blanche complète et peut être entièrement personnalisé. La solution permet de créer des pages de blocage personnalisées qui s’affichent lorsqu’un utilisateur tente de visiter une page web qui usurpe les politiques de l’entreprise. L’interface utilisateur peut également être conçue pour inclure l’image de marque de votre entreprise. OpenDNS, quant à elle, n’offre pas de solution en marque blanche aux MSP et cette solution ne peut pas être personnalisée.
TitanHQ s’assure également que WebTitan Cloud s’intègre parfaitement dans les piles de services des MSP grâce à l’utilisation d’API et d’intégrations RMM. Le tableau de bord multilocataires permet aux MSP de séparer les clients et d’appliquer des contrôles sur une base individuelle et également de gérer les paramètres des clients en masse.
Comme la solution proposée par TitanHQ est moins onéreuse, cela permet aux MSP de l’ajouter à leurs offres de sécurité existantes pour mieux protéger leurs clients, tout en économisant. Par ailleurs, TitanHQ offre une facturation mensuelle et des marges élevées pour les MSP.
Comment comparer WebTitan et OpenDNS ?
L’une des meilleures façons de comparer ces deux solutions est d’utiliser des sites d’évaluation indépendants comme G2 Crowd.
Ce site compte plus de 650 000 commentaires d’utilisateurs vérifiés. Dans la plupart des cas, ces utilisateurs évaluent WebTitan Cloud comme la solution la plus intéressante, comparée aux autres alternatives de filtrage web. Dans 6 domaines d’évaluation, WebTitan Cloud obtient par exemple les meilleures notes par rapport à OpenDNS.
Besoin de passer d’OpenDNS à WebTitan ? Contactez notre équipe !
Si vous êtes à la recherche d’une alternative à OpenDNS et si vous souhaitez plus d’informations sur WebTitan Cloud, vous pouvez dès maintenant obtenir une démonstration de notre produit pour voir WebTitan Cloud en action.
Ou bien, si vous souhaitez bénéficier d’un essai gratuit notre solution complète, contactez notre équipe commerciale. Nous nous ferons un plaisir de vous aider.
En 2015, les attaquants russes ont pu causer des pannes d’électricité qui ont affecté 230 000 résidents à cause de logiciels de contrôle à distance distribués via des attaques de spear-phishing.
Ce fut un évènement sans précédent, rappelant aux organismes gouvernementaux et aux services publics ce que les pirates informatiques peuvent faire plus que simplement de voler des données. Les attaques avaient affecté les infrastructures et ouvert la voie à de futures attaques contre les systèmes de contrôle et d’acquisition de données (SCADA).
La nouvelle cyberattaque en mars contre le réseau électrique américain
L’attaque qui s’est produite en mars contre l’infrastructure des services publics américains a mis en évidence que les organisations fédérales devraient prendre des précautions pour se protéger contre les menaces cybercriminelles courantes. Ladite attaque a profité des erreurs de configuration du pare-feu pour permettre à un attaquant de redémarrer en continu le système informatique.
Les pannes n’ont été que très brèves (à cinq minutes d’intervalle), mais le problème a persisté pendant 10 heures. L’attaque n’a pas été aussi dévastatrice que celle qui s’est produite en Ukraine, mais elle a rappelé que les paramètres du pare-feu et du firmware (micrologiciel) devaient toujours être revus régulièrement pour pouvoir les corriger en cas de besoin et pour éviter les éventuelles menaces cybercriminelles.
La North American Electric Reliability Corporation (NERC) a publié un document sur les « leçons apprises » de cette attaque. Ce document a rappelé ce qui s’était réellement passé et ce que l’organisation ciblée a fait pour remédier à l’incident. Le document a révélé que le problème était lié aux vulnérabilités des pare-feu. Plusieurs kits d’exploitation ont été ainsi exécutés via des scripts accessibles à toute personne, même celles qui ont des compétences limitées pour pouvoir les exécuter. Pourtant, ces kits d’exploitation pouvaient être utilisés par les pirates pour détecter les erreurs de configuration de l’infrastructure.
Mise à jour des pare-feu à l’aide des derniers firmwares
Au fur et à mesure que les entreprises se développent, il n’est pas rare que le personnel informatique perde le contrôle de l’infrastructure sur l’ensemble du réseau. Chaque pare-feu doit être vérifié et testé pour déceler les vulnérabilités, mais surtout pour rechercher les problèmes connus. Quant aux fabricants, ils publient souvent les problèmes de cybersécurité trouvés dans les infrastructures et les solutions adaptées pour les corriger. Si les services informatiques des entreprises ne tiennent pas compte des dernières menaces, des correctifs et des nouvelles solutions offertes par les fabricants, leur organisation pourrait être exposée à des attaques connues.
Il est essentiel que le personnel des services informatiques prenne toujours le temps d’examiner et de vérifier vos équipements. Les attaquants créent des scripts qui analysent des milliers de machines à la recherche de vulnérabilités. Puis, les scripts peuvent être rendus publics, ce qui permet aux attaquants, même ceux qui ne disposent pas d’une connaissance approfondie en informatique, de les exécuter et affecter les infrastructures informatiques. Et sachez que les attaquants non qualifiés peuvent causer autant de problèmes que ceux qui sont qualifiés lorsque des scripts publics sont disponibles.
Leçons apprises par le NERC qui peuvent aider d’autres organismes
Les dispositifs concernés étaient tous des équipements périmétriques. En effet, il s’agissait de routeurs critiques orientés vers le public et qui ont été utilisés pour empêcher le trafic de se répandre sur le réseau privé. Ces dispositifs font souvent l’objet d’analyses continues lorsque des attaquants du monde entier cherchent des vulnérabilités. Le personnel informatique peut cependant identifier les risques en matière de cybersécurité. L’examen des journaux et la mise en place de notifications devraient, par exemple permettre de détecter toute fuite suspecte de trafic du réseau local.
Après avoir lu les journaux, le personnel informatique en charge de la gestion de l’infrastructure des services publics américains a pu déployer rapidement un correctif qui a arrêté les redémarrages non autorisés du système. Les redémarrages eux-mêmes n’ont pas causé de problèmes perceptibles au niveau des consommateurs, mais ils ont coupé les communications entre les composants des services publics et les ingénieurs. Si les attaquants ont pu remarquer des temps de réponse lents de la part des utilisateurs et des responsables informatiques, ils pourraient lancer des attaques plus critiques contre l’infrastructure, causant des dégâts importants liés à une panne de courant sur un réseau.
Les pare-feux périmétriques sont des mécanismes mondiaux de défense pour la cybersécurité, de sorte que les leçons tirées de l’incident du NERC peuvent être appliquées à toute organisation. La première leçon à tirer est de toujours vérifier et corriger les pare-feu. Le personnel informatique peut passer en revue les fournisseurs de pare-feu spécifiques à l’équipement qu’ils utilisent ou consulter le site Common Weakness Enumeration pour être à l’affût des derniers problèmes connus en matière de cybercriminalité.
Avant de déployer toute solution, y compris les correctifs, le personnel informatique doit aussi tester les impacts des changements dans leur environnement informatique. En effet, les correctifs qui présentent des erreurs de configuration peuvent aussi être des sources de vulnérabilités que les attaquants peuvent exploiter.
Limitation de la surface d’exposition
La plupart du temps, les organisations disposent d’une zone démilitarisée (DMZ) où l’équipement destiné au public est placé à l’extérieur du réseau interne, mais ce concept a des limites. Seuls les systèmes nécessaires au public devraient se trouver à l’extérieur des pare-feux périmétriques.
Tout employé ou fournisseur qui a besoin d’accéder au réseau interne de l’extérieur devrait utiliser un VPN. Ceci protégera l’infrastructure informatique contre l’écoute clandestine où les attaquants pourraient éventuellement obtenir des identifiants d’utilisateur au cas où il accèderait au réseau local.
Enfin, les configurations de pare-feu doivent utiliser des listes de contrôle d’accès ou « Access Control List » pour ne permettre qu’aux utilisateurs autorisés d’accéder à votre infrastructure informatique. Utilisez une liste blanche d’adresses IP (si possible) pour limiter le trafic entrant et empêcher l’accès à partir de lieux inconnus. Les règles de pare-feu devraient pouvoir bloquer tout le monde, sauf les adresses IP sur la liste blanche, ce qui arrête de nombreuses attaques, y compris celle qui s’est produite récemment contre sur le réseau américain.
La sécurité à plusieurs niveaux est essentielle
Pour réussir, une cyberattaque doit contourner tous les systèmes de sécurité que vous aurez mis en place. Cela exige souvent des connaissances et de la persévérance de la part des pirates informatiques. Aujourd’hui plus que jamais, les professionnels de l’informatique ont donc besoin de redoubler de vigilance et superposer plusieurs couches de sécurité. Seule une approche de sécurité à plusieurs niveaux peut vous fournir la protection dont vous avez besoin contre les cybermenaces qui sont de plus en plus sophistiquées.
Vous savez peut-être déjà que les demandes de rançon et leur impact dévastateur sur les organisations sont toujours en hausse. Mais ce que vous ne savez peut-être pas, c’est que les attaquants se sont récemment concentrés sur les établissements scolaires de la maternelle à la terminale.
Au cours des dernières années, certains établissements scolaires et hospitaliers ont été forcés de payer la rançon lorsque les ransomwares ont infesté leurs réseaux. Alors que les hôpitaux étaient la cible d’attaques il y a des années, les agresseurs se sont tournés vers le système scolaire.
Incidents récents liés à la cybersécurité dans les établissements scolaires
L’établissement scolaire Flagstaff Unified School District a été récemment victime d’attaques de rançon. Peu de temps après, les cybercriminels se sont acharnés sur les établissements scolaires du Connecticut. Les attaques qui ont été menées dans le Connecticut ont été signalées comme étant deux attaques distinctes sur une période de quatre mois. Les écoles touchées par des ransomwares ont été mal équipées pour faire face aux attaques, et les élèves ont dû être renvoyés chez eux. Non seulement ces attaques ont affecté les horaires habituels de classe, mais elles ont aussi menacé de détruire des données critiques concernant les élèves et les enseignants.
Les établissements scolaires sont les organisations sur lesquelles les pirates informatiques se sont récemment concentrés. Au cours des dernières années, les chercheurs en cybersécurité ont constaté une augmentation des attaques de ransomwares. De nombreuses entités gouvernementales sont également mal formées concernant les risques lorsqu’ils sont victimes d’un e-mail de phishing.
Les employés des établissements scolaires disposent généralement des bases de données centralisées qui pourraient aussi être mal sécurisées. Le problème est que les ransomwares peuvent chiffrer n’importe quoi à partir de ces données, y compris les e-mails, les fichiers et d’autres informations contenues dans des répertoires partagés.
Lorsque les données sont chiffrées par des logiciels malveillants, cela entraîne des temps d’arrêt critiques pour n’importe quelle organisation et les entités gouvernementales. À cause de cela, les enseignants ne peuvent pas accéder à des informations sensibles et les notes des élèves ne peuvent pas être enregistrées. Il est également possible que les systèmes de paiement ne fonctionnent plus et l’organisation doit accepter de l’argent en utilisant des paiements par chèque. Par ailleurs, les élèves ne peuvent pas vérifier leurs notes, s’inscrire en classe ou communiquer avec les enseignants. Bref, lorsqu’elles sont victimes d’une grave attaque de ransomwares, les organisations ne peuvent plus fonctionner.
Qu’est ce qui motive les cybercriminels à lancer des attaques contre les établissements scolaires ?
Dans la plupart des attaques, les cybercriminels ont deux motifs, soit de voler des données ou de les chiffrer dans le but de gagner de l’argent contre une rançon.
En réalité, les données volées peuvent être utilisées à plusieurs fins. La première est de les vendre sur le Dark Web. Les numéros de sécurité sociale des étudiants sont précieux, alors un pirate informatique peut les collecter pour ensuite les vendre. Il peut également conserver les données et les utiliser pour d’autres attaques telles que le phishing. Si des informations d’identification sont incluses dans les données volées, les attaquants pourraient lancer des attaques sur d’autres comptes et réaliser un gain monétaire non négligeable.
Le deuxième objectif est de faire de l’argent avec la rançon. Plusieurs organisations ont déjà dû payer des milliers de dollars en utilisant la cryptomonnaie comme moyen de cacher leur identité afin que les forces de l’ordre ne puissent retracer les transactions jusqu’à l’agresseur. L’utilisation de la cryptomonnaie avec les ransomwares rend le suivi presque impossible. Mais la question est de savoir pourquoi les organisations choisissent parfois de payer la rançon plutôt que de trouver d’autres moyens de récupérer leurs données.
Les entreprises qui disposent des budgets suffisants ont la possibilité de former leurs employés quant aux dangers que représentent les attaques de phishing et de malwares. Les établissements scolaires ne disposent pas assez de financement, de sorte que les cybercriminels peuvent supposer qu’aucun budget n’a été alloué à la formation en cybersécurité.
Comment se protéger contre les ransomwares ?
Les attaques de ransomwares commencent principalement par le phishing. Les cybercriminels usurpent les adresses d’expéditeurs d’e-mails, en ciblant des destinataires ayant des privilèges élevés. Même les utilisateurs peu privilégiés peuvent être choisis comme des cibles potentielles lorsque l’objectif principal est de chiffrer des fichiers pour gagner de l’argent. Des pièces jointes et des liens pointant vers des sites malveillants peuvent être utilisés pour inciter les utilisateurs à télécharger le malware.
Les attaques peuvent être multiformes, car le contenu malveillant peut télécharger des malwares supplémentaires et donner aux attaquants le contrôle à distance de vos infrastructures. Pour lutter contre les attaques de phishing, il existe deux solutions.
La première solution consiste à utiliser de filtres intelligents basés sur l’intelligence artificielle. Ces filtres utilisent une combinaison de paramètres de sécurité de messagerie standard (appelés DMARC) et d’intelligence artificielle pour identifier les e-mails malveillants. Les messages sont mis en quarantaine où les administrateurs peuvent les examiner dans le but de rechercher les malwares et les supprimer du réseau ou (dans le cas d’un faux positif) les envoyer au destinataire prévu.
Comme alternative, vous pouvez aussi mettre en place un système de filtrage de contenu basé sur le DNS. Ce système de cybersécurité bloque l’accès aux adresses IP reconnues pour distribuer des malwares ou pour mener des attaques de phishing. Si un employé reçoit un e-mail contenant un lien malveillant, le système de filtrage de contenu basé sur le DNS empêche le destinataire d’accéder au site web malveillant.
En utilisant à la fois le filtrage de contenu basé sur le DNS et les systèmes de sécurisation des e-mails, une organisation peut réduire considérablement les cybercriminalités. Les organisations doivent réagir avant les attaques cybercriminelles. Au lieu de cela, elles devraient être proactives et mettre en œuvre des solutions qui luttent contre les ransomwares et les malwares.
Si vous êtes un professionnel de l’informatique travaillant dans le secteur de l’éducation, contactez-nous et un ingénieur chevronné examinera vos besoins et vous fournira des conseils pratiques pour sécuriser votre organisation. Tous nos clients bénéficient d’un support technique gratuit pendant la période d’essai de notre logiciel de sécurisation de données.
Les honeypots sont un élément de base de la boîte à outils de la sécurité réseau pour les administrateurs système. Ils peuvent offrir des avantages uniques aux entreprises. Pour ceux qui ne sont peut-être pas familiers avec ce terme, un honeypot est un système informatique qui est tout particulièrement fait pour être attaqué, scanné ou exploité.
Mais pourquoi se donner la peine d’affaiblir volontairement son système informatique ? N’avons-nous pas assez de problèmes pour assurer la sécurité de nos systèmes ?
Aussi valables que ces questions puissent être, elles passent complètement à côté du sujet. En réalité, les honeypots peuvent nous permettre d’observer le comportement d’un attaquant, lui faire perdre son temps, le frustrer et, généralement, le tenir éloigné des systèmes et réseaux auxquels nous tenons vraiment. Chaque fois qu’un attaquant passe du temps à interagir avec un honeypot, il ne passe pas du temps à attaquer un système réel.
Il existe de nombreux types de honeypots. Certains sont bons pour simuler une topologie réseau entière avec de nombreux hôtes, chacun exécutant différents systèmes d’exploitation et services. Les honeypots ont été largement utilisés par les chercheurs pour étudier les méthodes des attaquants, ils peuvent aussi être très utiles pour les systèmes de défense informatiques.
HONEYD
Honeyd est un outil particulièrement utile que vous pouvez obtenir à l’adresse http://www.honeyd.org. L’extrait suivant est tiré de ce site Web :
Honeyd est un petit démon qui crée des hôtes virtuels sur un réseau. Les hôtes peuvent être configurés pour exécuter des services arbitraires, ils peuvent également être adaptés pour donner l’impression d’utiliser des systèmes d’exploitation différents. Honeyd permet à un seul hôte de revendiquer plusieurs adresses (personnellement, j’ai testé jusqu’à 65536) sur un réseau local pour la simulation de réseau. Honeyd améliore donc la posture de sécurité en fournissant des mécanismes de détection et d’évaluation des menaces et dissuade les pirates informatiques en cachant les systèmes réels au milieu des systèmes virtuels.
Voici quelques caractéristiques intéressantes qui ont attiré mon attention :
Honeyd a la capacité de simuler de nombreux hôtes virtuels en même temps.
Il utilise l’empreinte digitale passive pour identifier les hôtes distants (attaquants).
Il simule plusieurs piles TCP/IP (OS X, Windows, Linux etc.) en utilisant les fichiers de signatures NMAP et NPROBE. Cette fonctionnalité spécifique m’a vraiment époustouflé !
Il peut simuler des topologies de réseau arbitraires et même vous permettre d’ajuster la latence et la perte de paquets.
Vous pouvez également exécuter de vraies applications UNIX sous des adresses IP virtuelles Honeyd (serveurs HTTP, serveurs FTP… bref, tout ce que vous voulez !).
Ce que notre administrateur système avait à dire
Nous avons parlé à Arona Ndiaye, notre administrateur système expert en Linux et basée aux Pays-Bas. Nous lui avons demandé de jeter un coup d’oeil à Honeyd et de nous faire part de ses commentaires. Voici ce qu’elle a dit :
« J’utilise principalement les systèmes *nix et Linux, donc je ne peux pas parler d’OS X ou Windows. Mais l’installation de cet honeypot sur Kali Linux m’a simplement demandé d’ajouter une ligne à mon fichier sources.list et d’exécuter apt-get update && apt-get install Honeyd. Pour le configurer, il fallait éditer un fichier de configuration textuel et s’assurer que mon pare-feu avait les bonnes permissions. Le site Web de l’outil contient la plupart des informations dont vous aurez besoin pour commencer…
… le reste peut être facilement récupéré en utilisant l’outil et en l’attaquant vous-même, ce qui est exactement ce que j’ai fait au début. J’ai été étonné de ce que me disait le NMAP et j’ai immédiatement voulu savoir comment j’avais réussi à le tromper. Il s’avère que l’installation de Honeyd inclut un fichier appelé nmap.prints. Le contenu de ce fichier est ce qui permet à Honeyd d’émuler un système d’exploitation spécifique. J’ai quelques honeypots en cours d’exécution sur les instances d’Amazon EC2 et le type d’informations que vous pouvez recueillir sur les scans et les attaques est tout simplement impressionnant ».
KIPPO
Kippo est aussi un honeypot, mais il se concentre sur la falsification d’un serveur SSH et laisse les attaquants le “forcer brutalement” en lui attribuant un mot de passe très facile à deviner, tel que 123456. Ce qui est intéressant avec Kippo, c’est ce qui se passe après que l’attaquant a réussi à se connecter à votre système. En effet, vous pouvez simuler un système de fichiers entier et même cloner la structure de fichiers d’un système installé. Notre administrateur système a également expérimenté cette possibilité et voici ce qu’elle a dit :
“Je l’ai fait avec Kali Linux et je m’y suis connecté à partir d’une autre machine. En utilisant divers utilitaires système, j’ai pu voir quelque chose qui ressemblait à une installation Kali normale. Je pouvais naviguer dans les dossiers, demander le contenu des fichiers, télécharger des fichiers, etc. Tout cela était bien sûr enregistré par Kippo.”
Voyez jusqu’où vous pouvez aller pour faire perdre du temps à un pirate informatique
“Ce que j’ai trouvé fascinant avec cet outil, c’est jusqu’où vous pouvez aller pour gaspiller le temps ou les ressources d’un éventuel attaquant. Kippo vous permet de spécifier le contenu des fichiers pour des fichiers spécifiques, tels que /etc/passwd, ce qui signifie que vous pouvez vraiment aller très loin pour truquer un système de fichiers spécifique. Le fait que toute interaction avec le système soit enregistrée signifie que tout code d’exploitation, shellcode ou malware téléchargé est enregistré. Il peut donc être disséqué ultérieurement dans une machine virtuelle”.
Kippo et Honeyd ne sont que deux outils parmi tant d’autres. La plupart d’entre eux sont open source, ce qui signifie que le fait de pouvoir les modifier pour les adapter à vos besoins est une véritable opportunité. Beaucoup de gens construisent des combo-honeypots où ils utilisent plusieurs outils pour construire des réseaux, des hôtes et des services élaborés. Tous ces outils sont faux, mais ils semblent bien réels.
Cinq avantages que les honeypots peuvent apporter à votre entreprise
Ce qui rend les honeypots intéressants, c’est qu’ils permettent de :
Gaspiller les ressources, le temps et l’attention des cybercriminels.
Recueillir des informations sur les attaques, les kits d’exploitations, les tendances et les malwares pour former votre équipe de sécurité.
Observer les comportements des attaquants.
Connaître le profil des attaquants et leurs méthodes.
Améliorer éventuellement votre posture de sécurité globale, à condition qu’elle soit bien gérée.
Un honeypot doit être maintenu et mis à jour
Je ne recommanderais pas de faire entièrement confiance à votre honeypot. Voici les raisons :
Un attaquant expérimenté peut écrire des scripts pouvant confirmer si une machine spécifique est un honeypot ou non.
Comme tout autre outil, un honeypot a des scénarios qui lui conviennent parfaitement et d’autres qui ne le sont pas.
Vous avez besoin d’une personne capable de gérer en permanence le honeypot et qui sera toujours prête à faire face aux éventuels problèmes.
Le honeypot doit être entretenu et mis à jour, tout comme les autres machines. Vous devez donc décider si le gain en vaut la peine.
Le simple fait d’“ajouter un honeypot” n’augmentera pas la sécurité de votre réseau et pourrait même constituer une faille de sécurité si le honeypot n’est pas aussi bien isolé.
Êtes-vous un fan de honeypots ? Sinon, pourquoi pas ?
