le nouveau cybergap post-pandémique
6 min read
Quand le mot cyber-attaque est utilisé, de nombreuses personnes imaginent un pirate informatique penché sur un ordinateur dans un endroit éloigné, accédant à des réseaux à distance. Mais les attaques sur vos réseaux ne doivent pas nécessairement commencer hors site. De nombreuses entreprises présentent des faiblesses dans leur posture de sécurité physique, ce qui permet aux acteurs malveillants d’accéder facilement aux systèmes vitaux depuis l’intérieur du bureau.
Depuis le début de la pandémie, de nombreux bureaux sont soit vides, soit beaucoup moins bondés qu’ils ne l’étaient l’année précédente. Cela crée des conditions idéales pour que les attaquants accèdent physiquement à des emplacements abandonnés ou peu dotés en personnel. Bien que les possibilités de hayon (suivre quelqu’un) dans les installations aient diminué en raison du faible trafic piétonnier, il est toujours facile d’entrer dans un bâtiment.
Les bureaux à effectifs réduits donnent également à un attaquant plus de temps pour localiser les points d’entrée mal sécurisés ou déverrouillés. Il existe un certain nombre d’outils facilement disponibles qui permettent à un attaquant avec des compétences minimales de contourner les mécanismes de verrouillage. Alors que la plupart des emplacements ont des systèmes d’alarme en place, ils sont souvent selon un calendrier défini – autre chose qu’un attaquant peut garder à l’esprit. Mais un attaquant peut aussi frapper à la porte d’entrée tout aussi facilement.
Toc Toc
Au milieu de la pandémie, j’étais sur place dans les bureaux d’une chaîne de magasins, effectuant la partie examen de la sécurité physique d’un travail d’ingénierie sociale. Je me suis fait passer pour un inspecteur des extincteurs. J’ai regardé la pièce, avec des bottes à bout d’acier, un jean bleu, un bloc-notes et une chemise de travail que j’avais faite sur mesure et qui correspondait à leur fournisseur.
L’endroit que j’ai visité comptait généralement près de 100 personnes au cours de la journée de travail, mais en raison de la pandémie, ils a adopté une politique de télétravail et il n’y avait probablement que cinq personnes lors de ma visite. J’ai sonné plusieurs fois à la porte d’entrée avant qu’un employé n’ouvre la porte.
Je n’ai même pas eu la chance de lui raconter ma couverture avant qu’il ne retourne à son bureau, situé près de l’arrière du bureau. Il était plus irrité que son travail ait été interrompu qu’il ne s’inquiétait de vérifier un vendeur qu’il avait laissé entrer dans le bâtiment. Parfois, c’est aussi simple que cela !
Une fois à l’intérieur…
Une fois qu’un attaquant a accès à un emplacement, il existe de nombreuses options. Ils pourraient faire quelque chose d’aussi simple que voler un équipement qui peut contenir des informations sensibles, ou faire quelque chose de plus malveillant qui pourrait permettre un accès persistant au réseau.
Pour un accès persistant, ils pourraient localiser une prise réseau active et connecter un appareil qui rappelle une adresse IP contrôlée par un attaquant. L’attaquant pourrait alors l’utiliser comme point d’appui au sein du réseau. Un attaquant pourrait également connecter un appareil sans fil au réseau et tant qu’il se trouvait à une distance raisonnable, il pouvait simplement se connecter via le Wi-Fi.
Ce ne sont que deux exemples d’appareils utilisés, mais il existe de nombreuses autres méthodes. Un attaquant pourrait simplement effacer le mot de passe de l’administrateur local si les disques durs des postes de travail ne sont pas chiffrés. L’attaquant se connecterait alors simplement à l’hôte pour lancer une attaque ou charger une balise qui se reconnecterait à son serveur de commande et contrôle (C2).
Cela peut sembler irréaliste, mais sur certains des engagements auxquels j’ai participé, des étages entiers étaient dépourvus d’employés et j’ai pu travailler à un rythme relativement calme. Avant la pandémie, j’étais généralement pressé et je devais localiser un espace de travail vide avant de pouvoir commencer.
En raison des recommandations de distanciation sociale, vous avez généralement une large place avec le peu de personnes qui se trouvent à un endroit. Cela donne également à un attaquant plus de temps pour fouiller dans les bureaux pour trouver des informations sensibles, telles que des mots de passe ou des informations personnellement identifiables (PII).
Que pouvez-vous faire pour assurer la sécurité de votre emplacement physique, même si vous n’êtes pas là ?
Examens de sécurité physique
Alors que de nombreuses entreprises se sont remises de la tâche difficile de permettre à une main-d’œuvre à distance dans un délai aussi court, commence maintenant la tâche de combler les lacunes de sécurité découvertes pendant la pandémie. Je recommande fortement de faire effectuer un examen de sécurité physique.
Bien que vous puissiez penser que vous savez quelles sont les lacunes, une autre paire d’yeux peut être en mesure d’identifier des faiblesses supplémentaires. Les conclusions d’un rapport d’un expert extérieur aident à valider les préoccupations actuelles et les demandes d’aide pour remédier à ces lacunes.
Plus de formation des employés
Les employés sont peut-être déjà familiarisés avec l’ingénierie sociale grâce à une formation sur le phishing. Les employés ne sont généralement pas aussi familiers avec les ingénieurs sociaux qui peuvent se présenter physiquement sur place. Les gens sont utiles par nature et continueront d’être un maillon faible au sein d’une organisation, il est donc impératif que formation régulière de sensibilisation à la sécurité couvre un large éventail de sujets, y compris les risques à distance et sur site.
Protection réseau multicouche
La protection du réseau nécessite plusieurs couches pour s’assurer que rien ne passe. Un contrôle d’accès au réseau doit être en place pour identifier et alerter lorsqu’un nouveau contrôle d’accès au support (MAC) adresse est détecté. Bien que les adresses MAC puissent être falsifiées, cela permettrait d’attraper certains appareils malveillants. Des balayages réguliers doivent également être effectués pour localiser les points d’accès sans fil malveillants. Même si les points d’accès sans fil peuvent être configurés pour ne pas diffuser leurs identifiants d’ensemble de services (SSID), il est toujours possible de capter leurs transmissions si vous écoutez avec les bons outils.
Les périphériques malveillants tels que les périphériques USB sont plus difficiles à détecter car ils se font souvent passer pour un périphérique inoffensif, tel qu’un clavier. Une journalisation complète des périphériques USB peut aider à détecter ces périphériques. Les actions entreprises par ces appareils pourraient également être interceptées par la protection des terminaux. Heureusement pour les défenseurs, la protection des terminaux est devenue plus efficace pour détecter les actions malveillantes, mais les attaquants motivés trouveront généralement un moyen de la contourner.
Et pour protéger les disques durs, le cryptage est fortement recommandé. Si un ordinateur est volé, il est peu probable qu’un attaquant puisse récupérer des informations du système. Cela empêche également un attaquant de simplement effacer le mot de passe d’un compte d’administrateur local afin de se connecter au système.
Bien que ce qui précède ne soit qu’une poignée de scénarios qui pourraient se produire, il est important de se rappeler que la sécurité concerne la défense en profondeur. De petites mesures pour augmenter votre niveau de sécurité seront payantes avec le temps et aideront à éviter que votre organisation ne fasse l’objet du prochain article d’actualité sur une violation.
Kyle Gaertner est responsable des opérations de sécurité et de conformité à Défense numérique, une Société HelpSystems et leader dans solutions de gestion des vulnérabilités et d’évaluation des menaces. Suivez-le sur LinkedIn.
