Grâce à l’amélioration des technologies de sécurité, la plupart des cyberattaques reposent désormais sur un élément d’ingénierie sociale afin d’exploiter le maillon le plus faible, l’humain.
Phillip Wylie, hacker en résidence à CyCognito, estime que les RSSI doivent désormais prendre du recul et se concentrer sur l’image globale en matière de sécurité. Cela comprend la sécurisation des surfaces d’attaque internes et externes, et le test de la sécurité de ces environnements, ainsi que la sensibilisation des employés aux risques.
Nous lui avons parlé pour en savoir plus.
BN : Pourquoi voyons-nous un augmentation des attaques d’ingénierie sociale ?
PW : La réponse simple est que l’ingénierie sociale fonctionne. La réponse la plus complexe est que la rentabilité des rançongiciels et des crimes d’extorsion augmente et que la valeur des informations d’identification volées des utilisateurs (les PII financières et les adresses IP sensibles augmentent également) les attaquants s’efforceront de plus en plus de violer tout ce qui précède de toute façon.
Les tendances liées à une meilleure hygiène de la cybersécurité pour de nombreuses entreprises poussent les attaquants à mettre fin aux cyberdéfenses traditionnelles. De meilleurs correctifs, des temps MTTR réduits et des surfaces d’attaque renforcées pousseront des adversaires déterminés vers des attaques basées sur les réseaux sociaux.
Un attaquant peut se faire passer pour un employé, un client ou un partenaire commercial. L’objectif est d’inciter les utilisateurs à divulguer des informations privées telles que les informations d’identification de l’utilisateur, l’accès au réseau ou le numéro de téléphone portable du directeur financier pour exécuter une attaque ou effectuer une sorte de reconnaissance sociale.
Cela dit, de nombreux réseaux sociaux les attaques d’ingénierie que nous voyons aujourd’hui ne sont qu’un moyen d’arriver à une fin. Cette « fin » consiste à convaincre un employé de cliquer ou de télécharger un fichier malveillant, afin que l’attaquant puisse implanter un logiciel malveillant sur un système ciblé ou l’inciter à partager des données privées.
L’élément humain est généralement le maillon le plus faible dans la pile informatique d’une entreprise. À mesure que les chances de succès des autres types d’attaques diminuent, les attaques basées sur les réseaux sociaux augmentent.
BN : Qu’est-ce qui est fondamentalement différent dans une attaque d’ingénierie sociale par rapport à tout autre type de cybermenace ?
PW : L’ingénierie sociale se concentre sur les humains en tant que vecteur de menace. Pour les vulnérabilités matérielles et logicielles, il existe des correctifs logiciels, des mises à jour de micrologiciels et des moyens de configurer les appareils pour les rendre moins vulnérables aux attaques. Ces types de renforcement préventif de la sécurité informatique ne sont pas corrélés aux risques liés à la faillibilité des employés.
Les humains sont le joker de votre surface d’attaque interne et externe. Bien sûr, il existe une formation des employés, des solutions de confiance zéro, les meilleures pratiques et une sensibilisation au phishing et à d’autres types d’attaques d’ingénierie sociale. Mais, en fin de compte, si quelqu’un trouve une clé USB dans le parking et la branche sur son ordinateur portable domestique tout en étant connecté au VPN de l’entreprise, il n’y a tout simplement aucun correctif pour empêcher ce comportement à risque.
BN : Nous avons une pile de sécurité massive, avec pratiquement un acronyme pour chaque catégorie. Existe-t-il quelque chose pour empêcher les attaques d’ingénierie sociale ?
PW : Il est difficile d’éliminer les menaces d’ingénierie sociale. Avec d’autres vecteurs de menace, il existe des technologies, des processus et des procédures qui peuvent être mis en place pour réduire ces risques. Renforcer votre surface d’attaque externe est un impératif pour garantir l’échec d’une attaque d’ingénierie sociale ciblant les actifs externes.
La mise en œuvre d’un logiciel de messagerie qui protège contre les clics sur des liens malveillants est un enjeu de table. Les systèmes des utilisateurs finaux doivent être configurés pour utiliser l’accès le moins privilégié. Si un attaquant parvient à accéder à un ordinateur qui a plus d’accès que nécessaire, l’attaquant peut en faire plus et poursuivre ses efforts d’attaque.
Maintenir les systèmes à jour permet de réduire les vulnérabilités qui pourraient éventuellement être exploitées par les acteurs de la menace via une attaque sociale. Les technologies Zero Trust, qui partent du principe que chaque connexion et point de terminaison est une menace, peuvent également aider.
Il s’agit donc d’une approche à plusieurs niveaux que vous devez adopter.
La malheureuse réalité est le nombre d’outils technologiques réels pour repousser les attaques d’ingénierie sociale est limité.
La plupart du temps, la réduction des risques de type social nécessite une sensibilisation à la sécurité qui aide les employés à comprendre ce qu’est l’ingénierie sociale et donne des exemples de la façon dont elle est utilisé pour lancer une attaque. Cependant, la sensibilisation à la sécurité ne va pas plus loin. Les humains vont toujours faire des erreurs. Développer et former le personnel aux meilleures pratiques est un point de départ.
BN : Vous êtes un testeur de stylo professionnel. Comment les tests d’intrusion peuvent-ils aider à prévenir les attaques d’ingénierie sociale ?
PW : Les tests d’intrusion sont importants car, en tant que testeurs d’intrusion, nous abordons nos évaluations de sécurité de la même manière qu’un pirate informatique malveillant. C’est le seul moyen de détecter toutes les vulnérabilités et surtout celles qui sont exploitables, c’est-à-dire ce que tout acteur malveillant utiliserait pour tenter de pénétrer dans une organisation.
Les testeurs de plumes prennent souvent en compte l’ingénierie sociale lors de la création de la cybersécurité d’une entreprise. évaluation de l’état de préparation. L’évaluation du taux de réussite des attaques de phishing basées sur les réseaux sociaux, des attaques d’appâtage, des stratagèmes de scareware, des faux-semblants et du spear phishing est une métrique de surface d’attaque importante qu’un testeur de stylo doit mettre en évidence.
BN : Quelles étapes les RSSI doivent-ils suivre ? prendre maintenant pour prévenir les attaques d’ingénierie sociale ?
PW : Les RSSI doivent suivre les étapes ci-dessus que j’ai mentionnées et s’assurer que leurs équipes de sécurité travaillent avec les employés pour mettre l’accent sur la sensibilisation à la sécurité et l’éducation aux dernières menaces.
Les RSSI ne doivent pas non plus punir les gens s’ils ne réussissent pas bien lors des campagnes d’ingénierie sociale et de phishing par e-mail. Cela a pour effet de dissuader les employés d’admettre qu’ils sont la proie d’un incident de phishing. Au lieu de cela, les équipes de sécurité devraient récompenser les employés qui jouent la sécurité et les alertent en cas d’activité suspecte.
Favoriser une culture de la sécurité est vital au sein d’une entreprise. Les employés ne doivent jamais avoir peur de partager s’ils ont fait une erreur et cliqué sur quelque chose de malveillant.
Il est également important de considérer que les attaques d’ingénierie sociale sont un moyen d’arriver à leurs fins. Cette”fin”est souvent liée à de véritables points faibles de la surface d’attaque externe et interne. Les stratagèmes malveillants réussis envoyés via des messages (e-mail, SMS ou réseaux sociaux) et des tactiques telles que les attaques par points d’eau dépendent d’une gestion de la surface d’attaque faible pour réussir.
C’est là que le blocage et la lutte de base en matière de cybersécurité entrent en jeu. Le processus de test d’intrusion, qui identifie le chemin de moindre résistance pour un agresseur probable, est l’un des meilleurs moyens d’atténuer les risques associés à un employé qui a déjà été victime d’un agresseur.
Les RSSI sont bien a servi à adopter une approche en couches pour se défendre contre les menaces d’ingénierie sociale. Premièrement, l’étape est une auto-analyse pour déterminer quelle est leur surface d’attaque d’ingénierie sociale. Par exemple, un système de santé aura un profil entièrement différent par rapport à une entité gouvernementale. Cela déterminera les allocations d’investissement qu’ils pourraient vouloir faire dans des solutions telles que la gestion de surface d’attaque externe, Zero Trust et les technologies de rapport et de conformité d’authentification de message basée sur le domaine (DMARC).
Je m’en voudrais si je le faisais Ne mentionnez pas non plus les tests d’intrusion comme l’une des approches les plus efficaces pour prévenir les attaques d’ingénierie sociale. L’évaluation de la sécurité d’un testeur de stylo permettra à un RSSI de savoir comment un adversaire tentera probablement d’infiltrer votre organisation. Un testeur de stylo peut identifier le système ou les employés sur lesquels vous devez vous concentrer et vous informer des types d’attaques d’ingénierie sociale auxquelles vous pourriez être sujet.
Crédit d’image : tashatuvango/depositphotos.com