Attaque par ransomware de Kaseya : Questionnaire gratuit pour évaluer le risque lié à un tiers

Évaluez l'exposition de votre entreprise à l'attaque de la chaîne d'approvisionnement de Kaseya grâce à ces 8 questions essentielles pour vos MSP et autres tiers.
Par :
Alastair Parr
,
Vice-président principal, Produits et services mondiaux
06 juillet 2021
Partager :
Blog 322 kaseya ransomware attack 0721

Le 2 juillet, Kaseya a annoncé que des attaquants avaient profité d'une vulnérabilité dans le logiciel VSA de l'entreprise pour lancer une attaque par ransomware contre les clients de l'entreprise. Kaseya VSA est un outil de surveillance et de gestion à distance pour les réseaux et les terminaux, et le logiciel est largement utilisé par les fournisseurs de services gérés (MSP).

L'attaque de la chaîne d'approvisionnement de Kaseya a des implications potentielles non seulement pour les MSP utilisant la solution VSA, mais aussi pour leurs clients. Alors que l'ampleur de l'attaque est encore en train d'être révélée, Kaseya a publié aujourd'hui une mise à jour indiquant qu'environ 50 de ses clients MSP sont connus pour être directement affectés. Toutefois, le communiqué de presse poursuit en indiquant qu'environ 800 à 1 500 clients des MSP concernés ont été touchés de manière opérationnelle jusqu'à présent.

À l'instar de la brèche dans le système Orion de SolarWinds et d'autres incidents de sécurité récents impliquant des tiers ( cyber ), il s'agit d'un autre exemple de l'impact exponentiel potentiel des attaques de la chaîne d'approvisionnement sur les clients en aval.

8 questions essentielles pour évaluer l'exposition des tiers à l'attaque par ransomware de Kaseya

Avec plus de 35 000 entreprises utilisant le logiciel Kaseya, il est possible que certains de vos tiers le soient aussi. Il est donc essentiel que vous évaluiez l'impact potentiel sur vos tiers afin d'atténuer l'exposition possible des données de votre entreprise. Prevalent a élaboré une évaluation en 8 questions qui peut être utilisée pour identifier rapidement tout impact potentiel sur votre entreprise en déterminant lesquels de vos tiers ont été affectés et quelles actions ils prennent.

Questions Réponses potentielles

1) L'organisation a-t-elle été touchée par la récente attaque par ransomware de la chaîne d'approvisionnement de Kaseya VSA ?

(Veuillez en choisir un.)

Texte d'aide : Ceci est lié à la récente attaque de ransomware sur l'outil Kaseya VSA RMM.

a) Oui, nous avons été touchés par la récente attaque de Kaseya VSA Supply-Chain Ransomware.

b) Non, nous n'avons pas été touchés par la récente attaque de Kaseya VSA Supply-Chain Ransomware.

2) À la suite de cette attaque par ransomware, l'organisation a-t-elle identifié et mis hors service des serveurs VSA sur site ?

(Veuillez en choisir un.)

a) Oui, l'organisation a fermé les serveurs VSA sur site potentiellement affectés.

b) Non, l'organisation n'a pas actuellement arrêté les serveurs VSA sur site potentiellement affectés.

c) L'organisation ne dispose pas de serveurs VSA sur site.

3) L'organisation est-elle un fournisseur de services gérés (MSP) Kaseya RMM ou un client d'un fournisseur de services gérés ?

(Veuillez en choisir un.)

a) L'organisation est un fournisseur de services gérés (MSP) de l'outil Kaseya VSA RMM.

b) L'organisation est cliente d'un fournisseur de services gérés (MSP) Kaseya RMM.

4) Si l'organisation est un fournisseur de services gérés Kaseya RMM, les actions suivantes ont-elles été prises ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide : L'outil de détection Kaseya VSA analyse un système (soit le serveur VSA, soit le terminal géré) et détermine si des indicateurs de compromission (IoC) sont présents.

a) Nous avons téléchargé l'outil de détection Kaseya VSA.

b) Nous avons mis en place et activé l'authentification multifactorielle (MFA) sur tous les comptes qui sont sous le contrôle de l'organisation.

c) Nous avons mis en place et activé le MFA pour les services destinés aux clients.

d) Nous avons mis en place une liste d'autorisations pour limiter la communication avec les capacités de surveillance et de gestion à distance (RMM) aux paires d'adresses IP connues.

e) Nous avons placé les interfaces administratives de RMM derrière un réseau privé virtuel (VPN) ou un pare-feu sur un réseau administratif dédié.

5) Si l'organisation est cliente d'un fournisseur de services gérés Kaseya RMM, les mesures suivantes ont-elles été prises ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide : Les meilleures pratiques de cybersécurité suivantes sont recommandées, en particulier lorsque les clients MSP ne disposent pas actuellement de services RMM en cours d'exécution en raison de l'attaque de Kaseya.

a) Nous avons veillé à ce que les sauvegardes soient à jour et stockées dans un endroit facilement récupérable et isolé du réseau de l'organisation.

b) Nous avons mis en place un processus de gestion manuelle des correctifs qui suit les conseils de remédiation des fournisseurs, y compris l'installation de nouveaux correctifs dès qu'ils sont disponibles.

c) Nous avons mis en place une authentification multifactorielle sur les comptes d'administration des ressources clés du réseau.

d) Nous avons mis en œuvre le principe du moindre privilège sur les comptes d'administration des ressources clés du réseau.

6) L'organisation a-t-elle mis en place un plan d'enquête et de réponse aux incidents ?

(Veuillez sélectionner toutes les réponses qui s'appliquent).

Texte d'aide : Des procédures de surveillance, de détection, d'analyse et de signalement des événements et incidents liés à la sécurité de l'information doivent être en place et permettre à une organisation de développer une stratégie de réponse claire pour traiter les incidents et événements identifiés.

a) L'organisation dispose d'une politique de gestion des incidents documentée.

b) La politique de gestion des incidents comprend des règles pour signaler les événements et les faiblesses en matière de sécurité de l'information.

c) Un plan de réponse aux incidents est élaboré dans le cadre de l'enquête et de la récupération des incidents.

d) La planification de la réponse aux incidents comprend des procédures d'escalade vers les parties internes et des procédures de communication aux clients.

7) Qui est le point de contact qui peut répondre aux questions supplémentaires ?

Nom :

Titre :

Courriel :

Téléphone :

8) Quel est le niveau d'impact sur les systèmes et les données des clients suite à cette attaque ?

(Veuillez en choisir un.)

Texte d'aide :

Il convient de prendre en considération le niveau d'impact sur la disponibilité et la confidentialité des informations ou des systèmes des clients.

Impact significatif : L'attaque par ransomware de Kaseya VSA a provoqué l'arrêt du fonctionnement ou l'indisponibilité des systèmes clients. Il y a eu une perte de confidentialité ou d'intégrité des données.

Impact élevé : La disponibilité du service pour les systèmes clients a été périodiquement perdue, et il est possible que certains systèmes s'arrêtent périodiquement. Il y a eu une certaine perte de confidentialité ou d'intégrité des données.

Faible impact : Aucune perte de confidentialité ou d'intégrité des données, et une perturbation minimale ou nulle de la disponibilité du service.

a) Il n'y a pas eu d'impact sur les systèmes ou les données des clients suite à cette attaque.

b) Cette attaque a eu un faible impact sur les systèmes ou les données des clients.

c) Il y a un niveau élevé d'impact sur les systèmes ou les données des clients suite à cette attaque.

d) Cette attaque a eu un impact significatif sur les systèmes ou les données des clients.

Guide gratuit : 8 étapes pour un plan de réponse aux incidents impliquant des tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

Prevalent Peut aider à accélérer la réponse aux incidents par des tiers

Prevalent a récemment lancé le service de réponse aux incidents impliquant des tiers, une solution qui permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement, comme l'attaque de Kaseya, en fournissant une plateforme pour gérer de manière centralisée les fournisseurs, effectuer des évaluations ciblées spécifiques à un événement, noter les risques identifiés et accéder aux conseils de remédiation. Prevalent propose cette solution en tant que service géré pour permettre à votre équipe de se décharger de la collecte des données de réponse critiques afin qu'elle puisse se concentrer sur la remédiation des risques.

En complément du service de réponse aux incidents, Prevalentpropose une surveillance continue de cyber et des brèches dans les entreprises, qui fournit des mises à jour régulières sur les divulgations de brèches, les événements négatifs et les incidents cyber tels que les activités malveillantes sur le Web obscur concernant vos fournisseurs.

Ensemble, ces solutions permettent d'automatiser la découverte de l'impact des brèches et d'accélérer la réponse.

Prochaines étapes pour répondre à l'attaque de la chaîne d'approvisionnement de Kaseya

Utilisez ce questionnaire pour déterminer l'impact que l'attaque de Kaseya pourrait avoir sur votre écosystème de fournisseurs. Et, pour en savoir plus, téléchargez un livre blanc sur les meilleures pratiques ou contactez-nous pour une démo !

Tags :
Partager :
Leadership alastair parr
Alastair Parr
Vice-président principal, Produits et services mondiaux

Alastair Parr est chargé de veiller à ce que les exigences du marché soient prises en compte et appliquées de manière innovante au sein du portefeuille Prevalent . Il a rejoint Prevalent après avoir été l'un des fondateurs de 3GRC, où il était responsable de la définition des produits et des services et y a joué un rôle déterminant. Il est issu du monde de la gouvernance, du risque et de la conformité, et a développé et mis en œuvre des solutions dans le domaine toujours plus complexe de la gestion des risques. Il apporte plus de 15 ans d'expérience dans la gestion de produits, le conseil et les livrables opérationnels.

Plus tôt dans sa carrière, il a occupé le poste de directeur des opérations pour un fournisseur mondial de services gérés, InteliSecure, où il était chargé de superviser des programmes efficaces de protection des données et de gestion des risques pour les clients. Alastair est titulaire d'un diplôme universitaire en politique et relations internationales, ainsi que de plusieurs certifications en sécurité de l'information.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo