Le 2 juillet, Kaseya a annoncé que des attaquants avaient profité d'une vulnérabilité dans le logiciel VSA de l'entreprise pour lancer une attaque par ransomware contre les clients de l'entreprise. Kaseya VSA est un outil de surveillance et de gestion à distance pour les réseaux et les terminaux, et le logiciel est largement utilisé par les fournisseurs de services gérés (MSP).
L'attaque de la chaîne d'approvisionnement de Kaseya a des implications potentielles non seulement pour les MSP utilisant la solution VSA, mais aussi pour leurs clients. Alors que l'ampleur de l'attaque est encore en train d'être révélée, Kaseya a publié aujourd'hui une mise à jour indiquant qu'environ 50 de ses clients MSP sont connus pour être directement affectés. Toutefois, le communiqué de presse poursuit en indiquant qu'environ 800 à 1 500 clients des MSP concernés ont été touchés de manière opérationnelle jusqu'à présent.
À l'instar de la brèche dans le système Orion de SolarWinds et d'autres incidents de sécurité récents impliquant des tiers ( cyber ), il s'agit d'un autre exemple de l'impact exponentiel potentiel des attaques de la chaîne d'approvisionnement sur les clients en aval.
Avec plus de 35 000 entreprises utilisant le logiciel Kaseya, il est possible que certains de vos tiers le soient aussi. Il est donc essentiel que vous évaluiez l'impact potentiel sur vos tiers afin d'atténuer l'exposition possible des données de votre entreprise. Prevalent a élaboré une évaluation en 8 questions qui peut être utilisée pour identifier rapidement tout impact potentiel sur votre entreprise en déterminant lesquels de vos tiers ont été affectés et quelles actions ils prennent.
Questions | Réponses potentielles |
---|---|
1) L'organisation a-t-elle été touchée par la récente attaque par ransomware de la chaîne d'approvisionnement de Kaseya VSA ? (Veuillez en choisir un.) Texte d'aide : Ceci est lié à la récente attaque de ransomware sur l'outil Kaseya VSA RMM. |
a) Oui, nous avons été touchés par la récente attaque de Kaseya VSA Supply-Chain Ransomware. b) Non, nous n'avons pas été touchés par la récente attaque de Kaseya VSA Supply-Chain Ransomware. |
2) À la suite de cette attaque par ransomware, l'organisation a-t-elle identifié et mis hors service des serveurs VSA sur site ? (Veuillez en choisir un.) |
a) Oui, l'organisation a fermé les serveurs VSA sur site potentiellement affectés. b) Non, l'organisation n'a pas actuellement arrêté les serveurs VSA sur site potentiellement affectés. c) L'organisation ne dispose pas de serveurs VSA sur site. |
3) L'organisation est-elle un fournisseur de services gérés (MSP) Kaseya RMM ou un client d'un fournisseur de services gérés ? (Veuillez en choisir un.) |
a) L'organisation est un fournisseur de services gérés (MSP) de l'outil Kaseya VSA RMM. b) L'organisation est cliente d'un fournisseur de services gérés (MSP) Kaseya RMM. |
4) Si l'organisation est un fournisseur de services gérés Kaseya RMM, les actions suivantes ont-elles été prises ? (Veuillez sélectionner toutes les réponses qui s'appliquent). Texte d'aide : L'outil de détection Kaseya VSA analyse un système (soit le serveur VSA, soit le terminal géré) et détermine si des indicateurs de compromission (IoC) sont présents. |
a) Nous avons téléchargé l'outil de détection Kaseya VSA. b) Nous avons mis en place et activé l'authentification multifactorielle (MFA) sur tous les comptes qui sont sous le contrôle de l'organisation. c) Nous avons mis en place et activé le MFA pour les services destinés aux clients. d) Nous avons mis en place une liste d'autorisations pour limiter la communication avec les capacités de surveillance et de gestion à distance (RMM) aux paires d'adresses IP connues. e) Nous avons placé les interfaces administratives de RMM derrière un réseau privé virtuel (VPN) ou un pare-feu sur un réseau administratif dédié. |
5) Si l'organisation est cliente d'un fournisseur de services gérés Kaseya RMM, les mesures suivantes ont-elles été prises ? (Veuillez sélectionner toutes les réponses qui s'appliquent). Texte d'aide : Les meilleures pratiques de cybersécurité suivantes sont recommandées, en particulier lorsque les clients MSP ne disposent pas actuellement de services RMM en cours d'exécution en raison de l'attaque de Kaseya. |
a) Nous avons veillé à ce que les sauvegardes soient à jour et stockées dans un endroit facilement récupérable et isolé du réseau de l'organisation. b) Nous avons mis en place un processus de gestion manuelle des correctifs qui suit les conseils de remédiation des fournisseurs, y compris l'installation de nouveaux correctifs dès qu'ils sont disponibles. c) Nous avons mis en place une authentification multifactorielle sur les comptes d'administration des ressources clés du réseau. d) Nous avons mis en œuvre le principe du moindre privilège sur les comptes d'administration des ressources clés du réseau. |
6) L'organisation a-t-elle mis en place un plan d'enquête et de réponse aux incidents ? (Veuillez sélectionner toutes les réponses qui s'appliquent). Texte d'aide : Des procédures de surveillance, de détection, d'analyse et de signalement des événements et incidents liés à la sécurité de l'information doivent être en place et permettre à une organisation de développer une stratégie de réponse claire pour traiter les incidents et événements identifiés. |
a) L'organisation dispose d'une politique de gestion des incidents documentée. b) La politique de gestion des incidents comprend des règles pour signaler les événements et les faiblesses en matière de sécurité de l'information. c) Un plan de réponse aux incidents est élaboré dans le cadre de l'enquête et de la récupération des incidents. d) La planification de la réponse aux incidents comprend des procédures d'escalade vers les parties internes et des procédures de communication aux clients. |
7) Qui est le point de contact qui peut répondre aux questions supplémentaires ? |
Nom : Titre : Courriel : Téléphone : |
8) Quel est le niveau d'impact sur les systèmes et les données des clients suite à cette attaque ? (Veuillez en choisir un.) Texte d'aide : Il convient de prendre en considération le niveau d'impact sur la disponibilité et la confidentialité des informations ou des systèmes des clients. Impact significatif : L'attaque par ransomware de Kaseya VSA a provoqué l'arrêt du fonctionnement ou l'indisponibilité des systèmes clients. Il y a eu une perte de confidentialité ou d'intégrité des données. Impact élevé : La disponibilité du service pour les systèmes clients a été périodiquement perdue, et il est possible que certains systèmes s'arrêtent périodiquement. Il y a eu une certaine perte de confidentialité ou d'intégrité des données. Faible impact : Aucune perte de confidentialité ou d'intégrité des données, et une perturbation minimale ou nulle de la disponibilité du service. |
a) Il n'y a pas eu d'impact sur les systèmes ou les données des clients suite à cette attaque. b) Cette attaque a eu un faible impact sur les systèmes ou les données des clients. c) Il y a un niveau élevé d'impact sur les systèmes ou les données des clients suite à cette attaque. d) Cette attaque a eu un impact significatif sur les systèmes ou les données des clients. |
Guide gratuit : 8 étapes pour un plan de réponse aux incidents impliquant des tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Prevalent a récemment lancé le service de réponse aux incidents impliquant des tiers, une solution qui permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement, comme l'attaque de Kaseya, en fournissant une plateforme pour gérer de manière centralisée les fournisseurs, effectuer des évaluations ciblées spécifiques à un événement, noter les risques identifiés et accéder aux conseils de remédiation. Prevalent propose cette solution en tant que service géré pour permettre à votre équipe de se décharger de la collecte des données de réponse critiques afin qu'elle puisse se concentrer sur la remédiation des risques.
En complément du service de réponse aux incidents, Prevalentpropose une surveillance continue de cyber et des brèches dans les entreprises, qui fournit des mises à jour régulières sur les divulgations de brèches, les événements négatifs et les incidents cyber tels que les activités malveillantes sur le Web obscur concernant vos fournisseurs.
Ensemble, ces solutions permettent d'automatiser la découverte de l'impact des brèches et d'accélérer la réponse.
Utilisez ce questionnaire pour déterminer l'impact que l'attaque de Kaseya pourrait avoir sur votre écosystème de fournisseurs. Et, pour en savoir plus, téléchargez un livre blanc sur les meilleures pratiques ou contactez-nous pour une démo !
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024