Le 31 mai 2023, Progress Software a révélé une vulnérabilité qui permet à des acteurs non authentifiés d'accéder à sa base de données MOVEit® Transfer et d'exécuter des instructions SQL pour modifier ou supprimer des informations. MOVEit Transfer est un logiciel de transfert de fichiers géré qui fait partie de la plateforme cloud Progress MOVEit utilisée pour consolider toutes les activités de transfert de fichiers en un seul système.
Depuis cette divulgation, le gang de cybercriminels Clop a exploité la vulnérabilité et l'a utilisée pour cibler un grand nombre d'organisations dans de multiples secteurs et zones géographiques, dont le fournisseur de logiciels de ressources humaines Zellis, la BBC, le gouvernement de la Nouvelle-Écosse et bien d'autres encore. Bien que Progress Software ait corrigé la vulnérabilité, Clop continue de faire de nouvelles victimes.
Comme dans le cas des attaques SolarWinds, Kaseya, LastPass et des attaques similaires d'Accellion il est essentiel que les professionnels de la gestion des risques des tiers comprennent lesquels de leurs fournisseurs pourraient être exposés à la vulnérabilité MOVEit afin de réduire la probabilité et la gravité d'une attaque sur leurs propres infrastructures informatiques ou l'exposition de leurs données.
Dans cet article, nous vous recommandons de poser huit questions à vos fournisseurs tiers afin de déterminer leur utilisation de MOVEit et de comprendre leur réponse à tout incident de sécurité connexe. Nous partageons également trois bonnes pratiques pour mieux automatiser la réponse aux incidents des tiers de votre organisation.
Utilisez cette brève évaluation pour déterminer l'exposition de vos fournisseurs tiers (et donc de votre organisation) à la vulnérabilité MOVEit. Vous pouvez ensuite établir une pondération des risques par réponse pour évaluer la criticité de l'exposition et vous concentrer sur les fournisseurs présentant les risques les plus élevés.
Questions | Réponses potentielles |
---|---|
1) L'organisation utilise-t-elle le logiciel de transfert de fichiers géré par MOVEit Transfer ou MOVEit Cloud ? |
Veuillez choisir l'une des options suivantes : a) Oui, l'organisation utilise la solution MOVEit Transfer ou Cloud. b) Non, l'organisation n'utilise pas la solution MOVEit Transfer ou Cloud. |
2) L'organisation a-t-elle été touchée par la vulnérabilité de l'injection SQL de MOVEit ? Texte d'aide : Impact significatif : La vulnérabilité a provoqué une perte de confidentialité ou d'intégrité des données. Impact élevé : La disponibilité du système a été périodiquement perdue, ainsi que certaines pertes de confidentialité ou d'intégrité des données. Faible impact : Aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou nulle de la disponibilité du système. |
Veuillez choisir l'une des options suivantes : a) Nos systèmes, applications ou informations critiques ont subi un impact important. b) L'impact sur nos systèmes, applications ou informations critiques est important. c) L'impact sur nos systèmes, applications ou informations critiques est faible. d) L'attaque cybern'a pas eu d'impact sur nos systèmes, applications ou informations critiques. |
3) Lorsque MOVEit Transfer est utilisé, l'organisation a-t-elle pris les mesures recommandées par le fournisseur de la solution (Progress Software) pour remédier à la vulnérabilité ? Texte d'aide : Les organisations doivent modifier les règles du pare-feu pour refuser le trafic HTTP et HTTPs vers MOVEit Transfer sur les ports 80 et 443 avant d'appliquer les derniers correctifs. Voici une liste d'indicateurs de compromission et de mesures recommandées. |
Veuillez sélectionner tous les éléments qui s'appliquent. a) Nous avons désactivé tout le trafic HTTP et HTTPs vers l'environnement de transfert MOVEit. b) Nous avons pris des mesures pour examiner, supprimer et réinitialiser les informations d'identification du compte de service. c) Nous avons appliqué les derniers correctifs, provenant directement du site web de PROGRESS, et correspondant à notre version de MOVEit Transfer. d) Nous avons procédé à une surveillance continue du réseau, des points d'accès et des journaux afin de détecter les indicateurs de compromission. |
4) Lorsque MOVEit Cloud est utilisé, l'organisation a-t-elle pris les mesures recommandées par le fournisseur de la solution (Progress Software) pour remédier à la vulnérabilité ? |
Veuillez sélectionner tous les éléments qui s'appliquent. a) Nous avons examiné nos journaux d'audit à la recherche de signes de téléchargements de fichiers inattendus ou inhabituels. b) Nous avons examiné les adresses IP figurant dans le fichier CVE. |
5) La compromission affecte-t-elle les services critiques fournis à notre organisation ? |
Veuillez choisir l'une des options suivantes : a) Oui. b) Non. |
6) Qui est désigné comme point de contact pour répondre aux questions supplémentaires ? |
Veuillez indiquer le contact clé pour la gestion des informations et des incidents de cybersécurité. Nom : Titre : Courriel : Téléphone : |
7) L'entreprise a-t-elle appliqué les mesures de remédiation et de correction mentionnées ci-dessus et recommandées par Progress Software ? Texte d'aide : Une nouvelle vulnérabilité a été détectée dans l'application web MOVEit Transfer qui pourrait permettre à un attaquant non authentifié d'obtenir un accès non autorisé à la base de données MOVEit Transfer. Le fournisseur de la solution (Progress Software) a recommandé à toutes les organisations concernées de mettre à jour les derniers correctifs, qui ont été publiés le 9 juin. |
Veuillez choisir l'une des options suivantes : a) Oui, nous avons appliqué les mesures correctives publiées pour les vulnérabilités de mai 2023. b) Non, nous n'avons pas encore appliqué les mesures correctives publiées pour les vulnérabilités de mai 2023. |
8) Conformément aux directives de Progress Software, l'organisation a-t-elle appliqué les correctifs ? Texte d'aide : L'application du correctif du 9 juin peut s'effectuer selon différents chemins d'installation (DLL ou installateur complet). Cet article de la base de connaissances MOVEit Transfer décrit les étapes et les versions nécessitant des mises à jour. |
Veuillez choisir l'une des options suivantes : a) Nous avons appliqué les derniers correctifs, provenant directement du site web de Progress Software, et correspondant à notre version de MOVEit Transfer. b) Nous n'avons pas appliqué les correctifs recommandés par Progress Software. |
Bien qu'il ne soit pas possible d'éliminer tous les risques liés aux relations avec les fournisseurs, votre programme de gestion des risques liés aux tiers peut offrir la visibilité et l'automatisation nécessaires pour détecter et atténuer de manière proactive les risques susceptibles de perturber votre activité. Commencez par ces trois étapes :
Pour savoir quels sont les fournisseurs qui utilisent une technologie impactée, il faut d'abord savoir qui sont vos fournisseurs, ce qui implique la mise en place d'un inventaire centralisé des fournisseurs. Vous ne pouvez pas y parvenir en utilisant des feuilles de calcul ou en déléguant la gestion des fournisseurs à des équipes opérationnelles. Elle doit être centralisée dans un système accessible à toutes les personnes impliquées dans vos initiatives de gestion des fournisseurs. Votre système d'enregistrement central doit permettre l'importation de données relatives au profil des fournisseurs à partir de feuilles de calcul existantes ou via une connexion API à votre solution d'approvisionnement actuelle.
Une fois que vous avez centralisé tous vos fournisseurs, utilisez les questionnaires des fournisseurs soutenus par des capacités de balayage passif pour vous aider à identifier les relations technologiques de quatrième partie. Dans ce cas particulier, cet exercice permettrait de savoir quels sont les fournisseurs qui utilisent MOVEit. La collecte d'informations sur les technologies de quatrième partie déployées dans votre écosystème de fournisseurs permet d'identifier les organisations qui utilisent la technologie concernée, ce qui vous permet d'établir un ordre de priorité parmi les fournisseurs qui doivent faire l'objet d'une évaluation plus poussée.
Une fois que vous avez identifié les fournisseurs ayant déployé la technologie concernée dans leur environnement, engagez-les dans des évaluations simples et ciblées qui s'alignent sur les normes de sécurité connues et les meilleures pratiques telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes de sécurité potentielles. Les bonnes solutions d'évaluation fourniront des recommandations intégrées pour accélérer les mesures correctives et combler rapidement ces lacunes.
Commencez votre évaluation spécifique à l'événement en vous basant sur les huit questions de la section ci-dessus, en pondérant les réponses en fonction de la tolérance au risque de votre organisation. Remarque : il s'agit de questions de base destinées à fournir des informations initiales. Votre organisation peut choisir de poser des questions différentes ou supplémentaires.
Il est important de rester vigilant en permanence, non seulement pour les risques liés à l'attaque MOVEit, mais aussi pour ceux liés à la prochaine attaque. Commencez par surveiller l'Internet et le dark web à l'aide d'une surveillance continue sur le site cyber afin de révéler les listes d'informations d'identification volées à vendre et d'autres signes d'un incident de sécurité imminent.
Vos efforts de surveillance doivent porter sur les forums criminels, les pages en oignon, les forums d'accès spéciaux du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les référentiels de code, les bases de données de vulnérabilités et de piratages, ainsi que les nouvelles négatives.
Vous pouvez surveiller plusieurs sources individuelles ou utiliser une solution qui unifie les informations provenant de plusieurs sources, centralise toutes les données relatives aux risques et les rend visibles pour les principales parties prenantes. Cette dernière approche vous permet de corréler les résultats de la surveillance continue avec les réponses de l'évaluation des risques afin de valider si les fournisseurs ont mis en place des contrôles ou non.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Si un incident de cybersécurité se produisait dans l'écosystème de vos fournisseurs, seriez-vous en mesure de comprendre rapidement ses implications et d'activer un plan de réponse à l'incident ? Le temps est un facteur essentiel dans la réponse aux incidents, c'est pourquoi le fait d'être plus proactif avec un plan de réponse aux incidents défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels des fournisseurs. Un plan programmatique de réponse aux incidents impliquant des tiers doit comprendre les éléments suivants
Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à accélérer la découverte et l'atténuation des risques liés aux tiers, demandez une démonstration dès aujourd'hui.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024