Leçons tirées des 5 pires incidents de cybersécurité impliquant des tiers en 2023

Les incidents de cybersécurité impliquant des tiers ont été particulièrement étendus et dommageables en 2023. Voici des stratégies pour atténuer l'impact des violations des fournisseurs.
Par :
Dave Shackleford
,
Propriétaire et consultant principal, Voodoo Security
19 décembre 2023
Partager :
Blog 2023 Incidents de cybersécurité 12 23

En ce qui concerne les incidents de cybersécurité, l'année 2023 a été, eh bien, intéressante. Si nous avons observé certaines des tendances auxquelles nous nous attendions - comme les ransomwares, les logiciels malveillants plus sophistiqués et le piratage piloté par les États-nations ou la politique - nous avons également été témoins d'un nombre incroyable de brèches tierces fascinantes et très impactantes. Dans ce billet, j'examinerai les 5 pires incidents de cybersécurité de tiers de 2023 et je passerai en revue les leçons que nous pouvons en tirer.

#1 MOVEit

L'impact généralisé de la vulnérabilité MOVEit a été l'équivalent, en matière de cybersécurité, d'un accident de train se produisant lentement en 2023. En mai, un gang de ransomware appelé Cl0p a commencé à exploiter une faille de type "zero-day" dans la solution de transfert de fichiers d'entreprise MOVEit Transfer de Progress Software. Progress Software a publié de nombreux correctifs, mais à ce jour, plus de 2 000 organisations ont déclaré avoir été attaquées.

À première vue, cet incident n'est pas particulièrement unique. Les attaques de type "jour zéro" sont fréquentes. Les organisations victimes publient des annonces et des notifications de vulnérabilité "réflexes". Mais dans le cas présent, ces annonces n'ont cessé de se succéder. De nombreuses organisations dépendent d'un fournisseur de logiciels qui, l'un après l'autre, se retrouve dans l'embarras en raison de failles critiques régulièrement exploitées dans la nature. Cela a conduit à l'exposition de données, à la compromission de systèmes internes, etc.

Cette attaque de la chaîne d'approvisionnement en logiciels illustre parfaitement la raison pour laquelle il est essentiel d'avoir le plus de visibilité possible sur votre chaîne d'approvisionnement en logiciels, afin de pouvoir identifier plus facilement une vulnérabilité potentielle, d'évaluer les pratiques du fournisseur en conséquence et d'anticiper les problèmes potentiels. Commencez par dresser une liste des services et des logiciels utilisés.

Déterminez ce que vous savez du cycle de développement logiciel (SDLC) du fournisseur et des composants de sa solution. Veillez à demander des preuves de la sécurité du développement, de l'emballage et de l'expédition des logiciels, souvent disponibles dans une nomenclature des logiciels (SBOM). En l'absence de processus d'assurance qualité (AQ) appropriés, votre fournisseur de logiciels pourrait être sujet à des exploits - ce qui signifie que votre organisation est sujette à des exploits.

#2 Casino Breaches

Bien que les attaques par ransomware ne soient pas intrinsèquement nouvelles (j'hésite à dire qu'elles sont "anciennes" à ce stade, car elles ont toujours un impact énorme), il y a toujours des angles nouveaux et intéressants pour leurs causes profondes. Dans les attaques de ransomware très médiatisées dont ont été victimes MGM Resorts et Caesars Entertainment, ces angles nouveaux et intéressants incluaient décidément des vulnérabilités tierces. Une partie de l'incident était le résultat d'une ingénierie sociale axée sur des tiers disposant d'un accès à distance aux environnements des casinos, de la même manière que les attaquants ont ciblé un fournisseur tiers de systèmes de chauffage, de ventilation et de climatisation lors de la fameuse violation de Target en 2013.

À l'heure où nous écrivons ces lignes, Caesars a payé 15 millions de dollars et MGM a potentiellement perdu 100 millions de dollars dans cet incident perpétré par les acteurs ALPHV et Scattered Spider. Les données compromises comprenaient des noms, des numéros de permis de conduire, des dates de naissance et certains numéros de sécurité sociale et de passeport. Certaines données relatives aux employés ont également été violées.

Cet incident illustre l'un des principes fondamentaux d'un programme de sécurité informatique : la formation - en particulier la formation du service d'assistance. Il devrait également servir à rappeler l'importance de l'authentification multifactorielle (MFA) et de politiques d'authentification fortes, de contrôles et de validation pour les utilisateurs privilégiés.

#3 Okta

L'une des plus grandes histoires de cybersécurité de l'année concerne Okta. En plus des nombreuses failles majeures et des annonces d'exposition, la société a récemment révélé qu'un fournisseur de soins de santé avait exposé les informations de 5 000 employés d'Okta. Dans le premier incident, les attaquants ont volé des informations d'identification pour accéder à son système de gestion des cas d'assistance et ont volé des jetons de session téléchargés par les clients. Cet incident a affecté tous les clients d'Okta. Il fait suite à une attaque similaire survenue en 2022, au cours de laquelle Okta a reconnu que des pirates avaient volé le code source lié à l'intrusion d'un tiers dans son réseau.

Les incidents de ce type mettent en évidence la vulnérabilité des points de défaillance uniques pour les organisations. Dans ce cas, les solutions de gestion des identités et des accès (IAM) sont au cœur de la plupart des interactions entre les employés et les systèmes, et servent de passerelles vers les systèmes et les données les plus sensibles. Comme dans le cas des violations de Casino mentionnées ci-dessus, les organisations devraient examiner de manière concertée leurs autorisations de tiers et leurs niveaux d'accès privilégiés.

5 leçons tirées des pires incidents de cybersécurité impliquant des tiers en 2023

Rejoignez Dave Shackleford de Voodoo Security qui examine les incidents de sécurité de tiers les plus impactants de 2023 et partage des conseils pour prioriser votre stratégie de programme TPRM de 2024.

#4 Police métropolitaine

Les violations de données et les incidents de sécurité dont sont victimes les organismes chargés de l'application de la loi ne sont jamais une bonne nouvelle. Cette année, la police métropolitaine de Londres a été victime d'une violation de données à la suite d'une attaque par ransomware contre un fournisseur de technologies de l'information, Digital ID. Les informations compromises comprenaient une série de données sensibles, notamment les noms des officiers et du personnel, des photos, des grades, des niveaux de vérification et des numéros d'identification.

Pour être plus proactif face à des attaques similaires, vous devez d'abord savoir qui détient vos données personnelles et suivre de près ces fournisseurs - notamment par une surveillance continue des menaces et l'observation des signaux cyber afin d'identifier les preuves de la mise en vente de données compromises sur le dark web. Il faut également tenir compte de la sensibilité des données et des relations avec les fournisseurs. Tout fournisseur impliqué dans l'IAM devrait être une catégorie de risque de niveau 1 à surveiller.

#5 Henry Schein

Le fabricant et distributeur de dispositifs médicaux Henry Schein a vu ses activités perturbées en octobre par une attaque de ransomware orchestrée par ALPHV (BlackCat). En novembre, l'entreprise a annoncé une nouvelle attaque. À l'heure où nous écrivons ces lignes, l'accès à des données sensibles n'a pas été confirmé dans ce deuxième scénario. L'incident d'octobre a touché un large éventail de cabinets dentaires, médicaux et de santé animale dans de nombreux pays, et a réduit leur capacité à effectuer du commerce électronique de 75 %.

4 étapes pour être plus proactif en cas d'incidents de cybersécurité impliquant des tiers

S'il y a une chose que les cinq principales brèches de 2023 nous ont apprise, c'est qu'il faut garder une longueur d'avance sur les attaquants. Outre les améliorations de sécurité plus fonctionnelles que j'ai notées dans les exemples de brèches ci-dessus, veillez à ce que votre programme de gestion des risques technologiques se concentre sur les activités suivantes en 2024.

  1. Établir une gouvernance et un alignement organisationnels. Commencez par un examen approfondi de votre équipe et/ou de vos processus d'approvisionnement. Établissez le processus de lancement des examens des fournisseurs, définissez et examinez les conditions contractuelles, identifiez les ressources disponibles en cas de violation ou de vulnérabilité causée par le produit d'un fournisseur, déterminez la fréquence des examens des fournisseurs après la signature du contrat et documentez les procédures d'examen par des tiers.

  2. Examiner régulièrement les tiers. Effectuer des évaluations des risques liés aux tiers à plusieurs moments du cycle de vie du fournisseur. Tout d'abord, dresser une liste des contrôles par rapport auxquels les tiers doivent démontrer leur conformité. Ensuite, déterminez la fréquence des examens de sécurité pour les besoins de conformité interne et réglementaire. Enfin, définir un processus de remédiation et d'arbitrage pour les tiers qui ne satisfont pas aux exigences de sécurité.

  3. Exiger des déclarations sur la sécurité des logiciels (par exemple, un SBOM, un rapport SOC 2 ou une certification ISO) comme base de référence. Être prêt à évaluer la capacité du développeur/fournisseur à résoudre tout problème découvert à l'avenir et obtenir l'accès aux "images d'or" des fabricants comme preuve de la sécurité du développement, de l'emballage et de l'expédition des logiciels.

  4. Exploiter les classements de risques. Utilisez les services technologiques qui proposent des évaluations ou des classements des risques des fournisseurs par rapport à d'autres organisations du secteur.

Prochaines étapes : Regarder le webinaire

Pour tirer d'autres enseignements des incidents de cybersécurité de tiers les plus marquants de l'année, regardez mon webinaire à la demande, "Lessons from the 5 Worst-Party Cybersecurity Incidents of 2023" (Enseignements tirés des 5 pires incidents de cybersécurité de tiers de 2023).

N'hésitez pas à contacter Prevalent pour organiser une démonstration de la façon dont ils peuvent aider votre organisation à renforcer votre programme de gestion des risques liés aux tiers.

Tags :
Partager :
Dave Shackleford
Dave Shackleford
Propriétaire et consultant principal, Voodoo Security

Dave Shackleford est propriétaire et consultant principal de Voodoo Security et membre du corps enseignant de l'IANS Research. Il a conseillé des centaines d'organisations dans les domaines de la sécurité, de la conformité réglementaire, de l'architecture et de l'ingénierie des réseaux. Il est un vExpert VMware et possède une grande expérience de la conception et de la configuration d'infrastructures virtualisées sécurisées. Dave est un analyste SANS, siège au conseil d'administration du SANS Technology Institute et participe à la direction du chapitre d'Atlanta de la Cloud Security Alliance.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo