Comment vous protéger contre les menaces persistantes avancées (APT) afin d’éviter les incidents tels que l’attaque de Microsoft Exchange
Les menaces persistantes avancées (APT) ont des conséquences plus graves que les cyberattaques classiques. Cela est dû au fait que, d’une part, leurs auteurs y consacrent plus de temps et d’efforts (ils bénéficient souvent du soutien d’organisations gouvernementales) et que, d’autre part, les victimes ont aussi une plus grande notoriété. La Maison-Blanche, l’Union européenne et l’OTAN ont accusé ouvertement le gouvernement chinois d’être à l’origine de plusieurs cyberattaques présentant ces caractéristiques et, en particulier, de la menace dont Microsoft Exchange a été victime il y a environ un an.
On estime que plus de 250 000 serveurs Exchange dans le monde ont été compromis lors de cette attaque massive et que les pirates informatiques ont eu accès à environ 30 000 entreprises rien qu’aux États-Unis. L’incident, qui a touché le service de Microsoft, exploite une vulnérabilité semblable à la vulnérabilité ProxyLogon. Cette vulnérabilité permet au pirate informatique de se connecter au système en tant qu’administrateur et d’avoir accès aux emails. Hafnium, un groupe de pirates informatiques financé par les autorités chinoises, a été pointé du doigt dans cette affaire.
Les dangers afférents aux menaces persistantes avancées (APT)
Lors de cet incident, les pirates informatiques ont exploité une vulnérabilité Zero Day présente dans Exchange ; mais surtout, ils ont mis en évidence les dangers afférents aux attaques par menaces persistantes avancées (APT) qui, compte tenu des efforts qu’elles impliquent, sont souvent financées par des organisations gouvernementales.
Dans le cas du piratage d’Exchange, la Maison-Blanche a rapidement réagi en affirmant que cette action a été financée et soutenue par le gouvernement chinois. « Le ministère de la Sécurité de l’État de la République populaire de Chine fait régulièrement appel à des pirates informatiques pour mener des actions à l’échelle mondiale en toute impunité », a affirmé le gouvernement américain dans un communiqué officiel. Le gouvernement Biden n’est pas le seul à pointer du doigt la Chine : l’Union européenne a elle aussi accusé la République populaire de Chine, l’exhortant à prendre des mesures immédiates pour endiguer cette cyber activité malveillante.
Comment les entreprises peuvent-elles se protéger contre ce type de menace ?
Les MSP doivent savoir que ce type de cyber activité malveillante peut aussi viser les entreprises. Il est donc essentiel qu’ils adoptent des mesures de protection pour leurs clients. En cas d’attaque de cette nature, une protection proactive des postes de travail s’avère primordiale. Il est capital de détecter et de neutraliser la menace avant qu’il ne soit trop tard et cela est possible grâce à des solutions spécifiques telles qu’APT Blocker de WatchGuard. Cette solution utilise une sandbox isolée dans le Cloud qui analyse tous les types d’exécutables et de documents en simulant le comportement du matériel physique, de sorte qu’une attaque de ransomware ou les menaces de type « Zero Day » puissent être neutralisées en toute sécurité.
La protection contre les menaces persistantes avancées (APT) est renforcée par des solutions telles que WatchGuard EPDR, qui assurent la protection des postes de travail contre les cyberattaques de nouvelle génération. Cette solution de sécurité complète utilise une stratégie Zero Trust et la service intégré Threat Hunting, ce qui minimise le risque de cyberattaque. En adoptant l’approche Zero Trust, toute application et tout binaire sont systématiquement analysés, minimisant ainsi les chances de réussite des pirates informatiques. Associée au service Threat Hunting, qui repose sur un ensemble de règles de recherche des menaces établi par des experts en la matière, elle permet à la solution de cybersécurité d’analyser les modèles de comportement anormaux afin que les clients puissent réduire les temps de réponse et créer de nouvelles règles pour protéger les postes de travail.