Balazs Scheidler, CTO et co-fondateur de Balabit, fournisseur européen de solutions de sécurité contextuelle, livre son analyse sur ce vol de données et sur les solutions pour se prémunir de telles failles :

« Les employés sont de plus en plus mobiles, ce qui impose aux entreprises de fournir de nombreux accès à distance à leurs services informatiques internes. Les accès aux postes de travail virtuels, aux applications et même aux serveurs se font de manière interactive, à l’extérieur du périmètre du pare-feu de l’entreprise, via des protocoles tels que Microsoft Remote Desktop ou Citrix ICA. Ces canaux de communication permettent un accès direct et complet aux systèmes de l’entreprise, de n’importe où et à n’importe quel moment. Cela complique la tâche des équipes de sécurité qui ne peuvent clairement pas avoir une visibilité en continu sur ce qu’il se passe sur l’ensemble du réseau de l’entreprise. Bien sûr, les applications de collecte des événements peuvent fournir beaucoup d’informations importantes, mais le plus souvent, elles n’apportent pas un niveau de détails suffisant, ce qui les rend inefficaces face à des incidents de sécurité majeurs.

Et les accès à distance sont particulièrement problématiques lorsqu’ils incluent des comptes privilégiés. Les comptes « root » et « administrateurs » des systèmes serveurs permettent un accès sans contrainte à leur utilisateur, à toutes les données et applications fonctionnant sur les serveurs en question. Les utilisateurs de ces comptes ont donc tout à fait la capacité d’empêcher le fonctionnement des outils de collecte de logs, rendant ainsi les équipes de sécurité complètement aveugles en cas de failles de sécurité.

Dans le cas de l’Institution de santé ciblée par cette attaque, d’origine russe selon les informations disponibles, les cybercriminels ont lancé leur attaque en piratant un compte utilisateur classique, puis ont « escaladé les privilèges » sur le réseau pour devenir des utilisateurs privilégiés, ou super utilisateurs, bénéficiant de capacités d’action très importantes. Cela signifie que même si le compte piraté à l’origine était un compte ouvrant sur des accès classiques, les pirates peuvent facilement gagner de nouveaux privilèges dès lors qu’ils ont réussi à pénétrer le réseau.

Cette attaque présente un profil très similaire à l’attaque perpétrée contre le géant de la distribution américain Target, il y a deux ans. Les hackers avaient réussi à pénétrer le réseau de Target via un accès au système HVAC opéré par un prestataire tiers, dont les identifiants avaient donc été compromis.

Surveiller ce type de sessions à distance est clairement primordial pour obtenir une bonne visibilité et identifier les utilisations abusives. Aujourd’hui, les solutions de surveillance les plus abouties vont jusqu’à offrir l’enregistrement, comme le ferait une caméra, des sessions utilisateurs, avec des informations très poussées sur l’activité des utilisateurs : Tous les contenus apparus sur leur écran, les mouvements de leur souris, les clics et les frappes sur le clavier, etc. Tout cela sans nécessiter le déploiement d’agents sur le serveur et les postes de travail.

A partir du moment où les équipes de sécurité disposent d’une connaissance importante sur les activités quotidiennes des utilisateurs, il leur est possible d’appliquer de l’analyse comportementale pour trouver des informations intéressantes et pertinentes. Les équipes peuvent ainsi se concentrer sur les investigations aux endroits où un incident est réellement intervenu. L’analyse comportementale des utilisateurs permet cela en fournissant une liste détaillée et notée des sessions les plus suspectes.

Les accès à distance aux postes de travail, aux applications et données sont de plus en plus communs, il est donc réellement important de construire une sécurité adaptée à ces usages et de bien l’intégrer dans la stratégie globale de l’entreprise. Et cela afin d’éviter le type de failles dont a été victime cette nouvelle Institution de santé américaines ».