Le 7 mai 2021, le FBI a été "informé d'une perturbation du réseau de Colonial Pipeline". Le public a appris plus tard, et le FBI a confirmé, que cette perturbation était due à une attaque de ransomware perpétrée par le gang russophone DarkSide ransomware, basé en Europe de l'Est.
Analyse de l'attaque par ransomware de 2021 Colonial Pipeline
Cette attaque a entraîné une interruption de la distribution du pétrole et une augmentation du prix du carburant sur une grande partie de la côte est des États-Unis. Il a été révélé par la suite que cette violation avait été rendue possible par la réutilisation d'un mot de passe sur un réseau privé virtuel (VPN) sans authentification multifactorielle. Cette perturbation a incité Censys à utiliser sa base de données Internet universelle et sa plateforme de gestion de la surface d'attaque (ASM) pour déterminer les risques et l'exposition des infrastructures critiques et des ressources clés (CIKR) au sein de l'industrie des oléoducs et des gazoducs du point de vue d'un attaquant externe. Censys a examiné non seulement Colonial Pipeline, mais aussi 10 autres grands oléoducs et gazoducs des États-Unis.
Rendez-vous au sommet Gartner sur la sécurité et la gestion des risques
En plus d'au moins 17 hôtes exposés à l'internet qui utilisaient encore des logiciels en fin de vie à l'époque, ainsi que 48 hôtes utilisant des protocoles non sécurisés, Censys a découvert plus de 300 invites de connexion exposées à l'internet sur des hôtes appartenant à ces entreprises, dont plus de 80 donnaient accès à des actifs qui contrôlaient potentiellement des opérations critiques, y compris des panneaux administratifs et des dispositifs SCADA.
Colonial Pipeline : Évaluation des risques un an plus tard
Un an plus tard, Censys a réévalué ces mêmes organisations à l'aide de notre plate-forme de gestion de la surface d'attaque pour voir si leur exposition à Internet s'était améliorée.
Aperçu n° 1 : Les surfaces d'attaque ont augmenté de manière significative dans toutes les organisations.
Bien que la surface d'attaque de chaque organisation n'ait pas augmenté, dans l'ensemble, Censys a évalué une augmentation de 232 % des hôtes accessibles au public et une augmentation de 66 % des services/protocoles non sécurisés s'exécutant sur le nombre total d'hôtes. Nous avons également observé une augmentation de 130 % des certificats expirés associés au groupe d'organisations que nous avons analysé. Les certificats expirés provoquent des avertissements sur les navigateurs web, ce qui peut entraîner une diminution du trafic des visiteurs ; un certificat expiré perd également le cryptage, ce qui ouvre les sites web à d'éventuelles attaques de l'homme du milieu, permettant aux attaquants d'intercepter les informations d'identification de l'utilisateur lors de la connexion au site web.
Il convient de noter qu'au cours de l'année écoulée, Censys a consacré des ressources considérables à la découverte d'un plus grand nombre d'hôtes en augmentant la couverture de notre balayage des ports et en étant en mesure d'identifier davantage de protocoles et de prendre l'empreinte de davantage de versions de logiciels. Ces améliorations pourraient expliquer pourquoi les surfaces d'attaque analysées semblent avoir augmenté. Toutefois, il convient de noter que si Censys a simplement été en mesure de découvrir davantage de surfaces d'attaque qui existaient déjà, les surfaces d'attaque sont généralement restées les mêmes ou ont augmenté. Quoi qu'il en soit, la principale conclusion est que les surfaces d'attaque ne sont pas statiques.
La surface d'attaque d'une organisation est susceptible de changer d'une semaine à l'autre, d'un jour à l'autre, voire d'une heure à l'autre. Cela est d'autant plus vrai que de plus en plus de secteurs de l'entreprise, tels que le marketing et les ressources humaines, sont en mesure d'exploiter les ressources en nuage pour améliorer l'accès aux données. Au fur et à mesure que nos effectifs augmentent et diminuent, nous pouvons nous attendre à ce que nos surfaces d'attaque suivent le mouvement, ce qui souligne la nécessité d'une couverture étendue aussi proche que possible du temps réel.
Aperçu n° 2 : Colonial Pipeline semble avoir pris des mesures efficaces pour réduire sa surface d'attaque.
Non seulement Colonial Pipeline a apparemment rationalisé ses opérations numériques en réduisant sa surface d'attaque globale, mais elle a également réalisé des progrès significatifs en réduisant le nombre d'hôtes utilisant des logiciels vulnérables en fin de vie, en réduisant le nombre de certificats utilisant des algorithmes de chiffrement faibles et, surtout, en éliminant à zéro les connexions publiques permettant d'accéder à d'éventuels actifs critiques.
Ces améliorations semblent résulter du fait que les dirigeants de Colonial Pipeline ont tiré les leçons des erreurs qui ont conduit à l'attaque par ransomware et qu'ils ont donné la priorité à la sécurité numérique, en comprenant que l'exposition numérique publique constitue un multiplicateur d'attaque pour les acteurs de la menace. Ces derniers peuvent affecter l'ensemble des opérations d'une organisation par le biais d'un seul vecteur d'attaque vulnérable. La nomination d'un RSSI par Colonial Pipeline en février 2022 témoigne de l'importance accordée à la sécurité numérique.
Insight #3 : Sur les 10 autres organisations observées par Censys , une seule dispose d'un CISO à temps plein.
En outre, l'organisation qui présentait le moins de risques au moment où Censys a publié le rapport initial, présente aujourd'hui les risques les plus observables de tout le groupe - cette organisation n'a pas de RSSI. Beaucoup s'attendaient à ce que, à l'instar de la tendance au renforcement de la sécurité dans le secteur financier au cours des deux dernières décennies, une brèche importante dans l'industrie des oléoducs et gazoducs motive d'autres organisations à donner la priorité à la sécurité et à réduire les surfaces d'attaque afin de minimiser les risques d'une cyberattaque perturbatrice. Cela ne semble pas être le cas.
S'il est difficile d'établir une corrélation directe entre l'augmentation des surfaces d'attaque et des risques et l'absence d'un RSSI, il est clair que les surfaces d'attaque évoluent avec le temps. Et en raison de l'augmentation du nombre d'appareils, non seulement pour le personnel, mais aussi pour la technologie opérationnelle qui aide à surveiller et à contrôler les infrastructures critiques, on peut affirmer sans risque que les surfaces d'attaque augmentent.
La priorisation de la sécurité pour une organisation et la compréhension de l'étendue de sa surface d'attaque requièrent un poste dédié à plein temps, comme celui d'un RSSI, avec l'autorité nécessaire pour prendre des décisions techniques. Mais il n'est pas possible de comprendre la surface d'attaque d'une organisation entière sur une base quotidienne ou horaire sans une plateforme de gestion de la surface d'attaque qui scanne non seulement les actifs connus, mais découvre également les nouveaux actifs numériques qui entrent en ligne à tout moment et fait apparaître les risques connexes pour y remédier.
Des attaquants à l'autre bout du monde automatisent la reconnaissance - Les RSSI chargés des infrastructures critiques doivent s'appuyer sur des outils qui multiplient les effectifs, comme les plateformes de gestion de la surface d'attaque, pour connaître les risques avant les adversaires afin d'éviter de futures attaques catastrophiques contre les infrastructures critiques.
Vous avez des questions sur la gestion de la surface d'attaque ?
Appelez-nous
Parmi les autres contributeurs à ce blog figurent Tyler Crabtree, responsable des comptes techniques, et Kaz Greene, responsable du marketing produit, sur le site Censys .