dimanche, 2 octobre 2022

La prochaine cyberattaque Blitzkrieg – et comment y survivre

  • Trois gouvernements nationaux – en dehors de l’Ukraine – ont en fait été paralysés par des cyberattaques en 2022 jusqu’à présent.
  • La nature des attaques évolue, passant de campagnes uniques à des mois d’attaques constantes.
  • Les entreprises, en particulier les entreprises au niveau de l’entreprise, sont utilisées comme cibles proxy dans les attaques nationales.

La majorité des analystes de la cybersécurité en Occident comprennent la façon dont les cyberattaquants ont fonctionné auparavant : des simples cyberattaques DDOS de logiciels malveillants aux fraudes par e-mail, en passant par les ransomwares et hameçonnage. Quelques-uns comprennent la corrélation entre la géopolitique mondiale et l’augmentation des gangs inconditionnels de cyberattaquants, pour aider à faire avancer les causes tout en nuisant à la fois aux gouvernements fédéraux et aux opérateurs industriels.

Cependant, quelques gouvernements ou entreprises ont pressenti – ou ont commencé à s’y préparer efficacement – un éventuel blitzkrieg d’attaques par les cyber-armées qui combattent actuellement le différend entre la Russie et l’Ukraine.

L’invasion de l’Ukraine devient « un tsunami de cyberattaques »

Pour avoir une idée réelle de l’ampleur de ce qui semble inévitablement arriver, nous avons rencontré Sergey Shykevich, Threat Intelligence Group Manager chez Check Point Research Study.

THQ :

Avec l’intrusion russe en Ukraine, nous avons en fait assisté à une augmentation spectaculaire des cyberattaques contre le gouvernement et l’armée infrastructures, et nous avons vu pour la toute première fois des attaques cybernétiques et réelles coordonnées en temps de guerre. Comment cela change-t-il la nature de la guerre à l’avenir ?

La nature changeante de la guerre

SS :

Nous sommes déjà commencent à voir des répercussions, mais il y a d’autres attaques qui méritent d’être évoquées, en plus de l’Ukraine-Russie elle-même. Je pense que cela a commencé avec ce que nous avons vu au Costa Rica. Ransomware Group Conti, qui est affilié au gouvernement russe et a commencé à soutenir la Russie dans la guerre en Ukraine, vient d’attaquer le Costa Rica en avril et mai. Et nous avons qualifié cette attaque d’extorsion de pays. Et le groupe a chiffré 27 entreprises gouvernementales au Costa Rica. C’est une énorme attaque qui a couvert tout le Costa Rica pendant environ un mois. Et ce n’était pas « seulement » une attaque contre le système – il comprenait également de nombreux messages pro-russes et des appels au peuple du Costa Rica pour qu’il descende dans la rue et se lève contre son gouvernement fédéral, et qu’il ait besoin que le gouvernement américain aide le Cota Rica dans un tel soulèvement.

Mais il y a deux exemples qui sont beaucoup plus flagrants. Prenons le cas de l’Albanie. Maintenant, l’Albanie est membre de l’OTAN, ce qui est important, car le Costa Rica est un pays démilitarisé, donc ce n’est absolument rien d’unique du point de vue de la défense. Le fait que l’Albanie soit membre de l’OTAN implique qu’il y a des répercussions en vertu de la clause V. Si vous attaquez un membre de l’OTAN avec une puissance militaire standard, toute l’OTAN s’engage à se placer derrière le pays membre et à le défendre exactement de la même manière.

Depuis juillet, l’Albanie subit des cyberattaques extrêmes de la part de l’Iran. L’Iran n’a jamais pris ses fonctions officielles, mais ce sont des groupes hacktivistes qui sont étroitement liés à l’Iran, et l’Albanie et les ont déclaré que les attaques provenaient d’Iran. Ce furent deux mois d’attaques sévères qui immobilisèrent le gouvernement fédéral albanais. Et le week-end dernier, il y a eu une deuxième semaine de cyberattaques, qui ont cette fois paralysé le contrôle des frontières albanaises. Et pourquoi tout cela s’est produit depuis que l’Albanie a fourni un refuge à certains réfugiés iraniens.

Conti, basé en Russie, a généré 77 millions de dollars en 21 mois grâce aux rançongiciels

Ce sont donc des exemples clairs de ce qui a changé sur la nature de la guerre étant donné que l’invasion russe de l’Ukraine a commencé. Les pays et les gouvernements ont compris que c’était une autre arme dans leur boîte à outils – et dans le cas de l’Albanie, c’est un peu plus. Si l’Iran avait attaqué l’Albanie avec une force militaire standard, il aurait fallu que l’OTAN invoque la disposition V et envoie un soutien militaire à un membre de l’OTAN qui était attaqué par une autre armée. Parce qu’il s’agissait « juste » d’une cyberattaque, il y a eu beaucoup de condamnations, mais absolument rien d’agressif – absolument rien de tel que la force de la disposition V – n’a eu lieu contre l’Iran.

L’échec du droit international

THQ :

Donc, les cyberattaques sont un domaine où les lignes directrices reconnues de la géopolitique internationale ne s’appliquent pas encore ?

SS :

Oui. Et je crois que c’est pourquoi la Russie – et aussi l’Ukraine – se sentent extrêmement libres de courir dans le monde en ligne. La Russie est actuellement expérimentée dans le hacktivisme, mais aussi, l’Ukraine a engagé des pirates du monde entier pour attaquer la Russie. Ce genre de chose – le recrutement d’une « cyber-armée » mondiale pour attaquer un autre gouvernement – ne s’est jamais produit auparavant, et cela se produit maintenant car il n’y a pas de règles claires sur ce qui se passe dans le cyberespace.

Et après ça, il y a ce qui s’est passé au Monténégro.

THQ :
Attendez, attendez– que s’est passé au Monténégro ?

SS :

Le Monténégro est un autre membre de l’OTAN. Cet été, il a été attaqué par un ransomware – comparable au Costa Rica, mais cette fois par un groupe appelé Cuba. Encore une fois, c’est un groupe affilié à la Russie, ce n’est pas le gouvernement russe, mais un grand groupe russe de cybercriminalité. Dans ce cas, le gouvernement fédéral monténégrin a officiellement déclaré que le gouvernement fédéral russe était derrière l’attaque.

THQ :

Quelque chose est signalé par tout cela. L’Occident en tant qu’entité et les gouvernements occidentaux individuellement ne semblent pas avoir vraiment apprécié le changement qui s’est produit dans la portée de la cyberguerre. Est-ce quelque chose que nous pensons qu’ils vont bientôt faire ?

Le gouvernement américain emploie des géants de la technologie dans la lutte contre la cybercriminalité

SS :
Oui, cette année, je crois que cela va commencer à se produire. Je crois que cela a commencé, mais ils n’y sont pas complètement. Il y a certainement des lacunes technologiques qui doivent compléter la capacité de l’Occident à répondre à ce type d’attaque, et il y a beaucoup de gouvernements fédéraux et d’entreprises dans l’Ouest qui ne sont pas encore complètement préparés, certainement. Encore une fois, il convient de rappeler que les gouvernements fédéraux de trois pays ont été immobilisés par des cyberattaques. Cette année.

Il est important que nous soulignions le point que vous avez soulevé. La législation internationale est incroyablement loin de ce qu’elle doit être à ce sujet. Le scénario avec les gouvernements est qu’il y en a beaucoup qui sont loin de là où ils doivent être. Mais la situation avec la législation mondiale est bien, bien pire encore.

Et je pense qu’une partie du facteur à cela est que certains joueurs de l’environnement et de l’industrie cybernétiques ne veulent tout simplement pas des directives. Ils choisissent de ne pas avoir de communauté juridique mondiale dans le monde en ligne.

Cibles par procuration

THQ :

Où est le gros danger ici ? Dans les futures cyberattaques contre les pays de l’OTAN et leurs installations ? Ou dans des attaques contre des personnes morales ?

SS :

C’est les deux. Ce que nous constatons, c’est que lorsqu’un groupe choisit de s’en prendre à une nation, souvent, il ne fait pas la distinction entre ses installations gouvernementales et militaires et ses énormes entités corporatives. Je veux dire, rien que le mois dernier, des groupes pro-russes ont attaqué 27 pays en dehors de l’Ukraine. Et une grande partie de leurs attaques ne visent pas le gouvernement fédéral ou des cibles militaires. Disons que nous attaquons l’Estonie ou que nous attaquons le Japon. Le mois dernier, l’un des groupes a lancé une grande attaque contre le Japon. Et oui, il prévoyait des attaques contre les installations gouvernementales du Japon – mais il a également attaqué la deuxième plus grande plate-forme de réseaux sociaux au Japon, et ils ont essayé d’attaquer des ports au Japon. Lorsqu’ils ont attaqué l’Estonie, ils ont choisi les énormes banques, ce qui est une méthode fiable pour paralyser une nation sans techniquement s’approcher de son gouvernement ou de son armée. Oui– ils ne font plus la différence. Toute entreprise liée à une nation peut être attaquée dans le cadre d’une attaque plus large contre cette nation.

THQ :

Ainsi, les entreprises finissent par être la cible de proxy ?

SS :

Exactement, oui.

Ce que l’entreprise devrait faire

THQ :
Cela étant, existe-t-il un ordre du jour des choses que les entreprises devraient s’atteler à préparer aujourd’hui ?

SS :

Oh oui– mais il ne s’agit même pas de se préparer pour « quand ils seront une cible ». Ils sont une cible. À présent. Tous ceux qui possèdent des biens sur le Web – et la plupart des entreprises ont aujourd’hui des propriétés sur le Web, c’est ainsi que le monde fonctionne – sont une cible.

La première chose que chaque entreprise doit faire est de regardez comment ils construisent leur stratégie holistique d’évitement des cyberattaques. Quelle technique nécessite de couvrir tous les actifs dont ils disposent, et tous les supports qu’ils utilisent pour les détenir. En raison du fait qu’il y a un sentiment que jusqu’à quelques années plus tôt, les entreprises disaient « Nous avons notre réseau, et si nous sécurisons ce réseau, tout ira bien. »

Cependant étant donné que Covid -19, cela a changé, car beaucoup plus de nos possessions sont dans les nuages ​​ou sur des machines distantes, et le personnel a accès aux réseaux d’entreprise via des téléphones mobiles de base. Les entreprises ont donc besoin de comprendre quels actifs elles possèdent et comment ils sont connectés, et un travail approfondi doit être fait sur la façon de protéger tous ces actifs.

Deuxièmement, il y a l’éducation. Vous ne pouvez pas commencer à dire à votre peuple quoi faire et quoi ne pas faire quand la guerre commence, pour ainsi dire. Si vous agissez juste au moment où les événements commencent à arriver, vous arriverez bien trop tard. Les individus doivent comprendre les dangers chaque trimestre. Sur une base mensuelle. Même tous les jours. Vous n’êtes pas là pour effrayer les gens, mais pour les informer sur les vérités d’une situation qui s’en vient.

Et la 3ème chose est de construire des plans de guérison des catastrophes. Comprenez ce que vous pouvez faire si le pire se produit.

L’important est que les RSSI et les technologues comprennent probablement la menace. Persuader le conseil d’administration de dépenser ce qui est, avouons-le, une énorme somme d’argent avant un incident est incroyablement difficile. Comme nous l’avons dit, vous devez mettre tout cela en place avant qu’il n’y ait un événement, mais il est beaucoup plus facile de persuader un conseil de le faire une fois qu’il y a eu un événement.

THQ :

Catch-22.

Dans quelle mesure les informations sur les menaces multiplateformes seront-elles vitales pour faire de l’entreprise au lendemain de la guerre ? Est-ce que ce sera une chose qui devra finir par être absolument standard ?

La nature des futures attaques

SS :

Oh , je pense que ce sera crucial, oui, parce qu’actuellement il y a une séparation entre les personnes qui recherchent des informations sur les logiciels malveillants, et les personnes qui regardent la cyberstratégie et la géopolitique. Je pense qu’il deviendra plus nécessaire et plus répandu soit que ces 2 groupes se parlent de manière plus cohérente, soit que des groupes soient formés au sein d’une entreprise qui peut faire les deux, et produire des renseignements qui couvrent les deux domaines, et notifient davantage les choix de cybersécurité en toute confiance.

Ce sera un changement difficile, car il y a actuellement un manque de personnes bien informées qui peuvent offrir les deux côtés de la formule. Je pense que c’est essentiel pour constituer la toute nouvelle génération d’employés capables de faire les deux.

THQ :

Les attaques de cinquième génération ont été considérées comme quelque chose d’un événement nucléaire en termes de cyberattaque jusqu’à présent. Sommes-nous susceptibles de voir une augmentation considérable de ce niveau d’attaque une fois la guerre terminée ?

SS :

Je crois que ces attaques vont augmenter, oui, mais plus important encore, ils cesseront d’être des occasions uniques. Vous les considérez maintenant comme des événements nucléaires en raison du fait qu’ils n’ont normalement été que des attaques singulières, un jour, paralysantes pour les entreprises. Nous avons en fait vu ce qui s’en vient maintenant. Au Costa Rica, c’était un mois et demi de ces attaques.

THQ :
Comme une guerre éclair de cyberattaques de niveau nucléaire . Avec des entreprises comme mandataires d’attaques nationales.

Les temps changent. Et les entreprises doivent commencer à se préparer dès maintenant à une guerre imminente dans la cyber-arène, en particulier parce qu’il n’existe pas de législation mondiale qui traite des cyberattaques comme les attaques militaires, indépendamment du fait que, compte tenu de l’invasion de l’Ukraine, les cyberattaques sont considérablement utilisé pour immobiliser, déstabiliser et éventuellement ruiner des nations, en utilisant leurs principales entreprises comme pions par procuration pour diriger la déstabilisation.

Votre entreprise est-elle déjà prête ?

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici