Harden your security configuration and limit lateral movement
Renforcement de votre configuration de sécurité et limitation des mouvements latéraux
Afin de limiter l'impact d'une compromission, séparez les groupes d'administration et limitez leur champ d’action. Cela peut être réalisé en utilisant des modèles tier Active Directory (AD) ou le modèle d'accès entreprise de Microsoft. Utilisez des comptes de service dédiés en combinaison avec le principe du moindre privilège pour limiter l'impact de l’éventuelle compromission d'un compte.
Pour sécuriser davantage vos comptes d'administrateur de domaine, assurez-vous qu'ils sont:
Réduits au minimum (Nous recommandons d’en créer moins de 5).
Utilisés UNIQUEMENT pour se connecter aux contrôleurs de domaine.
Non autorisés à se connecter à internet.
Configurés avec des mots de passe uniques, aléatoires, longs et complexes.
Utilisés pour se connecter à distance uniquement en cas d'urgence (en utilisant un-VPN avec MFA).
Surveillés, avec des alertes en place.
D'autres bonnes pratiques de renforcement de la sécurité sont décrites ici.
Il n'y a pas un seul contrôle ou outil qui pourrait complètement protéger votre organisation contre une attaque cyber. En utilisant une approche multicouche pour identifier et résoudre les vulnérabilités à tous les niveaux, votre système et vos actifs seront bien mieux protégés.
Une grande organisation de santé comprenant 150 hôpitaux et cliniques a été victime d'une infiltration de système. Le cybercriminel est entré dans le réseau grâce à un seul compte utilisateur compromis dans une clinique. Il n'y avait pas de filtrage du réseau entre les sites donc il s'est rapidement déplacé latéralement à l’intérieur du réseau pour atteindre le datacenter.
Ensuite il a pu se diriger vers les réseaux d'autres cliniques, volant des données sensibles. Une fois que l'incident a été découvert, notre client a coupé toutes les connexions réseau, isolant tous les sites ; sans seuil minimum des flux réseau acceptables, il était impossible d'identifier rapidement le trafic malveillant sans arrêter tout le système.
Deux fournisseurs spécialisés ont été engagés pour enquêter et ouvrir chaque flux réseau à son tour. La résolution a pris plusieurs semaines, avec des conséquences importantes en termes d'interruption d’activité.
Les données présentées dans ce Snapshot sont issues d’incidents cybers signalés à Beazley entre le premier trimestre de 2021 et le deuxième trimestre de 2023.
Il n'y a pas un seul contrôle ou outil qui pourrait complètement protéger votre organisation contre une attaque cyber. En utilisant une approche multicouche pour identifier et résoudre les vulnérabilités à tous les niveaux, votre système et vos actifs seront bien mieux protégés.
