kirk.roundhouse a écrit :
Et paradoxalement, tu as moins de risque sur un user qui se fait piéger par un malware à l'extérieur de ton SI, qu'à l'intérieur de ton SI :
Un comportement anormal du poste de travail sera détecté sans accès au réseau interne de la boite.

C'est justement ce que j'explique : pour peu que le PC à la maison soit configuré n'importe comment, le comportement anormal ne sera même pas détecté. Et maintenant tu te retrouves avec un keylogger qui intercepte les logins/passwords personnels et professionnels et/ou un virus qui a un accès direct au VPN si celui-ci est actif.

Un coup ce sont des hack développés par des pros qui touchent les boites, maintenant tu reparles de scripts kiddies achetés sur le darknet qui touchent des entreprises.
Ton discours n'est pas cohérent.

CBL a écrit :

kirk.roundhouse a écrit :
Et paradoxalement, tu as moins de risque sur un user qui se fait piéger par un malware à l'extérieur de ton SI, qu'à l'intérieur de ton SI :
Un comportement anormal du poste de travail sera détecté sans accès au réseau interne de la boite.

C'est justement ce que j'explique : pour peu que le PC à la maison soit configuré n'importe comment, le comportement anormal ne sera même pas détecté. Et maintenant tu te retrouves avec un keylogger qui intercepte les logins/passwords personnels et professionnels.

NON NON. C'EST PAREIL IL DIT LE MONSIEUR.

kirk.roundhouse a écrit :
Un coup ce sont des hack développés par des pros qui touchent les boites, maintenant tu reparles de scripts kiddies achetés sur le darknet qui touchent des entreprises.
Ton discours n'est pas cohérent.

Dans le cas des malwares qui marchent avec le télétravail c'est des acteurs plus serieux.
Pour les keylogger/exploit c'est le pc de monsieur michou qui a visité xxx-panda.ru a 2h du mat vpn déconnecté et qui vient de se prendre un bon payload par chrome, ou même encore plus simple monsieur michou a installé une extension vereuse pour son browser. Monsieur michou retappera son login/pass demain matin en repartant au télétravail. Et a partir de là c'est super facile de se déplacer dans le reseau avec du SE.

D'après ses mails, monsieur Michou n'a pas très bonne mémoire et il doit souvent demander de l'aide au sysadmin de l'entreprise avec un ticket pour son nouveau mot de passe du mois afin acceder a certaines parties de l'infrastructure, M-o-n-s-i-e-u-r M-i-c-h-o-u- <kevin64> va donc demander le nouveau mot de passe... La suite ? Ahaha.

Difficile a comprendre hein.

kirk.roundhouse a écrit :
Un coup ce sont des hack développés par des pros qui touchent les boites, maintenant tu reparles de scripts kiddies achetés sur le darknet qui touchent des entreprises..

Les virus qu'on choppe sur le net ne visent personne en particulier. La plupart du temps ils ne touchent que des particuliers mais de temps en temps le particulier en question bosse chez CD Projekt ce que les attaquants apprennent en regardant les logs des données envoyées. Ca donne une base de travail pour un piratage d'envergure. Les pirates vont par exemple utiliser l'email pro du particulier en question pour spammer ses collègues de liens de phishing afin de contaminer plus de postes jusqu'au moment où ils tombent sur un gros poisson, un admin ou un développeur qui a des accès plus importants que la moyenne.

Et comme tout ce petit monde bosse de chez eux, les admins réseaux ne sont prévenus que bien trop tard. Tu auras peut être un type bienveillant qui dira "Hey on reçoit pas mal de phishing ces derniers temps" mais ça va s'arrêter là.

Voilà. Donc le sujet de départ c'était "oui mais ça c'est pareil que tu sois au taf ou chez toi"... sauf que ça peut démarrer par un reseau a domicile mal sécurisé, ou des mauvaises habitudes de surf, ou le pas de bol de l'extension vérolée, ou simplement le routeur pas mis a jour depuis 2004 avec 2 botnet qui se tirent dessus pour le controle et ou le mitm est la norme.

Bref.
TOUS LES VECTEURS sont a prendre en compte et OUI le télétravail augmente les risques, parce que tu controles pas un reseau privé comme un réseau d'entreprise.

Merci CBL.

Tous les vecteurs yep : https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

Khdot a écrit :
Tous les vecteurs yep : https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610

Oui celui là a fait grand bruit. Les dépendances avec codebase enorme et utilisées dans tous projets... ça fait mal.
{EDIT} J'ai survolé et je crois pas que ce soit ce que j'avais en tête, mais le prb est le même, externaliser son code c'est... dangereux.

Ca ne se passe pas vraiment comme ça.
Une infection au hasard sur le net n'a pas pour but une attaque de plus grande envergure, ou une entreprise. Ca c'est fait pour alimenter les botnets et fermes de cryptomining, et à la limite pour poser un ransomware chez un particulier avec un peu de déplacement latéral sur le réseau local. Mais ça s'arrête là.
Penser que par la suite, les cyber attaquants vont éplucher des millions de logs pour trouver des informations intéressantes parmi leurs centaines de milliers de postes infectés, c'est un peu de la SF. Ils pourraient s'équiper d'analyseurs de logs type splunk, mais recevoir autant de logs à analyser d'autant de machine différentes revient à s'auto DDoSer.
Bref, ce scénario c'est de la SF, et le cout/revient pour un hackeur n'est pas intéressant.

L'infection qui touche une entreprise, passe effectivement pas la récupération de mails pro à l'origine. Mais ces mails sont récupérés dans des banques de DCP achetées pour une bouché de pain sur le darknet.
Ces mails servent ensuite pour effectuer du phishing vers des cibles pros sélectionnées à l'avance -> c'est le premier vecteur d'infection.
Il arrive ensuite que monsieur Michu ouvre la pièce jointe vérolée, ou clique sur le lien xxx-panda.ru. Le fait qu'il soit chez lui, ou au travail n'augmente pas la probabilité du risque, mais a une influence sur l'impact du risque :
- connecté au réseau de la boite en local : risque majeur
- connecté en VPN (moins de surface d'attaque selon les segmentations réseau en place) risque élevé
- pas connecté mais en local à la maison : risque mineur

Il est à noter que les postures de sécurité sur un PC pro à la maison ou au boulot ne changent pas. C'est le même antivirus, le même HIPS, le même EDR, etc.
Les équipements de sécurité dans la boite sont faits essentiellement pour éviter une attaque externe, ou une propagation interne dans des réseau/vlans différents. Mais si cela permettra peut être de détecter l'attaque, cela n'empêchera pas la propagation de proximité.

Le pc pro de monsieur Michu est infecté, et là plusieurs scénarios peuvent se présenter si bien sur les mesures de sécurité ne peuvent l'empêcher :
- le ransomware bien bourrin qui va se propager en exploitant une ou plusieurs vulnérabilités sur le réseau comme un gros bourrin
- le ransomware va exfiltrer de la donnée au hasard sur les postes avant de tout chiffrer comme un gros bourrin
- le malware va ouvrir une backdoor depuis le poste au travers du proxy de la boite pour faire du command & control et permettre de faire encore plus de choses

Ca se passe toujours comme ça depuis 2017. C'est le mode d'attaque du moment et qui fonctionne, après le DDoS qui a eu son heure de gloire précédemment. Le COVID n'a rien à voir avec tout ça, ni le télétravail.
Peut être que dans 2 ou 3 ans cela changera.

De la théorie. Dans la pratique la moitié des équippements de protection sont pas implémentés (ou incorrectement et pas maintenus) et les entreprises réalisent leur nécessité qu'après que l'attaque soit passée.

Bref, non pas besoin que ça change c'est déjà comme ça que ça marche, que tu le vois pas a ton poste ne change rien a la réalité dans sa globalité. Attention, je remet pas en question ton point sur le premier vecteur. Mais je fais pas l'erreur de négliger les surfaces d'attaque inférieures.


je note aussi ça
"Il arrive ensuite que monsieur Michu ouvre la pièce jointe vérolée, ou clique sur le lien xxx-panda.ru. Le fait qu'il soit chez lui, ou au travail n'augmente pas la probabilité du risque, mais a une influence sur l'impact du risque : "

Tu prends le truc de travers, techniquement si t'as bien fait ton travail de sysop il peut pas visiter xxx-panda. C'est LA différence entre le télétravail et le travail onsite.

Je ne dis pas que les autres vecteurs d'attaque n'existent pas.
Je dis juste que c'est la rareté. La pépite qui fait cas d'école. Comme Solarwinds.

"Tu prends le truc de travers, techniquement si t'as bien fait ton travail de sysop il peut pas visiter xxx-panda. C'est LA différence entre le télétravail et le travail onsite."
Si tu as bien fait ton travail de sysop, les IoCs sont distribués en local sur l'AV/HIPS du poste.

kirk.roundhouse a écrit :
Je ne dis pas que les autres vecteurs d'attaque n'existent pas.
Je dis juste que c'est la rareté. La pépite qui fait cas d'école. Comme Solarwinds.

Tout le monde prend les APT comme les seuls sur ce creneau... y'a des petites bandes organisées avec des petits génies qui font très mal sans avoir l'importance ni le financement d'un APT. Ça existe, et ça se trouve dans tous les pays, et quand ils s'en prennent a une bonne cible (parce que le risque est important et ça n'a pas grand intérêt de lacher ses tools pour du petit poisson), ils font très mal. Et ils sont pas si rares qu'on le pense. T'as qu'a demander a droite a gauche le nombre d'attaques des boites comme Bouygues évitent dans un mois.

BeatKitano a écrit :

kirk.roundhouse a écrit :
T'as qu'a demander a droite a gauche le nombre d'attaques des boites comme Bouygues évitent dans un mois.

Pas besoin, j'y étais y a pas si longtemps.

kirk.roundhouse a écrit :
Je ne dis pas que les autres vecteurs d'attaque n'existent pas.
Je dis juste que c'est la rareté. La pépite qui fait cas d'école. Comme Solarwinds.

"Tu prends le truc de travers, techniquement si t'as bien fait ton travail de sysop il peut pas visiter xxx-panda. C'est LA différence entre le télétravail et le travail onsite."
Si tu as bien fait ton travail de sysop, les IoCs sont distribués en local sur l'AV/HIPS du poste.

Et on en rejoint ce que je dis: théorie vs pratique. On voit bien qui fait un taf fixe et qui fait du pentesting :/
C'est peut-être ça en fait: t'as fait que de la grosse boite qui se donne les moyens d'avoir un OP beton. Les PME c'est une toute autre histoire. Et même les grosses boites se découvrent un trou du cul de temps a autres.

Ce n'est pas de la théorie, ce sont des stats.
Et si aujourd'hui je travaille essentiellement pour des grands comptes, j'ai travaillé plus de 10 ans dans des MSSP SOC, 5 ans dans le penstest, et pour des structures diverses, avant d'aller vers la gestion du risque.

C'est les mêmes à l'hopital de Dax ?
Pour travailler souvent dans les hopitaux, ils sont des cibles fréquentes d'attaques informatiques.

Après coup, ils ont encrypté les données et ont posté une demande de rançon.

On dit chiffrer! :)

channie a écrit :

Après coup, ils ont encrypté les données et ont posté une demande de rançon.

On dit chiffrer! :)

Merci !!!

Sinon les derniers gros hacks de société c'est aussi bêtement le routeur Cisco pas mis à jour malheureusement, pas forcément besoin d'une Josiane à la compta...

Hahaha je corrige. Je crois que ça fait deux fois que je me fais reprendre sur celui-là.

Si jamais https://chiffrer.info/

Moui, alors le site qui prend pour référence le dictionnaire de l'Académie Française dans son argumentaire, c'est franchement bête. Ce dictionnaire ne reconnaît pas grand-chose et ne sert pas à grand-chose non plus.