HomeVeille Sécurité

Veille Sécurité

Veille Sécurité

La sécurité réactive n’est pas suffisante. On ne peut pas rester assis, attendre que les attaques arrivent dans les journaux puis réagir selon comment.

—-

FIAHOST opère une veille technique centrée sur la sécurité. Nos sources d’information sont les suivantes :

 

Rapports du Dark Web :

Reçus quotidiennement, nous permettent de nous tenir au courant de l’ambiance et d’anticiper les tendances. Ces rapports contiennent des éléments qu’on peut immédiatement traduire en actions concrètes. Derniers exemples en date :

  • Un hébergeur de bots russes rajoute 300 adresses IP à son pool
  • Un groupe de cyber criminels a piraté le réseau d’une entreprise de distribution de viande au Sri Lanka en utilisant une faille datant de 2017 mais toujours non patché (CVE-2017-0144 Eternal Blue [wiki]). Le réseau sera utilisé pour attaquer d’autres cibles
  • Des criminels vendent sur des forums des ransomware avec un code signing valide
  • Des cubains vendent du RAAS (Ransomware en tant que service) et compromettent de nombreux réseaux en Australie
  • Apparition d’un nouvel hébergeur de contenu malveillant en Ukraine
  • Augmentation du PPI de malware (Pay per Install) ou des criminels payent des parties tierces par malware installé. C’est une manière pour certains de monétiser des jeux ou applications craquées. Chaque victime leur rapporte de l’argent dans le contexte d’un système d’affiliation. C’est pour cette raison que beaucoup d’acteurs partagent des logiciels et jeux dans les réseaux Peer to Peer afin d’avoir un maximum de personnes infectées. Chaque infection est indéfiée par un code d’affiliation unique permettant la rémunération.
  • Apparition de la CVE-2022-21661 qui permet des injections sur tous les WordPress des plus anciens (3.7.37) jusqu’aux plus récents (5.8.2). Des millions de sites affectés dans le monde. Score NIST 7.5. Aucune solution mis a part la mise à jour à la version 5.8.3+
 —

 

Abonnements TAXIIs :

Nos systèmes de web hosting sont directement intégrés aux flux Alienvault. Ils reçoivent des flux donnant des informations digérables par les serveurs. Ces flux contiennent des domaines qui distribuent du phishing, des IPs / domaines qui hébergent des bots… etc.

La notification ci-dessous est reçue par email, mais correspond également une définition électronique de type STIX qui va automatiquement sur les serveurs. Ceci leur permet de reconnaitre très tôt ce genre d’attaques.

 

Analyse de logs :

Nous avons des systèmes d’analyse et de corrélation des signaux faibles venant des logs des sites et des serveurs. Ce système est nourri constamment par les logs de nos machines mais pas seulement. Le système d’analyse compare les logs a des informations venant d’agences gouvernementales européennes et étrangères et des organismes de sécurité. Ceci nous prévient très tôt des attaques en cours ou constatées sur nos machines.

 

Exemple :

Un fournisseur de thèmes pour WordPress se fait pirater parce qu’il maintient une mauvaise posture de sécurité. Ses serveurs compromis sont rajoutés à un réseau malveillant. Une agence de sécurité européenne le constate et émet un avis sur le domaine et les IPs de ce fournisseur.

Notre système d’analyse compare notre activité réseau a ce type d’alerte. Il trouve des connections sortantes vers ce domaine et génère un avertissement.

 

Nos bloquons l’accès vers ce fournisseur de thèmes. Les thèmes devront être mis à jour manuellement parce que les serveurs n’ont plus le droit d’aller sur ce réseau qui pourrait leur renvoyer du contenu malveillant.

Notez que ce fournisseur a été averti et a pris des mesures de correction, mais sa posture reste peu convaincante. Le blocage persiste.