« Au cours de la preuve de concept initiale pour notre client pharmaceutique, nous avons augmenté la visibilité de l'échelle de risque avec plusieurs alertes escaladées, et nous avons acquis une connaissance des systèmes qui présentaient un risque important. »
-Secure Coders
Les enjeux
Une multinationale pharmaceutique avait un programme de cybersécurité sans vue d'ensemble de son exposition sur le Web visible et le Web clandestin. Leur objectif était de mieux comprendre comment une solution de surveillance de l'exposition peut apporter de la valeur et de la sécurité, de réussir à appliquer les objectifs de contrôle de l'organisation, et aussi de comprendre comment la surveillance du Web visible et du Web clandestin peut sécuriser en continu les données de l'organisation. Pour cette mission, ils ont fait appel à Secure Coders qui s'est associé à Flare.
Pour les aider à gérer leurs objectifs et à mieux cerner les besoins spécifiques de l'organisation, l'équipe de Secure Coders a utilisé Flare pour réaliser une démonstration de pertinence de la surveillance de l'exposition. Cette preuve de valeur comprenait une démonstration des fonctionnalités et une évaluation de haut niveau de l'exposition externe de l'organisation. Lorsque l'équipe de Secure Coders a découvert des résultats indiquant un risque en utilisant la plateforme Flare, elle a exploité ces données pour améliorer la surveillance de risques similaires sur une base continue.
Avec des résultats probants en main, Secure Coders a mis son chapeau d'équipe offensive pour analyser les résultats comme le ferait un adversaire. Ils ont pu illustrer l'impact potentiel de ces risques et proposer des recommandations pour les résoudre ou les atténuer.
La mise en service
L'équipe de Secure Coders a procédé aux actions suivantes.
Le tableau suivant décrit le processus employé par Secure Coders pour identifier, enrichir, hiérarchiser et remédier aux cybermenaces.
Grâce à son expertise et à la plateforme Flare, l'équipe de Secure Coders a mis à disposition les compétences suivantes.
- Surveillance du milieu cybercriminel
- Courtiers d'accès - Fournir du renseignement exploitable afin d'économiser sur le temps passé à détecter et à remédier aux cyberattaques, ou aux systèmes compromis vendus sur les marchés du Web clandestin.
- Discussions sur les forums - Classifier et rapporter les conversations se produisant sur les chaînes de communication du Web clandestin concernant la marque, le produit et les opérations.
- Surveillance de la propriété intellectuelle
- Code source publié - Examiner le code source publié par des entités internes et externes à l'organisation et accessible au public. Le code source est analysé et fait l'objet d'un rapport par des développeurs logiciels expérimentés.
- Sites de partage - Examiner le contenu publié sur des canaux tels que PasteBin qui se rapporte à la marque de l'organisation.
- Divulgations sur des forums publics - Surveiller les forums publics pour détecter les discussions qui divulguent des données critiques internes.
- Surveillance de la surface d'attaque externe
- Surveiller Github pour détecter les fuites de code source et de secrets d'entreprise - Surveiller les banques de données en ligne pour détecter les fuites accidentelles de données. Exécuter des expressions rationnelles et des requêtes personnalisées qui parcourent les banques de données publiques telles que GitHub, BitBucket et les environnements GitLabGit.
- Détecter les fuites de données techniques – Détecter les erreurs et les secrets d'entreprise archivés sur l'environnement de l'organisation, et envoyer des alertes à l'équipe de cybersécurité sur les archivages accidentels.
- Identifier les serveurs mal configurés – Autoriser les notifications en temps réel du stockage S3, de Shodan et d'autres données infonuagiques qui pourraient mettre l'organisation en danger.
- Surveiller les sites de partage anonyme – Surveiller le partage de listes de mots de passe, de données techniques critiques et de données personnelles identifiables publiées sur Pastebin et d'autres sites de partage anonymes (sites bin).
- Prévenir la prise de contrôle des comptes
- Surveillance des identifiants en temps réel - Surveiller les fuites d'identifiants sur le Web clandestin, le Web invisible et le Web visible, afin de s'assurer qu'ils ne peuvent pas être utilisés de manière abusive dès qu'ils sont découverts.
- Surveillance automatisée des comptes d'entreprise - Surveillance d'un flux d'identifiants intégré aux processus existants de l'organisation.
- Protection de la marque
- Surveillance du marché de la drogue - Surveiller en permanence les annonces de produits et de services sur les places de marché du Web clandestin relatives à la vente de biens et à la contrefaçon.
- Surveillance du clichage (dump) - Surveiller les clichages publiés concernant l'activité de l'organisation.
- Détecter les cyberattaques par hameçonnage
- Surveillance des sous-domaines - Identifier les noms de domaine clonés et les certificats SSL, puis détecter l'enregistrement de nouveaux noms de domaine similaires au DOM de l'organisation.
- Prévention de la fraude financière
- Protection des travailleurs - Mise en place d'un répertoire de victimes de fraudes financières basé sur des fuites sur le Web clandestin, sur le Web invisible et le Web visible, ainsi que sur des identités en vente sur les marchés illicites. Habiliter l'organisation à vérifier si ses effectifs ont été victimes de fraude, tout en garantissant la confidentialité des informations.
L'impact et les avantages
Par la preuve de la valeur, nous avons pu présenter les avantages et la pertinence de la mise en œuvre d'une solution de surveillance de l'exposition. En utilisant Flare, Secure Coders a réussi à augmenter la visibilité de l'exposition externe de l'organisation sur le Web visible et le Web clandestin. Les points suivants ont été abordés dans cette démonstration de valeur:
- 1590 identifiants Flare ont été créés;
- Rapport sur la surveilllance de la surface d'attaque externe avec 1 alerte escaladée;
- Rapport sur la propriété intellectuelle avec 9 alertes escaladées;
- Rapport sur les fuites d'identifiants avec 1 alerte escaladée;
- Rapport sur la surveillance de la surface d'attaque externe avec 6 alertes escaladées;
- Rapport sur la prévention de la fraude financière avec 5 alertes escaladées.
Plusieurs des alertes qui ont été escaladées ont permis à l'organisation de prendre connaissance d'un dispositif qui présentait un risque important. L'organisation a demandé un test d'intrusion de type cybermenace persistante avancée (APT) du dispositif. En s'appuyant fortement sur le système Flare, l'opération a été réalisée par Secure Coders et son équipe d'experts.
Pour en savoir plus sur la solution de gestion de l'exposition aux cybermenaces de Flare, faites un essai gratuit.