En décembre dernier, la société de gestion d’infrastructures SolarWinds a émis une alerte selon laquelle l’un de ses produits de gestion de réseau, SolarWinds Orion, aurait subi une “attaque manuelle, ciblée et hautement sophistiquée de la chaîne d’approvisionnement” menée par un État.
L’attaque a consisté en l’introduction de logiciels malveillants sur cette plateforme. La faille ainsi créée a permis d’affecter toutes les mises à jour logicielles ultérieures, distribuant ainsi les logiciels malveillants à l’ensemble des clients de SolarWinds. Cette attaque aurait ainsi infecté toutes les versions du logiciel Orion publiées entre mars et juin 2020 avec le malware SUNBURST, une porte dérobée sophistiquée qui utilise le protocole HTTP pour communiquer avec l’infrastructure de l’attaquant.
Cette attaque montre qu’il ne suffit plus de s’appuyer sur une ou deux technologies de sécurité pour se protéger contre des attaques sophistiquées. En plus de respecter les bonnes pratiques de sécurité, telles que le changement régulier et systématique des mots de passe, les audits de comptes, la mise en place et le suivi des alertes de sécurité, les entreprises doivent utiliser une stratégie de défense approfondie pour détecter et contenir les menaces.
La sécurité du DNS est une stratégie utile contre ce genre d’attaques très sophistiquées ; l’analyse des logs DNS est un moyen efficace de visualiser toute l’activité du réseau sur une période longue et ainsi identifier les ressources auxquelles un équipement / utilisateur a pu accéder. Les empreintes DHCP et les métadonnées du système de gestion des adresses IP fournissent des informations contextuelles sur les appareils concernés, telles que leur type, les informations sur le système d’exploitation, l’emplacement du réseau, l’attribution actuelle et l’historique des adresses IP utilisées. Toutes ces données aident à établir une corrélation entre les événements et à comprendre l’étendue d’une faille.
Au nombre des solutions qui composent l’infrastructure de sécurité des entreprises, il convient d’intégrer la sécurité des protocoles de contrôle réseau tels que le DNS. Lorsqu’une telle attaque se produit, une plateforme de sécurité DNS est en mesure de détecter un comportement anormal au sein du réseau, comme des communications malveillantes, une activité de type menace persistante avancée (Advanced Persistent Threat), le comportement d’un algorithme de génération de domaine, les communications d’un botnet, un tunnel DNS ou encore une exfiltration de données.
La remontée d’informations relatives à la sécurité est essentielle pour faire face à ces types de menaces avant même qu’elles n’apparaissent. Une solution de sécurité DNS avancée s’intègre également aux systèmes SOAR (Security Orchestration Automation and Remediation), aux solutions d’infogérance, aux scanners de vulnérabilité et à d’autres outils de l’écosystème de sécurité pour déclencher automatiquement des actions correctives si une activité malveillante est détectée.
