La NSA dit de restreindre Windows et MacOS et d’utiliser Google pour arrêter les attaques
La NSA propose des conseils simples pour arrêter le cycle des attaques de phishing
Où que vous regardiez dans le monde de la cybersécurité, vous pouvez quasiment garantir que l’ingénierie sociale, ou le phishing si vous préférez, sera impliquée à un moment donné. Qu’il s’agisse d’e-mails contenant des liens malveillants, de l’utilisation de l’IA pour générer des messages convaincants ou de deepfakes sophistiqués qui peuvent parfois presque tromper même un professionnel de la cybersécurité. Obtenir les bons conseils pour atténuer les risques de devenir victime du cybercriminel de phishing est essentiel si vous souhaitez maintenir une posture de sécurité solide face à cette menace permanente. Vous n’avez peut-être pas envisagé de vous tourner vers la National Security Agency pour obtenir ce conseil, mais nous voici en train d’examiner les directives de phishing de la NSA : arrêter le cycle d’attaque dès la première phase.
La NSA fournit à tous des conseils de bon sens en matière de cybersécurité
Bien que publié il y a presque exactement un an, en octobre 2023, le document d’orientation sur le phishing de la NSA, arrêter le cycle d’attaque à la première phasereste une publication incontournable pour les conseils de bon sens en matière de cybersécurité destinés aux organisations de toutes tailles ainsi qu’aux consommateurs. Vous n’avez probablement pas besoin d’explication sur ce qu’est le phishing, ni sur les objectifs finaux de ceux qui participent à son exécution, mais le TL;DR du rapport de la NSA le résume assez bien : les acteurs malveillants attirent les victimes vers des sites malveillants ou vers des sites malveillants. exécuter des fichiers malveillants afin d’obtenir des informations de connexion pour l’accès initial au compte ou déployer des logiciels malveillants pour mener des campagnes de menaces en cours.
Ce ton terre-à-terre et facile à comprendre se poursuit à travers ce qui pourrait être une diatribe technique lourde et ennuyeuse entre de mauvaises mains. Heureusement, les bonnes mains sont les analystes et les agents de la NSA, de la Cybersecurity and Infrastructure Security Agency, du Federal Bureau of Investigation et du Multi-State Information Sharing and Analysis Center qui ont rédigé ce document.
Il vise à contribuer à réduire l’impact des attaques de phishing sur l’obtention d’informations d’identification et le déploiement de logiciels malveillants, ce qui est aussi simple que cela. L’objectif, bien que les conseils d’atténuation soient heureusement également assez simples. Évidemment, la mise en œuvre des mesures d’atténuation variera en fonction de la nature de votre organisation, de la taille, du secteur et de la complexité de votre entreprise, ou si vous êtes simplement un consommateur à la recherche de recommandations de sécurité de qualité. Vous devez donc lire l’intégralité du document et en tirer les informations qui vous conviennent. Heureusement, les auteurs rendent cela assez simple à faire.
Restreindre les droits des utilisateurs Windows et MacOS, mettre en œuvre la navigation sécurisée de Google, déclare la NSA
La protection des identifiants de connexion figure en tête des conseils lorsqu’il s’agit d’atténuer toute attaque de phishing, car c’est, le plus souvent, l’objectif final de la campagne. Par conséquent, la formation évidente de sensibilisation des utilisateurs et l’application de l’authentification à deux facteurs sont recommandées dès le départ. La NSA va cependant plus loin et je suis heureux de pouvoir dire qu’elle inclut une recommandation visant à activer l’authentification, la création de rapports et la conformité des messages basés sur le domaine pour tous les e-mails reçus. Je tape sur le tambour de l’authentification DMARC depuis un certain temps maintenant, avec des sociétés comme Google, il faut le dire. Ceci, combiné au Sender Policy Framework et au Domain Keys Identified Mail, permet d’authentifier le serveur d’envoi comme étant celui qu’il prétend être. Les campagnes de phishing existent en raison de la tromperie, et tout ce qui permet de nettoyer le verre boueux doit être le bienvenu.
Le deuxième objectif final des campagnes de phishing, bien que les deux puissent être interchangés en ce qui concerne leurs objectifs principaux en fonction de l’attaquant et de l’attaque du moment, est la distribution de logiciels malveillants. La prévention de l’exécution de logiciels malveillants est donc également abordée en détail dans le document. Je vous suggère de lire l’intégralité du texte pour comprendre cela, mais il y a deux mesures d’atténuation que je considère comme souvent négligées et pourtant si faciles à mettre en œuvre que je voulais les aborder ici : les droits d’administrateur et les protections de navigation Web.
La NSA recommande de restreindre les droits d’administration disponibles pour les utilisateurs des systèmes d’exploitation Windows et MacOS. Utilisez le principe du moindre privilège pour ce faire, ce qui signifie que l’accès administrateur n’est disponible qu’aux comptes qui en ont réellement besoin pour le travail qu’ils effectuent et à personne d’autre. Les consommateurs peuvent également monter dans ce bus à droits restreints. Créez simplement un compte administrateur protégé par un mot de passe fort en plus d’un compte utilisateur distinct sans droits d’administrateur. Utilisez le compte utilisateur pour vos besoins informatiques quotidiens et si quelque chose de potentiellement risqué, comme l’installation d’un logiciel, est requis, le système d’exploitation vous demandera de saisir vos informations d’identification d’administrateur.
Vient ensuite la navigation sur le Web, ce que la NSA recommande de faire, après avoir mis en œuvre des outils de sécurité gratuits pour aider à atténuer le risque d’attaque. CISA a une page entière de ces ressources choix, mais le document de la NSA va droit au but et recommande l’une des solutions les plus simples pour la majorité des utilisateurs : la navigation sécurisée de Google. J’ajouterais également la fonctionnalité Chrome Safety Check de Google à la liste, car elle peut informer l’utilisateur si des extensions installées pourraient constituer une menace pour la sécurité.
