L'équipe d'attaque du CISA met en évidence la nécessité d'une défense en profondeur lors d'opérations contre une organisation du pouvoir exécutif fédéral civil
CISA a mené une évaluation SILENTSHIELD sur une organisation du gouvernement fédéral civil, simulant des opérations cyber de l'État-nation. L'équipe rouge a obtenu l'accès initial via une vulnérabilité de serveur web non corrigée et a ensuite compromis le réseau Windows via une attaque de phishing. L'équipe a pleinement compromis le domaine et a pivoté vers une organisation externe, soulignant l'importance de la défense en profondeur. L'organisation n'avait pas suffisamment de contrôles pour prévenir et détecter les activités malveillantes, une collecte et une analyse de logs inefficaces, et des barrières bureaucratiques entravant les défenseurs du réseau. Les constatations de l'équipe ont mis en évidence la valeur des indicateurs de compromis basés sur le comportement, de l'approche "allowlist" et de la défense en profondeur. CISA recommande d'appliquer ces principes, y compris une segmentation robuste du réseau, la mise en place de la circulation du trafic réseau et la focalisation sur la détection basée sur le comportement. Les fabricants de logiciels sont encouragés à mettre en œuvre des principes de sécurité par conception et à éliminer les mots de passe par défaut pour améliorer la sécurité du réseau. En abordant ces vulnérabilités, les organisations peuvent réduire le risque de compromission du domaine et des activités cyber malveillantes.