Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Vectra : Les cyberattaquants utilisent des tunnels d’exfiltration cachés pour espionner et dérober des données aux établissements financiers

juin 2018 par Vectra Networks

Vectra révèle que de nombreux établissements financiers à travers le monde font l’objet de cyberattaques sophistiquées visant à dérober des données sensibles et des informations personnellement identifiables (Personally-Identifiable Information-PII).

Dans son nouveau Rapport Spotlight 2018 sur les services financiers, Vectra montre que les cyberattaquants construisent des tunnels d’exfiltration cachés afin de pénétrer dans les réseaux pour voler des données sensibles et des informations personnelles. Ces tunnels sont ensuite utilisés pour commander une attaque à distance (Command and Control) et dérober des données (exfiltration), de manière à peine détectable.

« Les cyberattaquants ne cessent d’innover et utilisent désormais des tunnels d’exfiltration cachés afin de se fondre dans le trafic normal, d’échapper aux contrôles d’accès pour exfiltrer des données financières », explique Jon Oltsik, analyste chez Enterprise Strategy Group. « Le rapport de Vectra présente les comportements de ces attaquants et explique ce que les cybercriminels sont prêts à faire pour dérober des informations financières privées et personnelles. »

Selon le rapport, dans de nombreux secteurs d’activités, les atteintes à la sécurité sont en constante augmentation et le secteur des services financiers n’échappe pas à la règle. Si les établissements financiers ne connaissent pas le même niveau d’attaques que les autres secteurs, celles dont elles ont fait l’objet ont pourtant causé des dommages exponentiels et lourds de conséquences qui ont alerté l’opinion publique.

Les informations contenues dans le Rapport Spotlight 2018 de Vectra se basent sur les observations et les données de l’édition 2018 de l’étude « Attacker Behavior Industry Report » publiée à l’occasion de la RSA Conference. Le rapport présente les comportements des hackers et les tendances en matière de réseaux constatées auprès de 246 clients volontaires opérant dans les services financiers et 13 autres secteurs.

Entre août 2017 et janvier 2018, la plate-forme Cognito de détection et de neutralisation des cyberattaques de Vectra a surveillé le trafic réseau et recueilli les métadonnées de plus de 4,5 millions d’appareils et du trafic dans les environnements entreprise, Datacenter et Cloud des clients. L’analyse de ces métadonnées permet de mieux comprendre les comportements des attaquants ainsi que les tendances et les risques encourus par les entreprises, pour aider les clients de Vectra à prévenir tout risque de violations de données.

Vectra a découvert que, dans le secteur des services financiers, les comportements des attaquants sont semblables à ceux qui ont conduit à la violation de données d’Equifax en 2017. Ce piratage a entraîné le vol de 145,5 millions de numéros de sécurité sociale, de près de 17,6 millions de numéros de permis de conduire, de 20,3 millions de numéros de téléphone et de 1,8 million d’adresses e-mail. Après le vol, il a fallu attendre 78 jours avant que le piratage ne soit détecté.

« Chaque secteur d’activités présente un profil des comportements réseau et utilisateur qui correspond à des business models, des applications et des utilisateurs spécifiques », explique Chris Morales, responsable des analyses chez Vectra. « Les attaquants vont imiter ces comportements pour se fondre dans la masse, ce qui les rend difficiles à détecter.

« Le plus marquant est la présence de tunnels d’exfiltration cachés, que les attaquants utilisent pour pénétrer dans les réseaux pourtant dotés de contrôles d’accès rigoureux », ajoute-t-il. « Ces mêmes tunnels permettent ensuite aux attaquants de sortir discrètement du réseau, avec les données dérobées. »

Parmi les conclusions clés du rapport figurent les éléments suivants :
 Sur un échantillon de 10 000 terminaux, Vectra a détecté beaucoup plus de tunnels cachés Command and Control dans les services financiers que dans tous les autres secteurs d’activités réunis.
 Sur 10 000 appareils, tous secteurs d’activités confondus, il a été détecté 11 tunnels d’exfiltration cachés se faisant passer pour du trafic web chiffré. Dans le secteur des services financiers, ce chiffre a été plus que doublé (23). Entre août 2017 et janvier 2018, les tunnels d’exfiltration cachés se faisant passer pour du trafic web chiffré ont bondi de sept à seize terminaux sur 10 000 dans les services financiers.
 Vectra a détecté plus de deux fois plus de tunnels d’exfiltration de données cachés dans les services financiers que dans tous les autres secteurs d’activités réunis.
 Sur 10 000 appareils, tous secteurs d’activités confondus, deux tunnels cachés se faisant passer pour du trafic web chiffré ont été détectés. Dans le secteur des services financiers, ce chiffre a été plus que doublé (5). Entre août 2017 et janvier 2018, les tunnels d’exfiltration cachés se faisant passer pour du trafic web chiffré ont doublé pour passer de deux à quatre appareils sur 10 000 dans les services financiers.

Cognito Detect et Cognito Recall, son équivalent en intelligence artificielle tout aussi performant, sont les pierres angulaires de la plate-forme Cognito. Cognito Detect automatise la détection en temps réel des attaques masquées à tous les niveaux, du cloud au datacenter et de l’Internet des objets à l’utilisateur, tout en donnant à Cognito Recall un point de départ logique pour procéder à la détection des menaces en s’appuyant sur l’intelligence artificielle et résoudre les investigations sur les incidents.

Les données figurant dans ce rapport sont basées sur des métadonnées des clients de Vectra rendues anonymes ayant accepté de transmettre leurs éléments de détection. La plate-forme Cognito identifie des comportements indiquant la survenue d’une attaque en surveillant directement l’ensemble du réseau et des journaux pertinents. Cela comprend notamment le trafic en provenance et à destination d’Internet, le trafic interne entre des appareils en réseau, ainsi que les flux virtualisés entre des datacenters privés et des clouds publics. Cette analyse offre une visibilité importante sur les phases avancées des attaques.


Voir les articles précédents

    

Voir les articles suivants