D’après le rapport, les secteurs les plus touchés sont ceux de la technologie, des services professionnels et de l’hôtellerie. Les attaquants utilisent une multitude de nouvelles techniques, et font preuve de créativité et de persévérance dans les tactiques, techniques et procédures de défense et d’accès aux justificatifs d’identités tels que l’utilisation des outils internes de Windows AD Explorer pour l’accès aux justificatifs d’identité.

Les pourcentages notables de cas d’intrusion par secteurs concernent :
_ ? La technologie : 36%
_ ? Les services professionnels : 17%
_ ? L’hôtellerie : 8%
_ ? La défense et l’administration fédérale : 7%
_ ? Les organisations non-gouvernementales : 7%

« Les attaquants d’aujourd’hui persistent dans leur mission de cibler et d’infiltrer tous les types de secteurs. Les organisations ne peuvent plus compter que sur des approches réactives pour rester protégées. Au lieu de cela, elles doivent partir de l’hypothèse que quelqu’un a peut-être déjà franchi le périmètre et le chercher de façon proactive 24 heures sur 24, 7 jours sur 7 et 365 jours par an sur les systèmes. C’est pourquoi CrowdStrike a été le pionnier en matière de services de détection de menaces tant l’entreprise permet aujourd’hui d’identifier des intrusions qui passent normalement inaperçues.

En plus de mettre en lumière les dernières tendances en matière d’intrusion observées au cours du premier semestre de 2018, le rapport permet de tirer plusieurs enseignements quant au contexte actuel de la menace :

 ? La Chine héberge un nombre croissant d’attaquants menaçant de nombreux secteurs. Les données d’OverWatch identifient la Chine comme le pays le plus actif au cours du premier semestre de 2018. Les données montrent que les attaquants chinois ont fait des tentatives d’intrusion ciblées à l’encontre de nombreux secteurs : la biotechnologie, la défense, l’exploitation minière, l’industrie pharmaceutique, les services professionnels, le transport et bien d’autres encore.

 ? Des cybercriminels qui s’intéressent de plus en plus au crypto-jacking. Le rapport a permis d’identifier de nombreuses intrusions visant les secteurs du droit et de l’assurance durant lesquelles les cybercriminels obtenaient un accès privilégié aux réseaux internes. Aujourd’hui, certains attaquants utilisent de manière frauduleuse la puissance de calcul des systèmes informatiques d’une entreprise afin de miner des crypto-monnaies.

 ? Le secteur des biotechnologies, de plus en plus touché par les menaces. Le rapport OverWatch permet également d’observer l’intérêt croissant des cybercriminels pour l’industrie de la biotechnologie, avec l’espionnage industriel comme première motivation d’attaques toujours plus nombreuses. La tactique observée était habituellement le fait d’attaquants cherchant à maintenir un effort continu de collecte de données contre les organisations du secteur.

 ? Des frontières qui s’effacent. Le rapport Crowdstrike de 2017 alertait déjà sur le brouillage des frontières entre les tactiques, techniques et procédures (TTP) d’attaquants ayant un lien direct avec un État-nation hautement qualifiés et de leurs homologues à motivation criminelle. Cette tendance se poursuit et le rapport 2018 fait état d’une recrudescence d’acteurs criminels moins qualifiés adoptant des TTP plus avancées et utilisés par des attaquants ayant un lien direct avec un État-nation.

« L’examen du premier semestre de Falcon OverWatch de 2018 offre un niveau supplémentaire de compréhension et d’analyses des dernières tendances et techniques des attaquants », a déclaré Jennifer Ayers, Vice Présidente de CrowdStrike OverWatch and Security Response. « Ce rapport est une ressource précieuse permettant d’aider les organisations à mieux comprendre le paysage de la menace, à apprendre de nouvelles méthodes de détection et à augmenter l’efficacité des enquêtes contre les cybercriminels tenaces. »

En cas d’intrusion, CrowdStrike OverWatch utilise le « breakout time » comme principal indicateur de l’ampleur de la menace. Le « breakout time » est le temps nécessaire à un attaquant pour commencer à se déplacer depuis le système dans lequel il est entré vers les autres systèmes du réseau. Le « breakout time » moyen s’élève à 1 heure et 58 minutes, ce qui signifie que si les défendeurs sont capables de détecter, d’enquêter et de palier l’intrusion dans les 2 heures, ils peuvent arrêter l’attaquant avant que ce dernier ne porte davantage préjudice à l’entreprise.

Nous recommandons aux organisations d’adopter la règle 1-10-60 :
_ ? Identifier l’intrusion en moins d’une minute
_ ? Rechercher la cause en moins de 10 minutes
_ ? Repousser l’attaquant en moins de 60 minutes

L’expertise technique approfondie de l’équipe OverWatch et des capacités technologiques de la plateforme Falcon® garantissent la protection des clients 24 heures sur 24, 7 jours sur 7 et tous les jours de l’année. La technologie CrowdStrike fournit et unifie la prochaine génération d’antivirus, de détection et de réponse des endpoints, de gestion de la chasse aux menaces, d’hygiène informatique, de gestion des vulnérabilités et d’intelligence des menaces – l’ensemble délivré via un seul agent léger