Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FortiGuard Labs identifie des changements majeurs parmi les cybermenaces

mars 2021 par Fortinet

Fortinet® annonce les résultats de son nouveau rapport de sécurité semestriel Global Threat Landscape Report édité par FortiGuard Labs. Cette veille des menaces sur la seconde moitié de l’année témoigne d’une volonté des cybercriminels de tirer partie d’une surface d’attaque en constante expansion pour maximiser leur impact à travers le monde. Les assaillants ont démontré leur capacité d’adaptation en élaborant des vagues d’attaques sophistiquées et disruptives. Ils s’en sont ainsi pris à des collaborateurs ou étudiants présents en dehors du réseau corporate/académique traditionnel, mais se sont également positionnés sur la supply chain digitale, voire sur le cœur de réseau.

La déferlante des ransomware se poursuit : les données de FortiGuard Labs témoignent d’une activité sept fois plus importante de type ransomware, par rapport au premier semestre 2020. Plusieurs facteurs ont contribué à cette prolifération : les évolutions du Ransomware-as-a-Service (RaaS), des rançons particulièrement lourdes exigées auprès de cibles d’envergure et une menace de divulgation des données détournées si les entreprises victimes ne se conforment pas aux exigences des assaillants. Les ransomware les plus prévalents ont été Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING et BazarLoader. Les soins de santé, les services professionnels, les services au grand public, le Service Public et la finance comptent parmi les secteurs d’activités les plus impactés. Pour juguler efficacement le risque lié au ransomware, les entreprises devront assurer des sauvegardes pertinentes, intégrales et hors site. Les accès Zero-Trust et les stratégies de segmentation sont également des leviers de maîtrise des risques.

Haro sur la supply chain : si les attaques ciblant la supply chain n’ont rien de nouveau, force est de constater que la cyberattaque SolarWinds remet ce sujet sous les feux de la rampe. Les indicateurs de compromission (IoC), identifiés à partir de très nombreuses informations partagées par les entreprises victimes, donnent un éclairage sur le mode opératoire et la propagation des attaques sur la supply chain. Les détections de communications au niveau de l’infrastructure Internet associée au malware Sunburst en décembre 2020, révèlent que ce piratage a fait des victimes dans le monde entier. L’alliance “Five Eyes” relate ainsi un trafic important correspondant aux IoC malveillants. Certaines victimes ont également été atteintes de manière collatérale, ce qui souligne la nature interconnectée des attaques modernes sur la supply chain et l’impérieuse nécessité d’en gérer les risques.

Les assaillants ciblent les activités en ligne : l’examen des catégories de malware les plus prévalentes révèle les techniques utilisées par les cybercriminels pour s’immiscer au sein des entreprises. Les ressources Microsoft représentent le principal vecteur d’attaque et les documents que la majorité des personnes utilisent chaque jour servent à initier/propager les attaques. Les navigateurs Web sont également ciblés, au travers de sites et scripts malveillants de phishing qui injectent un code malveillant ou redirigent les utilisateurs vers des sites frauduleux. Ces types de menace apparaissent toujours dans des contextes mondiaux problématiques ou lors de pics d’activité du e-commerce. Les collaborateurs protégés par des services de filtrage web lors de leur navigation à partir du réseau corporate, se retrouvent plus exposés lorsqu’ils naviguent hors du périmètre protégé par ce filtrage.

Le télétravail reste une cible : la frontière entre maison et bureau s’est estompée de manière significative en 2020. Le travail à domicile devient ainsi, pour les cybercriminels, une porte dérobée vers le réseau corporate. Sur la seconde moitié de 2020, les exploits ciblant les objets connectés (Internet des objets ou IoT), notamment ceux présents à domicile, se sont révélés nombreux. Chaque dispositif IoT constitue un “edge” du réseau d’entreprise qui doit être protégé. Le monitoring de sécurité et l’application des règles de sécurité s’imposent donc pour chaque dispositif.

Les assaillants opèrent à l’échelle mondiale : les groupuscules auteurs de menaces APT (Advanced Persistent Threat) continuent à tirer parti de la pandémie de Covid-19, au travers d’attaques recueillant des volumes importants d’informations personnelles, de détournement d’éléments de propriété intellectuelle et de la collecte d’informations de veille ou d’espionnage. La fin de l’année 2020 pointe une progression de l’activité des APT ciblant les entreprises impliquées dans les travaux autour du COVID-19 : recherche sur les vaccins ou élaboration de règles sanitaires nationales et internationales autour de la pandémie. Des agences gouvernementales, des laboratoires pharmaceutiques, des universités et des acteurs de la recherche médicale comptent parmi les cibles.

Garder la main sur les exploits de vulnérabilité : le patching et la remédiation restent des priorités pour les entreprises, alors que les cybercriminels tentent encore et toujours d’exploiter des vulnérabilités. Le suivi de l’évolution de 1 500 exploits sur les deux dernières années apporte des données qui mesurent la rapidité et le périmètre de propagation des exploits. De manière générale, nombre d’exploits ne semblent pas se propager très rapidement. Sur quasiment tous les exploits suivis au cours des 2 dernières années, seuls 5% d’entre eux ont été détectés par plus de 10% des entreprises. Pour toute vulnérabilité choisie au hasard, les données montrent qu’il n’y a qu’une chance sur 1 000 pour qu’une entreprise soit attaquée. Environ 6% des exploits impactent plus de 1% des entreprises au cours du premier mois. Même au bout d’une année, 91% des exploits n’ont pas dépassé le seuil de 1%. Au-delà de ces chiffres, il est pertinent de cibler les efforts de remédiation sur les vulnérabilités connues pour être exploitées et donner la priorité à celles qui présentent la propagation la plus rapide.

Sécurité intégrée et sensibilisation pour lutter contre les cybercriminels Les entreprises font face à des attaques actives sur tous les fronts. La veille sur les menaces reste essentielle pour comprendre ces menaces et les moyens de garder la main sur des vecteurs de menaces qui évoluent. La visibilité est tout aussi critique, surtout lorsqu’un nombre important d’utilisateurs opère en dehors du périmètre réseau traditionnel. Chaque dispositif crée un nouvel edge réseau qui doit être surveillé et sécurisé. L’utilisation de l’intelligence artificielle (IA) et la détection automatique des attaques permettent aux entreprises de répondre immédiatement aux attaques identifiées sur chaque edge. La sensibilisation des utilisateurs à la cybersécurité reste une priorité, cette discipline n’étant pas l’apanage des équipes IT et de sécurité. Chacun a besoin de formations et d’instructions régulières sur les bonnes pratiques qui protègent les collaborateurs et l’entreprise.




Voir les articles précédents

    

Voir les articles suivants