Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’exploitation d’applications Internet a été le premier vecteur d’attaque initial de 2021

septembre 2022 par Kaspersky

Selon le dernier rapport Incident Response Analytics Report (Analyse de Réponse aux incidents) de Kaspersky, plus de la moitié des cyberattaques (53,6%) de 2021 ont été initiées en exploitant des vulnérabilités. Parmi les autres méthodes répandues, on peut notamment citer la compromission de comptes et les emails malveillants.

Quand les cybercriminels planifient leurs campagnes, ils cherchent généralement à déceler des failles de sécurité facilement identifiables, en exploitant par exemple des serveurs publics avec des vulnérabilités bien connues, des mots de passe faibles ou des comptes compromis. D’année en année, ces vecteurs d’accès initiaux ont entraîné un nombre croissant d’incidents de cybersécurité très critiques.

L’analyse des données anonymes des dossiers de réponse aux incidents traités par Kaspersky Global Emergency Response Team (GERT) dans le monde entier prouve que l’exploitation des applications publiques, accessibles à la fois depuis les réseaux locaux et Internet, est devenue le vecteur initial le plus communément utilisé pour pénétrer le périmètre d’une organisation. La part de cette méthode comme vecteur d’attaque initial est passée de 31,5 % en 2020 à 53,6 % en 2021, tandis que l’utilisation de comptes compromis et le recours aux emails malveillants a diminué, passant respectivement de 31,6 % à 17,9 % et de 23,7 % à 14,3 % sur la même période. Ce changement est probablement lié aux vulnérabilités découvertes sur les serveurs Microsoft Exchange l’année dernière. L’omniprésence de ce service de messagerie et la disponibilité d’exploits concernant ses vulnérabilités ont entraîné un nombre considérable d’incidents connexes.

En ce qui concerne l’incidence des attaques, le chiffrement des fichiers, un des types de ransomware les plus courants privant les organisations de l’accès à leurs données, demeure le principal problème auquel sont confrontées les entreprises, et ce depuis trois années consécutives. De plus, le nombre d’organisations ayant rencontré des chiffreurs dans leur réseau a considérablement augmenté au cours de la période observée, passant de 34 % en 2019 à 51,9 % en 2021. Autre aspect alarmant : dans bien plus de la moitié des cas (62,5 %), les hackers passent plus d’un mois à l’intérieur du réseau avant de procéder au chiffrement des données.

Si les pirates parviennent à rester incognito aussi longtemps, c’est en grande partie grâce aux outils du système d’exploitation, aux outils offensifs bien connus et à l’utilisation de systèmes commerciaux, qui sont impliqués dans 40 % de tous les incidents. Après avoir infiltré le système, les hackers utilisent des outils légitimes à différentes fins : PowerShell pour collecter des données, Mimikatz pour escalader les privilèges, PsExec pour exécuter des commandes à distance, ou des systèmes comme Cobalt Strike pour toutes les étapes de l’attaque.

"Notre rapport démontre qu’une politique de gestion des correctifs appropriée peut à elle seule réduire de 50 % la probabilité de réussite d’une attaque. Cela confirme une fois de plus la nécessité d’implémenter des mesures de cybersécurité de base. Dans le même temps, il faut garder à l’esprit que même la mise en œuvre la plus complète de ces mesures ne peut garantir une défense sans faille", commente Konstantin Sapronov, responsable du Global Emergency Response Team. "Étant donné que les adversaires ont recours à diverses méthodes pour déployer leurs activités malveillantes, la meilleure façon de protéger votre organisation est d’utiliser des outils et des approches qui permettent de remarquer et d’arrêter l’action adverse tout au long des différentes étapes d’une attaque."

Pour minimiser les effets d’une attaque en cas d’urgence, Kaspersky préconise les recommandations suivantes :

 Sauvegardez vos données afin de pouvoir toujours accéder aux fichiers essentiels en cas d’attaque par un ransomware et utilisez des solutions capables de bloquer toute tentative de chiffrement de vos données.

 Travaillez avec un partenaire de confiance pour traiter les incidents avec des accords de niveau de service (SLA) rapides.

 Formez en permanence votre équipe de réponse aux incidents afin de maintenir leur expertise et de rester au fait de l’évolution du paysage des menaces.

 Mettez en œuvre des programmes de sécurité stricts pour les applications contenant des informations personnellement identifiables.

 Comprenez les profils des adversaires qui ciblent votre secteur et votre région afin de donner la priorité au développement des opérations de sécurité.

 Mettre en œuvre une solution Endpoint Detection and Responses avec un service de détection et de réponse piloté pour détecter et réagir rapidement aux attaques, entre autres.

L’intégralité du rapport Incident Response Analytics (Analyse de Réponse aux incidents) est disponible sur Securelist.


Voir les articles précédents

    

Voir les articles suivants