L’analyse s’est ainsi concentrée sur les 5 principaux comportements détectés : command-and-control, botnet, reconnaissance, déplacements latéraux et exfiltration.

La santé, l’industrie la plus ciblée, devant l’éducation, les médias

Avec 164 menaces détectées pour 1000 périphériques hôtes, la santé a été le secteur le plus ciblé par les cyberattaques. Viennent ensuite l’éducation et les médias, avec respectivement 145 et 123 menaces observées pour 1000 périphériques hôtes analysés. A titre de comparaison, l’industrie agro-alimentaire est la moins ciblée par les cyberattaques, avec seulement 17 menaces détectées.

Le Rapport d’analyses post-intrusion de Vectra délivre plusieurs enseignements :

• De manière généralisée, tous les modes d’attaques sont en augmentation : Parmi les comportements détectés, les opérations de reconnaissance, les déplacements latéraux et l’exfiltration ont augmenté de plus de 265% chacun.

• Les cybercriminels apprécient les données des médias : Les médias sont les plus ciblés par les attaques visant à exfiltrer des données : ce comportement d’attaque a été détecté 34 fois pour 1000 périphériques hôtes. Les taux élevés de tentatives d’exfiltration dans le secteur des médias s’expliquent probablement par la décentralisation de leur supply chain. Celle-ci est généralement gérée par un écosystème de petites entreprises au personnel IT limité.

• Une voie royale pour Wannacry : La détection de comportements de reconnaissance a augmenté de 333 % en comparaison avec 2016.

Grégory Cardiet, Ingénieur Sécurité de Vectra France commente : « Nous avons analysé de très nombreux comportements de reconnaissance, ce qui démontre que les attaquants cherchent à analyser en profondeur les réseaux des entreprises qu’ils ciblent pour attaquer de manière efficace. Cette observation est certainement un indicateur de la récente hausse importante des attaques, telles que Wannacry. Les attaquants procédant à des reconnaissances peuvent avoir pénétré le réseau où bien venir directement de l’interne. Aucun réseau n’est complétement perméable aux tentatives de pénétration et encore moins aux menaces internes, ce pourquoi les protections périphériques traditionnelles ne sont plus suffisantes et la connaissance et la visibilité en temps-réel sur l’activité de son réseau est cruciale ».

• Les secteurs du divertissement et de la santé enregistrent la plus grande diversité de comportements cyber malveillants, avec un haut niveau de détections lors de toutes les phases du cycle d’attaque. Les types d’activités les plus intensives étaient en effet celles des botnets (réseaux de robots), les communications C&C, les opérations de reconnaissance, le déplacement latéral et l’exfiltration. Il apparait clairement que les attaques ciblées sont susceptibles de progresser facilement d’une phase à la suivante du cycle d’attaque.

• L’activité associée aux botnets affiche la plus forte fréquence dans le secteur du divertissement, où elle a été détectée six fois plus souvent que la moyenne tous secteurs confondus, tandis que les médias se classent en deuxième position. Les botnets ont des comportements opportunistes : ils piratent des hôtes et les exploitent pour lancer des attaques contre d’autres cibles pour réaliser des profits, par exemple par l’envoi de spam ou par l’extraction de bitcoins.

• Les secteurs de la finance et les technologies se révèlent les plus résistantes aux comportements d’attaques analysés : Ces industries ont des taux de détection inférieurs à la moyenne, avec respectivement 37 et 38 détections pour 1 000 hôtes. Ces bons résultats sont la conséquence de politiques de sécurité plus rigoureuses, de procédures d’intervention sur incidents abouties et d’un meilleur contrôle de la surface d’attaque.

29 fois moins de travail pour les analystes de sécurité grâce à l’automatisation

Grâce à l’automatisation de la détection, du tri et de la corrélation des données, ainsi qu’à la priorisation des incidents de sécurité, les analystes de sécurité de niveau 1 chez les clients Vectra ont eu une charge de travail 29 fois moindre sur ce 1ertrimestre 2017. Ce gain de temps conséquent a permis aux équipes de se concentrer sur la restauration des hôtes compromis présentant les risques les plus importants.

Méthodologie du rapport :
Les données du rapport d’analyse post-intrusion de Vectra sont des métadonnées anonymisées issues des clients Vectra ayant accepté le partage d’indicateurs de détection. Sur une période de 90 jours, Vectra a surveillé plus de 2,1 millions d’hôtes. Sur ces hôtes, Vectra a détecté plus d’1,8 millions de comportements réseaux suspects que Vectra a ensuite examiné pour aboutir à environ 140 000 détections. Ces détections ont ensuite été triées pour ramener le nombre d’hôtes à environ 62 000 hôtes. Sur l’ensemble des clients qui ont pris part à cette étude, 3 720 hôtes ont été classés dans la catégorie « critique » et 6 987 dans la catégorie « élevé ». Cette classification a permis aux analystes en sécurité de réagir rapidement aux menaces les plus dangereuses et de les neutraliser.