près de 33 % des cyberattaques dans le cloud exploitent les failles des accès protégés par des identifiants
Selon un rapport d'Elastic sur les menaces mondiales
Elastic (NYSE : ESTC), l’entreprise à qui l’on doit Elasticsearch, annonce la publication de son rapport “Global Threat Report” pour l’année 2022 qui présente en détail la nature en constante évolution des menaces de cybersécurité, mais aussi la sophistication accrue des attaques ciblant les points de terminaison et le cloud.
Grâce aux tendances identifiées, les entreprises bénéficient de la veille opérationnelle dont elles ont besoin pour renforcer leur technologie de sécurité et les stratégies requises afin d’observer et de protéger les systèmes métier essentiels contre les cybermenaces. Ce rapport est rédigé par Elastic Security Labs, l’équipe d’ingénierie de l’entreprise chargée de rechercher les menaces, de les détecter et d’analyser les malwares. Les données fournies ont été collectées à l’aide de la télémétrie entre les mois d’août 2021 et d’août 2022 auprès des déploiements d’Elastic Security dispersés dans le monde entier.
Principales tendances abordées dans le rapport
L’erreur humaine constitue le risque le plus important pour la sécurité du cloud. En effet, les utilisateurs surestiment la fiabilité de la sécurité de leurs déploiements dans le cloud.
Près d’une attaque sur trois (33 %) dans le nuage s’appuie sur l’accès aux informations d’identification, ce qui indique que les utilisateurs surestiment souvent la sécurité de leurs environnements en nuage et ne parviennent donc pas à les configurer et à les protéger de manière adéquate.
Autres résultats essentiels concernant la sécurité du cloud :
- Près de 57 % des données télémétriques sur la sécurité du cloud proviennent d’AWS, contre 22 % pour Google Cloud et 21 % pour Azure.
- AWS : plus de 74 % des alertes sont liées aux accès protégés par des identifiants, à un accès initial et à des tactiques persistantes. Parmi elles, près de 57 % des techniques utilisées concernent des tentatives de vol des tokens d’accès aux applications qui est l’une des formes de vol d’identifiants les plus courantes dans le cloud.
- Google Cloud : près de 54 % des alertes sont liées à des violations de comptes de service. Parmi elles, 52 % des techniques reposent sur la manipulation de comptes. Cela prouve que les comptes de service sont toujours compromis à un rythme effréné lorsque leurs identifiants par défaut ne sont pas modifiés.
- Microsoft Azure : plus de 96 % des alertes sont liées aux événements d’authentification. Parmi elles, 57 % des techniques ciblent des comptes valides pour tenter de récupérer les tokens OAUTH2.
- Au total, 58 % des tentatives d’accès initial utilisent un mélange de tentatives traditionnelles par force brute et de pulvérisations de mots de passe déjà compromis.
Les utilisateurs malveillants exploitent les logiciels commerciaux conçus pour aider les équipes de sécurité, mais pour échapper à la surveillance de ces mêmes équipes.
Même si les logiciels commerciaux de simulation d’attaques, à l’instar de CobaltStrike, aident de nombreuses équipes à renforcer les défenses de leurs environnements, ils sont également exploités par des utilisateurs malveillants pour implanter des malwares en grand nombre dans les systèmes. Selon les résultats obtenus par Elastic Security Labs, CobaltStrike, la charge utile ou le fichier binaire ciblant de la manière la plus étendue les points de terminaison Windows à des fins malveillantes, a représenté 35 % de l’ensemble des détections, contre 25 % pour AgentTesla et 10 % pour RedLineStealer.
Autres résultats essentiels concernant les malwares
- Plus de 54 % de toutes les infections mondiales par des logiciels malveillants ont été détectées sur des points d’extrémité Windows, tandis que plus de 39 % l’ont été sur des points d’extrémité Linux.
- Près de 81 % des malwares observés aux quatre coins du globe se fondent sur des chevaux de Troie, suivis par les cryptomineurs à hauteur de 11 %.
- MacKeeper s’est classé au premier rang des menaces pour macOS avec près de 48 % de toutes les détections, XCSS et occupant la deuxième place avec près de 17 %.
Les attaques aux points de terminaison se diversifient pour tenter de contourner les défenses en place.
Les utilisateurs malveillants utilisent plus de 50 techniques d’infiltration des points de terminaison. Leur système de sécurité s’avère donc efficace étant donné que sa sophistication pousse les utilisateurs malveillants à toujours trouver une nouvelle méthode d’attaque pour arriver à leurs fins.
Trois tactiques MITRE ATT&CK® représentent 66 % de toutes les techniques d’infiltration des points de terminaison.
Un total de 74 % de toutes les techniques d’évasion de défense consistait en un camouflage (44 %) et en l’exécution d’un proxy binaire du système (30 %). Ainsi, outre le contournement des outils de sécurité, les techniques d’évasion par la défense échappent aux systèmes garantissant la visibilité, ce qui allonge les temps de détection des menaces.
Parmi les techniques existantes d’exécution, 59 % sont liées à des interprètes de script natifs et de commande, alors que 40 % concernent des violations de Windows Management Instrumentation. Par conséquent, les utilisateurs malveillants exploitent PowerShell, Windows Script Host et les fichiers de raccourcis Windows pour exécuter des commandes, des scripts ou des fichiers binaires.
Près de 77 % de toutes les techniques ciblant les accès protégés par des identifiants concernent la récupération des identifiants de système d’exploitation à l’aide d’utilitaires bien connus. Cette tendance s’inscrit dans la lignée des tentatives des utilisateurs malveillants de se reposer sur des comptes valides pour ne pas attirer l’attention des administrateurs dans les environnements de déploiements hybrides associant hébergement sur site et prestataires de services cloud.
Même si les utilisateurs malveillants ont toujours utilisé en priorité des techniques ciblant les accès protégés par des identifiants, ils investissent désormais dans des tactiques d’évasion par la défense, une évolution prouvant leur adaptation aux améliorations apportées aux technologies de sécurité qui les empêchent d’arriver à leurs fins. Lorsqu’ils utilisent également des techniques d’exécution, les utilisateurs malveillants sont en mesure de contourner les contrôles avancés des points de terminaison sans être détectés au sein des environnements des entreprises.
Témoignage
“Pour éviter de manière efficace les menaces de cybersécurité, les entreprises ont besoin de bien plus qu’un bon logiciel de sécurité : elles doivent avoir un programme englobant les informations exploitables partagées, mais aussi des bonnes pratiques et une communauté centrées sur la veille des données de sécurité afin que leur clientèle puisse aussi tirer parti de la valeur de leur outil en place, déclare Ken Exner, directeur des produits, Elastic Le rapport “Global Threat Report” d’Elastic pour l’année 2022 est un élément important de notre programme de sécurité globale. Nous sommes ravis de partager avec l’ensemble de la communauté notre visibilité, nos capacités et notre expertise.”
À propos d’Elastic
Elastic (NYSE : ESTC) est une plateforme de premier plan pour les solutions optimisées pour la recherche. Nous aidons les organisations, leurs employés et leurs clients à obtenir plus rapidement des résultats pertinents. Avec des solutions pour la recherche d’entreprise, l’observabilité et la sécurité, nous améliorons l’expérience des clients et des employés, nous assurons le bon fonctionnement des applications essentielles et nous les protégeons des cybermenaces. Disponible partout où il y a des données, que ce soit dans un ou plusieurs clouds ou sur site, Elastic permet à plus de 19 000 clients et à plus de la moitié du Fortune 500 d’atteindre des objectifs toujours plus ambitieux, à grande échelle et sur une seule et unique plateforme.