lolloj - Fotolia
Les attaquants apparaissent généralement plus lents à tirer profit d’une compromission initiale
Le rapport annuel de Crowdstrike montre toutefois à quel point c’est d’une course de vitesse qu’il est question. Cela vaut tout particulièrement pour certains acteurs malicieux. Et les attaquants ne semblent pas intimidés par les gros poissons.
Les attaquants semblent avoir globalement besoin de plus de temps pour effectuer leurs déplacements latéraux au sein des environnements de leurs victimes. C’est la bonne nouvelle de l’édition 2019 du rapport de Crowdstrike sur les menaces informatiques. Mais cette bonne nouvelle ne doit pas éclipser d’autres enseignements peu rassurants.
Dans son rapport, l’éditeur accorde une importance toute particulière à un indicateur original, introduit pour la première fois avec l’édition précédente de ce rapport annuel : le délai nécessaire à un attaquant pour se déplacer latéralement dans le système d’information après la compromission initiale. Crowdstrike parle de « breakout time ».
Selon les les données de télémétrie recueillies par l’éditeur en 2018, auprès de ses clients, ce délai était en moyenne de 4 heures et 37 minutes. Une progression qualifiée de « substantielle par rapport à 1 heure et 58 minutes en 2017 ».
Pour Jennifer Ayers, vice-présidente de Crowdstrike en charge de l’activité OverWatch et de la réponse à incident, « l'augmentation de ce délai est une bonne chose et il y a une variété de facteurs qui ont pu y contribuer ». Et parmi eux, il faut compter avec l’intervention d’acteurs potentiellement moins rodés, « qui se déplacent plus lentement ». Mais également, « certains adversaires peuvent avoir des groupes différents qui remplissent des fonctions différentes, donc il peut y avoir des délais entre l’un et l’autre ». La bonne nouvelle ne traduit donc pas systématiquement une nette amélioration de la posture de sécurité globale des entreprises.
Le délai d’évasion, un indicateur clé
Crowdstrike met en avant le délai d’évasion, parce qu’il aide, selon lui, à évaluer les capacités opérationnelles des attaquants et donne une idée du temps dont disposent les entreprises avant qu'une intrusion initiale ne se transforme en quelque chose de plus grave. Jennifer Ayers estime d’ailleurs que ce court délai est crucial : « en tant que défenseur, vous devez être plus rapide que vos attaquants ; vous avez besoin de visibilité ; vous avez besoin d'outils performants ; et vous avez besoin de procédures efficaces en place qui vous permettront de bloquer ou de remédier aux menaces dès qu'elles sont identifiées ».
Dans son rapport, Crowdstrike a également classé le délai d'évasion des attaquants en fonction de leur région d’origine présumée. Et là, mauvaise nouvelle : les acteurs basés en Russie s’inscrivent à seulement 18 minutes et 49 secondes de délai d’évasion. Ce qui représente une avance considérable sur la concurrence : la Corée du Nord arrive en seconde position, certes, mais loin derrière, avec un délai d’évasion moyen de 2 heures, 20 minutes et 14 secondes. Les acteurs attribués à la Chine s’inscrivent quant à eux à 4 heures et 26 secondes en moyenne.
Face à cela, Jennifer Ayers recommande « la règle du 1-10-60 » : « il s'agit d'être capable de détecter en une minute, d'enquêter en 10 minutes et de prendre des mesures correctives, ou du moins de faire de son mieux en 60 minutes ». Pour cela, selon le rapport de Crowdstrike, il convient de surveiller les signes avant-coureurs d'une attaque et d’utiliser l'analyse contextuelle et comportementale – fournie en temps réel par l'apprentissage automatique et l'intelligence artificielle – pour détecter et prévenir efficacement les attaques.
Les attaques sans fichiers
L'utilisation de maliciels continue d'être une méthode dominante pour l'infiltration initiale. Mais les secteurs des médias, de la technologie, de l’enseignement supérieur, de la santé et de l'énergie ont connu une augmentation spectaculaire des attaques sans logiciels malveillants en 2018, selon le rapport Crowdstrike.
Jennifer Ayers indique ainsi constater là « une augmentation significative de l'utilisation des techniques de script, avec PowerShell, ou JavaScript, en utilisant les nombreux outils de script présents nativement dans Window, pour pouvoir télécharger leur deuxième ou troisième étage de charge utile, exécuter cette charge utile et ainsi de suite ». De quoi mieux passer inaperçu auprès des outils de protection des postes de travail et des serveurs.
Pour Avivah Litan, analyste chez Gartner, cette évolution a une conséquence : les entreprises ont besoin d'une approche de sécurité en couches qui va au-delà de la simple analyse des événements anormaux et suspects sur les hôtes de l’infrastructure et dans le réseau : « elles doivent également analyser l'activité au niveau de l'utilisateur et du compte utilisateur, ainsi que corréler les activités anormales entre plusieurs types de points d'ancrage ou d'entités, par exemple, hôte, réseau, données, fichier, utilisateur, niveau de privilèges du compte utilisateur et plus encore. Elles doivent également mettre en place des contrôles et des systèmes de détection qui recherchent spécifiquement les attaques sans malware s'exécutant en mémoire ». Et c’est bien sûr sans compter avec le rôle que peut jouer la formation des utilisateurs.
L'essor de la chasse au gros poisson
Mais Crowdstrike insiste sur une autre tendance particulière observée l’an passé : l'augmentation continue de la « chasse au gros poisson », une pratique consistant à utiliser des tactiques d'intrusion ciblées pour le déploiement de rançongiciels dans les grandes organisations.
Ces campagnes élaborées s’appuient souvent sur des techniques éprouvées de reconnaissance, de livraison et de déplacement latéral. Des groupes tels que Boss Spider (Samas, SamSam), Indrik Spider (Dridex) et Grim Spider (Ryuk) se sont ainsi particulièrement illustrés.
« Les cybercriminels ont déterminé que les paiements de 2 000 à 50 000 $ qu'ils recevaient les années passées n’étaient que des miettes », analyse Bryce Austin, PDG de TCE Strategy. « Les frappes plus ciblées ont largement dépassé la barre des 100 000 $, et les entreprises n'ont parfois d'autre choix que de payer. »
Pour se défendre contre de telles attaques, Bryce Austin suggère aux entreprises de déconnecter complètement leurs systèmes avant d'essayer de restaurer les serveurs à partir de sauvegardes. « Cela doit se faire en étant déconnecté d'Internet et de son réseau interne ». Et de recommander en outre de s’assurer de toujours préserver au moins 30 % d’espace disque libre sur les machines : « les ransomwares conduisent souvent à une saturation de l’espace de stockage. Et toutes les données chiffrées risquent alors d’être totalement irrécupérables ».
De son côté, Avivah Litan conseille le recrutement de chasseurs de menaces et de spécialistes du renseignement sur les menaces qui savent chercher et débusquer les attaquants préparant leurs offensives : « pour faire court, il faut anticiper les attaques en en cherchant des indications en dehors de l’entreprise ».