Les entreprises ne détectent pas mieux les attaquants, ils sortent de l’ombre plus vite
L’édition 2021 du rapport M-Trends de FireEye Mandiant montre que les assaillants restent moins longtemps tapis dans l’ombre. Mais c’est moins parce qu’ils sont débusqués que parce que leurs dégâts sautent aux yeux.
À première vue, les chiffres de l’édition 2021 du rapport M-Trends de Mandiant, basés sur les interventions de cette division de FireEye l’an passé, peuvent paraître flatteurs. Mais comme l’an passé, ils soulignent surtout la part croissante des incidents de cybersécurité difficiles, sinon impossibles, à cacher.
De fait, en moyenne, les cyberattaques sont à 59 % détectées par les organisations concernées elles-mêmes, contre 47 % en 2019, et 6 % en 2011. Cette tendance est plus marquée dans les Amériques, mais vaut également dans tout le reste du monde. Et ce n’est pas le seul chiffre en apparence positif !
L’an passé, lorsqu’une cyberattaque a été découverte en interne, le temps médian de séjour des assaillants est tombé à 12 jours, contre 30 en 2019, et 50,5 l’année précédente. Lorsqu’elle est notifiée par un tiers externe à l’organisation, la baisse est encore plus marquée : 73 jours de durée de séjour médian des attaquants avant leur découverte, contre 141 en 2019, et 184 un an plus tôt. En 2015, il fallait compter 320 jours avant qu’une entreprise ne découvre avoir été compromise… à l’occasion d’une notification externe !
L’effet ransomware
Faut-il y voir le signe que les clients de FireEye/Mandiant ont considérablement gagné en maturité et renforcé leurs capacités de détection au cours des dernières années ? Pas vraiment, hélas. De l’aveu même des auteurs du rapport M-Trends, il faut chercher avant tout l’explication du côté de la nature des attaques. Ainsi, en 2019, les attaques de ransomware n’avaient compté que pour 14 % des interventions de Mandiant… contre 25 % en 2020.
Pour ne rien gâcher, les victimes de rançongiciel ont représenté 27 % des interventions de Mandiant en septembre 2020… contre 17 % en août, ou encore 8 % en février. De quoi conforter les observations antérieures concluant à une explosion de cette menace.
Et l’une des caractéristiques majeures des cyberattaques de rançongiciel est bien connue : lorsque la charge de chiffrement est déclenchée, en fin d’attaque, ça saute tant aux yeux qu’il est impossible de passer à côté.
Justement, pour les attaques de ransomware, la durée de séjour médiane des attaquants avant leur découverte n’était que de 5 jours en 2020… contre 45 % pour les autres investigations. Clairement, l’évolution du volume des attaques de rançongiciel tire les chiffres de délai de séjour avant découverte vers le bas. Les auteurs du rapport enfoncent d’ailleurs le clou : « seul 1 % des intrusions de ransomware a affiché un délai de séjour de 700 jours ou plus, contre 11 % pour les autres ».
Autre signe de l’état préoccupant des capacités de détection, le nombre d’assaillants observés dans l’environnement de la victime : en 2019, ils étaient plusieurs dans 15 % des cas, au moment de découverte de la présence d’un intrus, contre 29 % en 2020.
Et l’on ne peut que souligner l’importance de la détection des étapes intermédiaires des attaques. Car ce qu’ont le plus souvent observé les équipes de Mandiant l’an passé, ce sont des balises Cobalt Strike (24 % des intrusions), loin devant les agents PowerShell du framework Empire (8 %), ou Metasploit (3 %).
La question de la gestion des vulnérabilités
De nombreuses cyberattaques observées l’an passé ont fait ressortir des faiblesses criantes, interrogeant sur les pratiques de gestion des vulnérabilités, tout particulièrement sur les systèmes d’accès distant aux ressources du système d’information.
Alors c’est sans surprise que les auteurs du rapport indiquent que l’exploitation de vulnérabilités a été observée dans 29 % des cas sur lesquels les équipes de Mandiant sont intervenues l’an dernier, contre 23 % pour le phishing. Le détournement de comptes utilisateurs – par vol d’identifiants ou force brute – a compté pour 19 % des cas.
Explosion des attaques de ransomware oblige, le gain financier direct a motivé 36 % des intrusions. Et si le vol de données a été observé dans 32 % des cas, il n’a été motivé par l’espionnage que dans moins d’un tiers de ces incidents.
L’homogénéité des parcs informatiques, prisée par les administrateurs, ne joue pas non plus en faveur des défenseurs : seuls 13 % des logiciels malveillants observés en 2020 étaient effectifs contre Linux, et 5 % contre macOS. Si clairement les systèmes d’exploitation alternatifs à Windows ne sont pas à l’abri des attaques, une certaine hétérogénéité des parcs apparaît susceptible d’aider, ou à tout le moins de rendre la tâche plus difficile aux attaquants.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Ransomware : des identifiants compromis aux avant-postes de près de 40 % des attaques
-
Cybersécurité : le temps de présence des attaquants diminue, le nombre de ransomwares augmente
-
Mandiant fait passer Sandworm au niveau APT44 en raison de l’augmentation de la menace
-
Chainalysis : 2023, une année « charnière » pour les ransomwares