Fortinet - Rapport FortiGuard Labs sur les menaces : la disruption sera la principale tendance en 2020
5 mars 2021
Bastian Seibel
Fortinet
Fortinet
Lorsque les FortiGuard Labs de Fortinet analysent le paysage des menaces pour le dernier semestre 2020, un seul mot vient à l'esprit des experts en sécurité informatique : disruption. Et cela signifie bien plus qu'une simple interruption des activités commerciales. La première moitié de l'année 2020 a été marquée par des changements rapides dans la manière dont les entreprises gèrent leurs activités et interagissent avec leurs clients. Parallèlement, les cybercriminels ont rapidement exploité les craintes et les inquiétudes suscitées par la pandémie pour collecter des informations personnelles ou voler des données financières.
Alors qu'une grande partie de ce phénomène s'est poursuivie au cours du second semestre 2020, ce qui est documenté dans le nouveau "Global Threat Landscape Report" de FortiGuard Labs est plutôt une extension de cette première perturbation à grande échelle dans chaque verticale et dans toutes les régions géographiques.
Du jour au lendemain, les professionnels de la sécurité informatique ont dû repenser leurs stratégies de sécurité pour défendre leurs réseaux d'entreprise sur trois fronts à la fois : Les attaques ciblant le bureau WFH, les attaques sur la chaîne d'approvisionnement numérique et l'augmentation des attaques de ransomware sur les réseaux principaux.
1) Le Home Branch Office reste une cible de choix
La barrière qui existait entre se connecter au réseau de l'entreprise depuis un bureau d'entreprise et depuis son domicile a été brisée dans de nombreuses entreprises en 2020. Les réseaux d'entreprise ont été bouleversés, de nombreux employés accédant désormais aux ressources et applications réseau essentielles depuis leur bureau à domicile. Cette transition a été si soudaine qu'elle a laissé peu de temps pour planifier une stratégie de cybersécurité efficace. Résultat : lorsqu'un bureau à domicile obsolète et parfois insuffisamment sécurisé est "piraté", les attaquants sont déjà bien plus près de pouvoir également pirater le réseau de l'entreprise.
Certaines entreprises essaient encore de trouver comment étendre efficacement la sécurité informatique de leur entreprise aux postes de travail à domicile de leurs employés. Au cours du second semestre 2020 en particulier, les exploits ciblant les appareils de l'Internet des objets (IoT) tels que les systèmes de divertissement à domicile, les routeurs domestiques et les appareils de sécurité connectés ont fait partie des principales menaces. Chacun de ces appareils IoT offre une nouvelle surface d'attaque qui doit être défendue.
Entre-temps, les ressources qui étaient autrefois cachées derrière une multitude de solutions de sécurité de classe entreprise sont dans certaines situations protégées avec un peu plus qu'un cryptage SSL. Cela conduit à une augmentation des succès pour les cybercriminels qui attaquent les réseaux domestiques avec d'anciens exploits et les utilisent ensuite comme tête de pont pour lancer des attaques sur le réseau de l'entreprise ainsi que sur les applications et les ressources basées sur le cloud.
2) Les chaînes d'approvisionnement numériques occupent le devant de la scène
Les attaques contre les chaînes d'approvisionnement ont une longue histoire, mais l'affaire SolarWinds a porté le débat à un nouveau niveau. FortiGuard Labs a suivi de près les informations publiées et les a utilisées pour créer des Indicateurs de Compromission (IoC). L'identification du trafic lié à SUNBURST en décembre 2020 montre que le piratage a fait des victimes dans le monde entier, le "Five Eyes" révélant des taux d'IoC particulièrement élevés.
3) La ruée vers les ransomwares se poursuit.
L'activité des ransomwares a été multipliée par sept au second semestre 2020 par rapport au premier semestre. Le développement progressif des ransomwares en tant que service, l'accent mis sur la "chasse au gros gibier" (rançons importantes versées par de grandes cibles) et la menace de divulguer les données compromises si les demandes ne sont pas satisfaites ont créé un marché parallèle à la croissance massive. Jusqu'à la fin de l'année, ces pratiques ont été utilisées comme moyen de pression supplémentaire dans les campagnes de ransomware pour une grande partie des attaques.
Les campagnes de ransomware les plus actives suivies entre juillet et décembre 2020 étaient "Egregor", "Ryuk", "Conti", "Thanos", "Ragnar", "WastedLocker", "Phobos/EKING" et "BazarLoader". Les secteurs ciblés par les attaques de ransomware étaient variés et comprenaient notamment les soins de santé, les entreprises de services professionnels, les organisations du secteur public et les services financiers.
Pour faire face efficacement à l'évolution rapide et au risque croissant des ransomwares, les entreprises doivent apporter des changements fondamentaux à la sécurité de leurs données. Associé à la compromission de la chaîne d'approvisionnement numérique et à une main-d'œuvre qui se connecte au réseau de l'entreprise par télétravail, il existe un risque réel que les attaques puissent venir de n'importe où. Des solutions de sécurité basées sur le cloud, telles que SASE pour protéger les appareils hors réseau, des solutions avancées de sécurité des points finaux telles que EDR (Endpoint Detection and Response), qui peuvent interrompre les logiciels malveillants au milieu de l'attaque, ainsi que des stratégies d'accès zéro-trust et de segmentation du réseau qui limitent l'accès aux applications et aux ressources en fonction des politiques, doivent être mises en place pour réduire le risque et l'impact d'une attaque réussie de ransomware.
Tendances dans la diffusion des exploits de vulnérabilité
L'application de correctifs est une priorité constante pour les entreprises afin de combler les vulnérabilités et les failles de sécurité au sein d'un réseau d'entreprise. Concrètement, le défi est toutefois souvent le suivant : "Quels patchs ?" et "Quand faut-il les déployer ?" Il est difficile de répondre à ces questions, car peu d'entreprises disposent de données d'une ampleur suffisante pour apporter une réponse adéquate. Néanmoins, Fortinet veut tenter de faire la lumière sur ces questions grâce à l'expertise des FortiGuard Labs :
En suivant l'évolution de 1500 exploits au cours des deux dernières années, les FortiGuard Labs ont pu déterminer la vitesse et l'étendue de la propagation des exploits. Il semble que la plupart des exploits ne se propagent pas rapidement et largement. Concrètement, cela signifie que sur tous les exploits suivis au cours des deux dernières années, seuls 5 % environ ont été découverts par plus de 10 % des entreprises. Si une faille est choisie au hasard, les données montrent qu'il y a environ une chance sur mille qu'une organisation soit attaquée. Environ 6 % des exploits touchent environ 1 % des entreprises au cours du premier mois, et même après un an, 91 % des exploits n'ont pas encore franchi ce seuil de 1 %.
Indépendamment de cela, il est toujours conseillé de se concentrer sur les vulnérabilités avec des exploits connus et, parmi ces vulnérabilités, de donner la priorité à celles qui se propagent le plus rapidement dans la nature. Des solutions spécialisées comme Greenbone peuvent aider à cet égard.
Article original de Derek Manky, FortinetTraduit de l'anglais avec DeepL
Réduction et corrections par Simon Schmischke