En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

41 % des cyberattaques dans le cloud exploitent les failles des accès protégés

Publication: Novembre 2022

Partagez sur
 
Le succès remporté par les tactiques de vol d’identité prouve que les contrôles de sécurité par défaut des clouds ne réussissent pas à éviter les attaques...
 

L’erreur humaine constitue le risque le plus important pour la sécurité du cloud. En effet, les utilisateurs surestiment la fiabilité de la sécurité de leurs déploiements dans le cloud.

Près de 41 % des alertes liées aux accès protégés par des identifiants concernaient des tentatives de vol des tokens d’accès aux applications plutôt que d’autres éléments justificatifs d’identité.

Les utilisateurs malveillants exploitent les logiciels commerciaux conçus pour aider les équipes de sécurité, mais pour échapper à la surveillance de ces mêmes équipes.

CobaltStrike, la charge utile ou le fichier binaire ciblant de la manière la plus étendue les points de terminaison Windows à des fins malveillantes, a représenté près de 35 % de l’ensemble des détections.

Les attaques aux points de terminaison se diversifient pour tenter de contourner les défenses en place.

Parmi toutes les techniques existantes d’évasion par la défense, 72 % d’entre elles étaient du masquage de données et l’exécution par procuration d’un fichier binaire sur un système, des méthodes permettant aux utilisateurs malveillants de fabriquer des éléments qui semblent légitimes ou de confiance. Ainsi, outre le contournement des outils de sécurité, les techniques d’évasion par la défense échappent aux systèmes garantissant la visibilité, ce qui allonge les temps de détection des menaces.

Grâce aux tendances identifiées, les entreprises bénéficient de la veille opérationnelle dont elles ont besoin pour renforcer leur technologie de sécurité et les stratégies requises afin d’observer et de protéger les systèmes métier essentiels contre les cybermenaces. Ce rapport est rédigé par , l’équipe d’ingénierie de l’entreprise chargée de rechercher les menaces, de les détecter et d’analyser les malwares. Les données fournies ont été collectées à l’aide de la télémétrie entre les mois d’août 2021 et d’août 2022 auprès des déploiements d’Elastic Security dispersés dans le monde entier.

Principales tendances abordées dans le rapport

L’erreur humaine constitue le risque le plus important pour la sécurité du cloud. En effet, les utilisateurs surestiment la fiabilité de la sécurité de leurs déploiements dans le cloud.

Près de 41 % des attaques dans le cloud exploitent les failles des accès protégés par des identifiants, ce qui prouve la tendance des utilisateurs à surestimer la fiabilité de la sécurité de leurs environnements cloud, mais aussi leur incapacité à les configurer et à les protéger de manière adéquate. En outre, les utilisateurs malveillants cherchent de plus en plus à exploiter les points de convergence de la technologie et des êtres humains, notamment les accès protégés par des identifiants qui, selon les résultats obtenus par Elastic Security Labs, représentent 1 alerte dans le cloud sur 3 (soit 33 %), tous prestataires de services cloud confondus.

Autres résultats essentiels concernant la sécurité du cloud :

- Près de 57 % des données télémétriques sur la sécurité du cloud proviennent d’AWS, contre 22 % pour Google Cloud et 21 % pour Azure.

- AWS : plus de 74 % des alertes sont liées aux accès protégés par des identifiants, à un accès initial et à des tactiques persistantes. Parmi elles, près de 57 % des techniques utilisées concernent des tentatives de vol des tokens d’accès aux applications qui est l’une des formes de vol d’identifiants les plus courantes dans le cloud.

- Google Cloud : près de 54 % des alertes sont liées à des violations de comptes de service. Parmi elles, 52 % des techniques reposent sur la manipulation de comptes. Cela prouve que les comptes de service sont toujours compromis à un rythme effréné lorsque leurs identifiants par défaut ne sont pas modifiés.

- Microsoft Azure : plus de 96 % des alertes sont liées aux événements d’authentification. Parmi elles, 57 % des techniques ciblent des comptes valides pour tenter de récupérer les tokens OAUTH2.

- Au total, 58 % des tentatives d’accès initial utilisent un mélange de tentatives traditionnelles par force brute et de pulvérisations de mots de passe déjà compromis.

Les utilisateurs malveillants exploitent les logiciels commerciaux conçus pour aider les équipes de sécurité, mais pour échapper à la surveillance de ces mêmes équipes.

Autres résultats essentiels concernant les malwares :

- Plus de 54 % de l’ensemble des infections par malwares dans le monde ont été détectés sur des points de terminaison Windows.

- Près de 81 % des malwares observés aux quatre coins du globe se fondent sur des chevaux de Troie, suivis par les cryptomineurs à hauteur de 11 %.

- MacKeeper est devenue la plus importante menace pour les appareils macOS : elle représente près de 36 % de toutes les détections, alors que les cryptomineurs génériques en constituent seulement 25 %.

Les attaques aux points de terminaison se diversifient pour tenter de contourner les défenses en place.

Les utilisateurs malveillants utilisent plus de 50 techniques d’infiltration des points de terminaison. Leur système de sécurité s’avère donc efficace étant donné que sa sophistication pousse les utilisateurs malveillants à toujours trouver une nouvelle méthode d’attaque pour arriver à leurs fins.

Trois tactiques MITRE ATT&CK® représentent 66 % de toutes les techniques d’infiltration des points de terminaison.

- Parmi toutes les techniques existantes d’évasion par la défense, 72 % d’entre elles étaient du masquage et l’exécution par procuration d’un fichier binaire sur un système. Ainsi, outre le contournement des outils de sécurité, les techniques d’évasion par la défense échappent aux systèmes garantissant la visibilité, ce qui allonge les temps de détection des menaces.

- Parmi les techniques existantes d’exécution, 59 % sont liées à des interprètes de script natifs et de commande, alors que 40 % concernent des violations de Windows Management Instrumentation. Par conséquent, les utilisateurs malveillants exploitent PowerShell, Windows Script Host et les fichiers de raccourcis Windows pour exécuter des commandes, des scripts ou des fichiers binaires.

- Près de 77 % de toutes les techniques ciblant les accès protégés par des identifiants concernent la récupération des identifiants de système d’exploitation à l’aide d’utilitaires bien connus. Cette tendance s’inscrit dans la lignée des tentatives des utilisateurs malveillants de se reposer sur des comptes valides pour ne pas attirer l’attention des administrateurs dans les environnements de déploiements hybrides associant hébergement sur site et prestataires de services cloud.

Même si les utilisateurs malveillants ont toujours utilisé en priorité des techniques ciblant les accès protégés par des identifiants, ils investissent désormais dans des tactiques d’évasion par la défense, une évolution prouvant leur adaptation aux améliorations apportées aux technologies de sécurité qui les empêchent d’arriver à leurs fins. Lorsqu’ils utilisent également des techniques d’exécution, les utilisateurs malveillants sont en mesure de contourner les contrôles avancés des points de terminaison sans être détectés au sein des environnements des entreprises.

Témoignage

"Pour éviter de manière efficace les menaces de cybersécurité, les entreprises ont besoin de bien plus qu’un bon logiciel de sécurité : elles doivent avoir un programme englobant les informations exploitables partagées, mais aussi des bonnes pratiques et une communauté centrées sur la veille des données de sécurité afin que leur clientèle puisse aussi tirer parti de la valeur de leur outil en place," déclare Ken Exner, directeur des produits, Elastic. "Le rapport "Global Threat Report" d’Elastic pour l’année 2022 est un élément important de notre programme de sécurité globale. Nous sommes ravis de partager avec l’ensemble de la communauté notre visibilité, nos capacités et notre expertise."

https://www.elastic.co/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: