Trace Id is missing

L’identité est le nouveau champ de bataille

Télécharger
Partager
Un homme et une femme assis à une table, en train d’utiliser un ordinateur portable.

Numéro 1 de Cyber Signals : Découvrez comment les cybermenaces évoluent et quelles sont les mesures à prendre pour mieux protéger votre organisation.

Il existe un décalage dangereux entre les protocoles de sécurité de la plupart des organisations et les menaces auxquelles elles sont confrontées. Bien que les attaquants tentent d’infiltrer de force les réseaux, leur tactique préférée est plus simple : deviner des mots de passe de connexion faibles. Les mesures de base telles que l'authentification multifacteur sont efficaces contre 98 % des attaques, mais seulement 20 % des organisations les utilisent pleinement (Rapport de défense numérique Microsoft, 2021).

Dans le numéro 1, vous découvrirez les tendances actuelles en matière de sécurité et les recommandations des chercheurs et experts de Microsoft :

  • Qui s’appuie sur des attaques basées sur le mot de passe et l'identité.
  • Que fairepour contrer les attaques, y compris les stratégies relatives aux points de terminaison, aux courriels et à l'identité.
  • Quand donner la priorité à différentes mesures de sécurité.
  • Où les souches de rançongiciel infiltrent et prolifèrent dans les réseaux, et comment les arrêter.
  • Pourquoi la protection de l'identité reste la plus grande source d'inquiétude, mais est aussi la plus grande opportunité de renforcer votre sécurité.

Les acteurs des États-nations redoublent d'efforts pour s'emparer des éléments constitutifs de l'identité

Les cyberattaques menées par des acteurs des États-nations sont de plus en plus nombreuses. Malgré leurs vastes ressources, ces adversaires s'appuient souvent sur des tactiques simples pour voler des mots de passe faciles à deviner. Ils peuvent ainsi accéder rapidement et facilement aux comptes des clients. Dans le cas des attaques d'entreprises, l’infiltration du réseau d'une organisation permet aux acteurs étatiques de prendre pied et de se déplacer soit verticalement, en passant par des utilisateurs et des ressources similaires, soit horizontalement, en accédant à des informations d'identification et à des ressources plus précieuses.

Le harponnage (spear-phishing), les attaques de piratage psychologique et les pulvérisations de mots de passe à grande échelle sont des tactiques de base utilisées par les acteurs étatiques pour voler ou deviner les mots de passe. Microsoft comprends mieux les techniques utilisées par les attaquants et leurs succès en observant les tactiques et les techniques dans lesquelles ils investissent et qu'ils utilisent avec succès. Si les informations d'identification des utilisateurs sont mal gérées ou laissées vulnérables sans mesures de protection essentielles telles que l'authentification multifacteur (MFA) et les fonctions sans mot de passe, les États-nations continueront d'utiliser les mêmes tactiques simples.

On ne saurait trop insister sur la nécessité d'imposer l'adoption de la MFA ou de se passer de mot de passe, car la simplicité et le faible coût des attaques axées sur l'identité les rendent pratiques et efficaces pour les acteurs. Bien que la MFA ne soit pas le seul outil de gestion des identités et des accès que les organisations devraient utiliser, elle peut constituer un puissant moyen de dissuasion contre les attaques.

L'abus des informations d'identification est une pratique courante de NOBELIUM, un État-nation adversaire lié à la Russie. Cependant, d'autres adversaires, tels queDEV 0343, lié à l’Iran, utilisent également des pulvérisateurs de mots de passe. L'activité de DEV-0343 a été observée dans des entreprises de défense produisant des radars militaires, des technologies de drones, des systèmes satellitaires et des systèmes de communication d'urgence. D'autres activités ont ciblé les ports d'entrée régionaux du golfe Persique et plusieurs sociétés de transport maritime et de fret dont les activités se concentrent sur le Moyen-Orient.
Répartition des cyberattaques basées sur l'identité lancées par l'Iran
Les pays les plus visés par l'Iran entre juillet 2020 et juin 2021 sont les États-Unis (49 %), Israël (24 %) et l'Arabie saoudite (15 %). Pour en savoir plus sur cette image, consultez la page 4 du rapport complet

Les organisations devraient :

Activer l’authentification multifacteur : Ce faisant, elles réduisent le risque que les mots de passe tombent entre de mauvaises mains. Mieux encore, éliminez complètement les mots de passe en utilisant la MFA sans mot de passe.
Auditer les privilèges des comptes : Les comptes à accès privilégié, s'ils sont détournés, deviennent une arme puissante que les attaquants peuvent utiliser pour obtenir un accès plus large aux réseaux et aux ressources. Les équipes de sécurité doivent vérifier fréquemment les privilèges d'accès, en appliquant le principe du privilège minimum accordé pour permettre aux employés de faire leur travail.
Examiner, renforcer et surveiller tous les comptes d'administrateurs locataires : Les équipes de sécurité doivent examiner minutieusement tous les utilisateurs administrateurs clients ou les comptes liés à des privilèges administratifs délégués afin de vérifier l'authenticité des utilisateurs et des activités. Elles doivent ensuite désactiver ou supprimer tous les privilèges administratifs délégués non utilisés.
Établir et appliquer une base de référence de sécurité pour réduire les risques : Les États-nations jouent sur le long terme et disposent des fonds, de la volonté et de l'envergure nécessaires pour développer de nouvelles stratégies et techniques d'attaque. Chaque initiative de renforcement du réseau retardée en raison de la bande passante ou de la bureaucratie joue en leur faveur. Les équipes de sécurité devraient donner la priorité à la mise en œuvre de pratiques de confiance zéro telles que la MFA et des mises à niveau sans mot de passe . Ils peuvent commencer par les comptes privilégiés afin d'obtenir rapidement une protection, puis s'étendre de manière progressive et continue.

Les rançongiciels occupent une place prépondérante dans les esprits, mais seules quelques souches dominent

L'idée dominante semble être qu'il existe un nombre massif de nouvelles menaces de rançongiciels qui dépassent les capacités des défenseurs. Cependant, l'analyse de Microsoft montre que cette affirmation est erronée. On a également l'impression que certains groupes de rançongiciels constituent une entité monolithique unique, ce qui est également faux. Ce qui existe, c'est une économie cybercriminelle dans laquelle les différents acteurs des chaînes d'attaque banalisées font des choix délibérés. Ils sont guidés par un modèle économique visant à maximiser les profits en fonction de la manière dont chacun exploite les informations auxquelles il a accès. Le graphique ci-dessous montre comment différents groupes profitent de diverses stratégies de cyberattaque et d'informations provenant de violations de données.

Prix moyens des différents services de cybercriminels
Prix moyens des services de cybercriminalité à vendre. Le prix des demandes d’attaques commence à 250 USD par tâche. Les kits de rançongiciel coûtent 66 USD ou 30 % des bénéfices. Les appareils compromis coûtent 13 centimes par PC et 82 centimes par appareil mobile. Les demandes de harponnage varient entre 100 USD et 1 000 USD. Les paires de noms d'utilisateur et de mots de passe volés commencent à 97 centimes pour 1 000 en moyenne. Pour en savoir plus sur cette image, consultez la page 5 du rapport complet  

Cela dit, quelles que soient la quantité de rançongiciels existants ou les souches impliquées, tout se résume en fait à trois vecteurs d'entrée : la force brute du protocole de bureau à distance (RDP), les systèmes vulnérables accessibles sur Internet et le hameçonnage. Tous ces vecteurs peuvent être atténués par une protection adéquate des mots de passe, une gestion des identités et des mises à jour logicielles, en plus d'un ensemble complet d'outils de sécurité et de conformité. Un type de rançongiciels ne peut devenir prolifique que lorsqu'il a accès à des informations d'identification et qu'il a la capacité de se propager. À partir de là, même s'il s'agit d'une souche connue, elle peut faire beaucoup de dégâts.

Représentation graphique des acteurs de la menace, depuis l'accès initial jusqu'aux mouvements latéraux à travers le système
Le chemin du comportement de l'acteur de la menace une fois que le système a été violé, depuis le point d'accès initial jusqu'au vol d'informations d'identification et au déplacement latéral à travers le système. Trace un chemin persistant pour capturer les comptes et acquérir la charge utile du rançongiciel. Pour en savoir plus sur cette image, consultez la page 5 du rapport complet

Les équipes de sécurité doivent :

Comprendre que les rançongiciels se nourrissent d'informations d'identification par défaut ou compromises : Par conséquent, les équipes de sécurité devraient accélérer les mesures de protection telles que la mise en œuvre de la MFA sans mot de passe pour tous les comptes d'utilisateur et la priorisation des rôles de direction, d'administrateur et autres rôles privilégiés.
Identifier comment repérer les anomalies révélatrices à temps pour agir : Les connexions précoces, les mouvements de fichiers et autres comportements qui introduisent les rançongiciels peuvent sembler anodins. Néanmoins, les équipes doivent surveiller les anomalies et agir rapidement.
Disposer d'un plan de réponse aux rançongiciels et effectuer des exercices de récupération : Nous vivons à l'ère de la synchronisation et du partage dans le nuage, mais les copies de données sont différentes des systèmes informatiques et des bases de données entières. Les équipes doivent visualiser et pratiquer ce à quoi ressemblent les restaurations complètes.
Gérer les alertes et prendre rapidement des mesures d'atténuation : Bien que tout le monde craigne les attaques de rançongiciel, les équipes de sécurité devraient avant tout s'attacher à renforcer les configurations de sécurité faibles qui permettent à l'attaque de réussir. Elles doivent gérer les configurations de sécurité de manière à ce que les alertes et les détections fassent l'objet d'une réponse appropriée.
Courbe de distribution de la protection montrant comment une hygiène de base en matière de sécurité peut protéger contre 98 % des attaques
Protégez-vous contre 98 % des attaques en utilisant un logiciel anti-malware, en appliquant l'accès de privilège minimal, en activant l'authentification multifacteur, en gardant les versions à jour et en protégeant les données. Les 2 % restants de la courbe comprennent les attaques hors normes. Pour en savoir plus sur cette image, consultez la page 5 du rapport complet
Obtenez des conseils supplémentaires de Christopher Glyer , responsable principal de la veille des menaces chez Microsoft sur la façon de sécuriser l'identité.

Plus de 24 billions de signaux quotidiens permettent d'obtenir des informations et de bloquer les menaces

Menaces sur les points de terminaison :
Microsoft Defender pour point de terminaison a bloqué plus de 9,6 milliards de menaces de logiciels malveillants ciblant les appareils des entreprises et des particuliers, entre janvier et décembre 2021.
Menaces par courriel :
Microsoft Defender pour Office 365 a bloqué plus de 35,7 milliards de courriels de hameçonnage et autres courriels malveillants ciblant les entreprises et les particuliers, entre janvier et décembre 2021.
Menaces liées à l’identité :
Microsoft (Azure Active Directory) a détecté et bloqué plus de 25,6 milliards de tentatives de détournement de comptes clients d'entreprises par forçage brutal de mots de passe volés, entre janvier et décembre 2021.

Méthodologie : Pour l’instantané des données, les plateformes Microsoft, y compris Defender et Azure Active Directory, ont fourni des données anonymes sur l'activité des menaces, telles que les tentatives de connexion par force brute, le hameçonnage et autres courriels malveillants ciblant les entreprises et les consommateurs, et les attaques de logiciels malveillants entre janvier et décembre 2021. D'autres informations proviennent des 24 billions de signaux de sécurité quotidiens recueillis dans l'ensemble de Microsoft, y compris dans le nuage, les points de terminaison et la périphérie intelligente. Les données d'authentification forte combinent la MFA et la protection sans mot de passe.

Identité Rançongiciel État-nation

Articles connexes

Numéro 2 de Cyber Signals : Extorsions économiques

Écouter les experts en première ligne sur le développement du rançongiciel en tant que service. Des programmes et charges utiles aux répartiteurs d’accès en passant par les affiliés, découvrez les outils, tactiques et cibles que les cybercriminels privilégient et obtenez une aide pour protéger votre organisation.
En savoir plus

Défendre l’Ukraine : Les premières leçons à tirer de la cyberguerre

Les derniers résultats de nos efforts en matière de veille des menaces dans le cadre de la guerre entre la Russie et l'Ukraine, ainsi qu'une série de conclusions tirées de ses quatre premiers mois, renforcent la nécessité de poursuivre et d'accroître les investissements dans la technologie, les données et les partenariats afin de soutenir les gouvernements, les entreprises, les ONG et les universités.
En savoir plus

Profil d’expert : Christopher Glyer

En tant que responsable principal de la renseignement sur les cybermenaces avec un focus sur les rançongiciels (ransomware) au Centre de veille des menaces Microsoft (MSTIC), Christopher Glyer fait partie de l’équipe qui enquête sur la façon dont les auteurs des menaces les plus avancées accèdent aux systèmes et les exploitent.
En savoir plus