Trace Id is missing

Anatomie d’une surface d’attaque externe

Comprendre l’anatomie d’une attaque de surface externe

Cinq éléments que les organisations doivent surveiller

Le monde de la cybersécurité devient de plus en plus complexe à mesure que les organisations se tournent vers le nuage et le travail décentralisé. Aujourd’hui, la surface d’attaque externe s’étend sur une multitude de clouds, de chaînes d’approvisionnement numériques complexes et d’écosystèmes tiers massifs. Par conséquent, l’ampleur même des problèmes de sécurité globaux désormais courants a radicalement modifié notre perception de la sécurité globale.

Internet fait désormais partie du réseau. Malgré sa taille presque insondable, les équipes de sécurité doivent défendre la présence de leur organisation sur Internet au même titre que tout ce qui se trouve derrière leurs pare-feu. Alors que de plus en plus d’organisations adoptent les principes de la Confiance nulle, la protection des surfaces internes et externes devient un défi à l’échelle d’Internet. C’est pourquoi il est de plus en plus essentiel pour les organisations de comprendre l’étendue de leur surface d’attaque.

Microsoft a acquis RiskIQ en 2021 pour aider les organisations à évaluer la sécurité de l’ensemble de leur entreprise numérique. Grâce au graphique de veille sur Internet de RiskIQ, les organisations peuvent découvrir et étudier les menaces à travers les composants, les connexions, les services, les appareils connectés au réseau IP et l’infrastructure qui constituent leur surface d’attaque afin de créer une défense résiliente et évolutive.

Pour les équipes de sécurité, la profondeur et l’étendue de ce qu’elles doivent défendre peuvent sembler décourageantes. Cependant, une façon de mettre en perspective l’étendue de la surface d’attaque de leur organisation est de considérer Internet du point de vue d’un attaquant. Cet article met en lumière cinq domaines qui permettent de mieux cerner les défis d’une gestion efficace de la surface d’attaque externe.

La surface d’attaque globale croît avec Internet

Et elle croît de jour en jour. En 2020, la quantité de données sur Internet atteindra 40 zettaoctets, soit 40 000 milliards de gigaoctets.1 RiskIQ a constaté que chaque minute, 117 298 hôtes et 613 domaines2 viennent s’ajouter aux nombreux threads entrelacés qui constituent le tissu complexe de la surface d’attaque globale. Chacun d’entre eux contient un ensemble d’éléments, tels que les systèmes d’exploitation, les infrastructures, les applications tierces, les plug-ins et le code de suivi sous-jacents. Avec chacun de ces sites qui prolifèrent rapidement et qui contiennent ces éléments, l’étendue de la surface d’attaque globale augmente de manière exponentielle.

La surface d’attaque globale croît chaque minute

  • hôtes créés chaque minute.
  • domaines créés chaque minute.
  • 375 nouvelles menaces chaque minute.2

Tant les organisations légitimes que les acteurs de la menace contribuent à cette croissance, ce qui signifie que les cybermenaces augmentent à l’échelle du reste d’Internet. Les menaces persistantes avancées (APT) sophistiquées et les petits cybercriminels menacent la sécurité des entreprises en ciblant leurs données, leur marque, leur propriété intellectuelle, leurs systèmes et leur personnel.

Au premier trimestre 2021, CISCO a détecté 611 877 sites d’hameçonnage uniques3 avec 32 événements de violation de domaine et 375 nouvelles menaces totales émergeant par minute.2 Ces menaces ciblent les employés et les clients des organisations avec des ressources malveillantes, cherchant à les inciter à cliquer sur des liens malveillants et à les hameçonner pour obtenir des données sensibles, ce qui peut fragiliser la confiance dans la marque et la confiance des consommateurs.

L’augmentation des vulnérabilités liées aux employés travaillant à distance

La croissance rapide des ressources exposées sur Internet a considérablement élargi le spectre des menaces et des vulnérabilités affectant l’organisation moyenne. Avec l’avènement du COVID-19, la croissance numérique s’est à nouveau accélérée, la quasi-totalité des organisations étendant leur empreinte numérique pour s’adapter à des employés et à un modèle d’entreprise distants et très flexibles. Résultat : les attaquants disposent désormais d’un nombre beaucoup plus important de points d’accès à explorer ou à exploiter.

L’utilisation de technologies d’accès à distance telles que le RDP (Remote Desktop Protocol) et le VPN (Virtual Private Network) a grimpé en flèche, de 41 % et 33 %4 respectivement, la plupart des pays ayant adopté une politique de télétravail. La taille du marché mondial des logiciels de bureau à distance, de 1,53 milliard USD en 2019, atteindra 4,69 milliards USD d’ici 2027.5

Des dizaines de nouvelles vulnérabilités dans les logiciels et dispositifs d’accès à distance ont donné aux attaquants des moyens d’action qu’ils n’avaient jamais eus. RiskIQ a mis en évidence de nombreux cas de vulnérabilité des dispositifs d’accès à distance et de périmètre les plus courants, et le rythme soutenu des vulnérabilités ne s’est pas ralenti. Au total, 18 378 vulnérabilités ont été signalées en 2021.6

Un nouveau paysage de la vulnérabilité

  • d’augmentation de l’utilisation de RDP.
  • d’augmentation de l’utilisation de VPN.
  • vulnérabilités signalées en 2021.

Avec l’augmentation des attaques à l’échelle mondiale orchestrées par de multiples groupes de menaces et adaptées aux entreprises numériques, les équipes de sécurité doivent atténuer les vulnérabilités pour elles-mêmes, les tiers, les partenaires, les applications contrôlées et non contrôlées, et les services au sein et entre les relations de la chaîne d’approvisionnement numérique.

Les chaînes d’approvisionnement numériques, les fusions-acquisitions et l’informatique fantôme créent une surface d’attaque cachée

La plupart des cyberattaques prennent naissance à des kilomètres du réseau. Les applications web constituent la catégorie de vecteurs la plus couramment exploitée dans les violations liées au piratage. Malheureusement, la plupart des organisations n’ont pas une vue complète de leurs ressources Internet et de la manière dont ces ressources sont connectées à la surface d’attaque globale. Trois facteurs importants contribuent à ce manque de visibilité : l’informatique fantôme, les fusions-acquisitions et les chaînes d’approvisionnement numériques.

Dépendances à risque

  • services expirés par minute.2
  • des transactions font l’objet d’un devoir de vigilance en matière de cybersécurité7
  • des organisations ont subi au moins une violation de données causée par un tiers.8

Informatique fantôme

 

Lorsque l’informatique n’est pas en mesure de répondre aux besoins de l’entreprise, celle-ci se tourne vers d’autres services pour obtenir de l’aide dans le développement et le déploiement de nouvelles ressources web. L’équipe de sécurité est souvent tenue à l’écart de ces activités informatiques parallèles et, par conséquent, ne peut pas intégrer les ressources créées dans le champ d’application de son programme de sécurité. Les ressources non gérées et orphelines peuvent, au fil du temps, devenir une menace pour la surface d’attaque d’une organisation.

Cette prolifération rapide des ressources numériques en dehors du pare-feu est désormais la norme. Les nouveaux clients de RiskIQ trouvent généralement environ 30 % de ressources en plus que ce qu’ils pensaient avoir, et RiskIQ détecte 15 services expirés (susceptibles d’être pris en charge par un sous-domaine) et 143 ports ouverts chaque minute.2

Fusions-acquisitions

 

Les opérations quotidiennes et les initiatives commerciales essentielles, telles que les fusions-acquisitions, les partenariats stratégiques et la sous-traitance, créent et élargissent les surfaces d’attaque externes. Aujourd’hui, moins de 10 % des transactions à l’échelle mondiale font l’objet d’un devoir de vigilance en matière de cybersécurité.

Plusieurs raisons expliquent pourquoi les organisations n’ont pas une vue complète des cyber-risques au cours du processus de devoir de vigilance. La première est l’ampleur de la présence numérique de l’entreprise acquise. Il n’est pas rare qu’une grande organisation possède des milliers, voire des dizaines de milliers de sites web actifs et d’autres ressources exposés au public. Si les équipes informatiques et de sécurité de l’entreprise à racheter disposent d’un registre des sites web, il ne s’agit presque toujours que d’une vue partielle de ce qui existe. Plus les activités informatiques d’une organisation sont décentralisées, plus l’écart est important.

Chaînes d’approvisionnement

 

L’entreprise est de plus en plus dépendante des alliances numériques qui forment la chaîne d’approvisionnement moderne. Si ces dépendances sont essentielles pour fonctionner au XXIᵉ siècle, elles créent également un réseau encombré, stratifié et très compliqué de relations avec des tiers, dont beaucoup ne relèvent pas de la compétence des équipes chargées de la sécurité et de la gestion des risques, qui ne peuvent les protéger et les défendre de manière proactive. Par conséquent, l’identification rapide des ressources numériques vulnérables qui signalent un risque est un défi de taille.

Le manque de compréhension et de visibilité de ces dépendances a fait des attaques de tiers l’un des vecteurs les plus fréquents et les plus efficaces pour les acteurs de la menace. Une grande partie des attaques passe désormais par la chaîne d’approvisionnement numérique. Aujourd’hui, 70 % des professionnels de l’informatique indiquent un niveau de dépendance modéré à élevé à l’égard d’entités externes, qu’il s’agisse de tiers ou de sous-traitants indirects.9 Dans le même temps, 53 % des organisations ont subi au moins une violation de données causée par un tiers.10

Si les attaques à grande échelle contre la chaîne d’approvisionnement sont de plus en plus fréquentes, les organisations sont confrontées quotidiennement à des attaques de moindre envergure. Les logiciels malveillants de skimming de cartes de crédit comme Magecart affectent les plug-ins e-commerce tiers. En février 2022, RiskIQ a détecté plus de 300 domaines affectés par le logiciel malveillant de skimming de cartes de crédit numériques Magecart.11

Chaque année, les entreprises investissent davantage dans le mobile, car le comportement des consommateurs moyen est de plus en plus axé sur le mobile. Les Américains passent désormais plus de temps sur leur téléphone mobile qu’à regarder la télévision en direct, et la distanciation sociale les a amenés à transférer davantage de leurs besoins physiques vers les appareils mobiles, comme les achats et l’éducation. App Annie montre que les dépenses mobiles atteindront le chiffre stupéfiant de 170 milliards USD en 2021, soit une croissance de 19 % d’une année sur l’autre.12

Cette demande de mobilité crée une prolifération massive d’applications mobiles. Les utilisateurs ont téléchargé 218 milliards d’applications en 2020. Par ailleurs, RiskIQ a noté une croissance globale de 33 % des applications mobiles disponibles en 2020, avec 23 applications apparaissant chaque minute.2

Les magasins d’applications constituent une surface d’attaque croissante

  • de croissance des applications mobiles.
  • applications mobiles apparaissent chaque minute.
  • application bloquée toutes les cinq minutes.2

Pour les organisations, ces applications permettent d’obtenir des résultats commerciaux. Cependant, elles peuvent représenter une arme à double tranchant. Le paysage des applications représente une part importante de la surface d’attaque globale d’une entreprise qui existe au-delà du pare-feu, où les équipes de sécurité souffrent souvent d’un manque critique de visibilité. Les acteurs de la menace se sont enrichis en profitant de cette opacité pour produire des « applications malveillantes » qui imitent des marques connues ou prétendent être ce qu’elles ne sont pas, dans le but de tromper les clients et de les inciter à les télécharger. Une fois qu’un utilisateur peu méfiant a téléchargé ces applications malveillantes, les acteurs de la menace peuvent faire ce qu’ils veulent, en hameçonnant des informations sensibles ou en téléchargeant des logiciels malveillants sur les appareils. RiskIQ ajouter une application mobile malveillante sur une liste toutes les cinq minutes.

Ces applications malveillantes apparaissent rarement dans les magasins officiels et parviennent même à déjouer les défenses robustes des principaux magasins d’applications. Cependant, des centaines de magasins d’applications moins réputés représentent un monde mobile obscur en dehors de la sécurité relative des magasins connus. Les applications de ces magasins sont beaucoup moins réglementées que les magasins d’applications officiels, et certains sont tellement envahis d’applications malveillantes qu’ils sont plus nombreux que les applications sécurisées.

La surface d’attaque globale fait également partie de la surface d’attaque d’une organisation

Aujourd’hui, la surface d’attaque globale d’Internet s’est transformée de manière spectaculaire en un écosystème dynamique, global et totalement imbriqué dont nous faisons tous partie. Si vous avez une présence sur Internet, vous communiquez avec tout le monde, y compris avec ceux qui veulent vous nuire. C’est pourquoi le suivi de l’infrastructure des menaces est tout aussi important que le suivi de votre propre infrastructure.

La surface d’attaque globale fait partie de la surface d’attaque d’une organisation

  • nouveaux logiciels malveillants sont détectés chaque jour.2
  • d’augmentation des variantes de logiciels malveillants.13
  • serveur Cobalt Strike toutes les 49 minutes.2

Différents groupes de menace recycleront et partageront l’infrastructure, les adresses IP, les domaines et les certificats, et utiliseront des outils de base open source, tels que des logiciels malveillants, des kits d’hameçonnage et des composants C2 pour éviter une attribution facile, en les adaptant et en les améliorant pour répondre à leurs besoins uniques.

Plus de 560 000 nouveaux logiciels malveillants sont détectés chaque jour, et le nombre de kits d’hameçonnage annoncés sur les places de marché clandestines de la cybercriminalité a doublé entre 2018 et 2019. En 2020, le nombre de variants de logiciels malveillants détectés a augmenté de 74 %.14 RiskIQ détecte désormais un serveur C2 Cobalt Strike toutes les 49 minutes.

Traditionnellement, la stratégie de sécurité de la plupart des organisations repose sur une approche de défense en profondeur, commençant par le périmètre et remontant jusqu’aux ressources à protéger. Cependant, il existe des décalages entre ce type de stratégie et la surface d’attaque, telle qu’elle est présentée dans ce rapport. Dans le monde actuel de l’implication numérique, les utilisateurs se trouvent en dehors du périmètre, tout comme un nombre croissant de ressources numériques d’entreprise exposées et de nombreux acteurs malveillants. L’application des principes de Confiance nulle à l’ensemble des ressources de l’entreprise peut contribuer à sécuriser les employés d’aujourd’hui, en protégeant les personnes, les appareils, les applications et les données, quel que soit leur emplacement ou l’ampleur des menaces auxquelles ils sont confrontés. Sécurité Microsoft propose une série d’outils d’évaluation ciblés pour vous aider à évaluer le niveau de maturité de Confiance nulle de votre organisation.

Articles connexes

La minute cybermenace

Lorsqu’une cyberattaque survient, chaque seconde compte. Pour illustrer l’ampleur et la portée du cybercrime à l’échelle mondiale, nous avons condensé une année de recherche sur la cybersécurité en une fenêtre de 60 secondes.

Le rançongiciel en tant que service

Le nouveau modèle économique du cybercrime, à savoir les attaques menées par l’homme, encourage les criminels de tous horizons.

L’essor de l’IoT et les risques pour l’OT

La circulation croissante de l’IoT met en péril la technologie opérationnelle, avec une série de vulnérabilités potentielles et une exposition aux acteurs de la menace. Découvrez comment protéger votre organisation.