Que sont les menaces persistantes avancées et comment les trouver?

Que sont les menaces persistantes avancées et comment les trouver?

Alors que les organisations sont confrontées à l’explosion de menaces nouvelles et novatrices, le temps et les ressources dont ils disposent pour leur faire face leur imposent souvent des contraintes. D’après le Wall Street Journal, le déficit de compétences en cybersécurité devrait atteindre 1,8 million d’ici 2022, obligeant souvent les équipes à hiérarchiser leurs charges de travail en fonction de ce qui optimisera les retours sur leurs efforts.

Pour la plupart d’entre eux, cela signifie s’attaquer aux programmes malveillants courants et déployer des solutions antivirus pour lutter contre les menaces basées sur les signatures, mais les grandes entreprises sont particulièrement exposées aux attaques les plus dangereuses: l’inconnu inconnu, qui, en cybersécurité, se manifeste comme une menace avancée.

Qu’est-ce qu’une menace persistante avancée (APT)?

Les menaces avancées sont ce pourquoi les responsables de la sécurité de l’information (CISO)  restent debout la nuit. Ils sont les plus difficiles à détecter et à défendre, mais représentent le plus grand risque pour l’organisation. Ces attaques sont généralement perpétrées par des acteurs de la menace hautement capables et bien équipés – généralement des États-nations ou des groupes parrainés par des États – via des actions spécifiques et ciblées.

Les chercheurs en renseignements sur les menaces et les agences de renseignements inventent constamment des surnoms divertissants pour ces groupes, tels que Office Monkeys et Stone Panda, mais leur travail est bien plus remarquable que leur identité. Bien que ces collectifs de piratage soient en grande partie sans nom et sans visage, vous avez probablement vu leur travail se présenter sous la forme de violations de données de grande envergure. Dans chacun de ces cas, les assaillants ont eu recours à des tactiques d’évitement, ce qui a rendu beaucoup plus difficile la tâche de savoir d’où venaient les attaques et comment elles traversaient le réseau.

Comment les entreprises se défendent-elles contre les menaces persistantes avancées?

Avec des ressources essentiellement illimitées à leur disposition, les acteurs de menace avancés représentent un défi intéressant pour les équipes de sécurité qui ne jouissent pas du même luxe. Avec une violation de données atteignant 3,9 millions de dollars et une durée moyenne de maintien de la menace persistante avancée supérieure à 80 jours, les équipes du centre d’opérations de sécurité (SOC) n’ont jamais été aussi pressées d’agir rapidement et de manière décisive en matière de détection et de réaction. Et même si toutes les menaces ne sont pas créées égales, il en va de même pour les cyberdéfenses.

Avec tant de questions sur la meilleure façon de se défendre contre les menaces avancées, IBM Security s’est associé au SANS Institute pour mieux comprendre comment les entreprises y font face. Dans une enquête menée auprès de plus de 360 ​​spécialistes de la sécurité de divers secteurs et entreprises, de différentes tailles, SANS a examiné les menaces que les entreprises ont rencontrées dans leur environnement, les angles morts de détection courants et le comportement des équipes de sécurité.

Examinons de plus près certaines des principales conclusions de l’enquête SANS.

Ce que tu ne sais pas peut te faire du mal

L’un des principaux locataires de la défense avancée contre les menaces est la visibilité à l’échelle de l’organisation. La visibilité est ce qui donne aux équipes SOC un avantage sur leur terrain par rapport aux acteurs de la menace, car les analystes connaissent parfaitement l’infrastructure de l’organisation et son état de fonctionnement normal. Un manque de visibilité sur l’environnement contribue souvent à créer des angles morts lors de la détection et à une réponse difficile avec des informations incomplètes ou manquantes. Plus de 48% des personnes interrogées ont déclaré que l’absence de visibilité sur le lieu de traitement des données constitue la principale lacune en matière de visibilité dans la détection avancée des menaces.

L’adoption des services cloud et la montée en puissance du cloud hybride aggravent encore ce problème. L’infrastructure cloud peut introduire une multitude de vecteurs de menace qui peuvent ne pas être présents dans les environnements locaux, tels que les attaques multi-cloud et multi-clients. Près de 77% des personnes interrogées sont entièrement dans le cloud ou ont une stratégie hybride, ce qui montre à quel point il est important que le SOC moderne surveille et analyse cette surface d’attaque.

Les entreprises ont encore du mal à détecter les ombres informatiques, en particulier dans le cloud, car l’utilisation d’applications SaaS non approuvées par les utilisateurs d’un secteur d’activité met en péril les informations de l’entreprise. La visibilité de cette activité est particulièrement importante pour la détection des menaces internes; Les entreprises ont besoin de savoir si les utilisateurs transfèrent des données vers des services de stockage en cloud personnels, tels que Google Drive ou Dropbox.

Bien que le cloud ne soit pas plus ou moins sécurisé que le déploiement sur site, 55% des personnes interrogées ont déclaré avoir des angles morts dans les environnements de cloud où leur solution d’analyse de sécurité actuelle ne peut pas s’intégrer. Les équipes de sécurité doivent rechercher des solutions qui s’intègrent dans des solutions d’infrastructure en tant que service (IaaS), de plate-forme en tant que service (PaaS) et SaaS afin de permettre une visibilité de l’activité dans le cloud et le risque de corréler les données avec des sources de journal existantes non modérées.

Une activité utilisateur anormale pourrait indiquer une attaque avancée

Un autre élément clé du rapport est le manque de compréhension de l’activité des utilisateurs. La compromission des informations d’identification, souvent par hameçonnage, est l’un des vecteurs les plus courants des menaces avancées. Lorsque des attaquants volent les informations d’identité d’un utilisateur privilégié, ils les exploitent souvent pour lancer des attaques supplémentaires de l’intérieur, puis abusent du niveau d’accès de la victime pour s’étendre à d’autres systèmes. Les attaquants expérimentés agissent souvent rapidement pour voler et utiliser des identifiants de compte légitimes. Plus les privilèges de ces comptes sont élevés, plus ils sont ciblés. Certaines des violations les plus importantes et les plus remarquables de la mémoire récente ont été causées par une compromission des informations d’identification, notamment Target et Starwood.

Dans le sondage, les répondants ont cité le piratage des informations d’identification (52%) et les abus d’utilisateurs privilégiés (49%) comme les menaces les plus courantes dans leur environnement. Pourtant, seulement 40% des entreprises considèrent les anomalies de comportement des utilisateurs comme une métrique pour leur équipe SOC. La capacité des organisations à contrôler exactement ce qui est considéré comme normal dans leur environnement pour détecter les anomalies présente un manque de détection, avec plus de 47% ayant du mal à le faire. Les organisations doivent chercher à utiliser des solutions qui basent l’accès utilisateur normal et à détecter lorsqu’un utilisateur déroge à ce comportement.

 

Comment la vidéo est devenue un vecteur dangereux pour les attaques de logiciels malveillants Année Sophomore d’UEM: «Quadrant magique 2019 Gartner pour les outils de gestion unifiée des Endpoints»