La part des incidents critiques a augmenté de moitié en 1 an selon Kaspersky.

Les infrastructures de plus en plus complexes, la pénurie de professionnels qualifiés et la sophistication croissante des attaques peuvent toutes affecter l'efficacité des équipes de cybersécurité et leur capacité à identifier les activités adverses avant que les incidents ne se produisent. Pour donner un aperçu du paysage actuel des menaces, Kaspersky a analysé les incidents clients anonymisés identifiés via son service MDR en 2021.

Selon le rapport qui en résulte, les organisations, tous secteurs confondus, ont été confrontées à des incidents critiques au cours de cette période. Certains secteurs verticaux ont été particulièrement exposés. Les attaques ciblées restent, comme l’année dernière, la principale cause de ces incidents critiques (40,7% des cas). Les malwares avec impact critique ont été identifiés dans 14% des cas et un peu moins de 13% des incidents critiques sont dus à l’exploitation de vulnérabilités rendues publiques. L’ingénierie sociale reste très présente, en représentant près de 5,5% des cas d’incidents graves. 

En 2021, des attaques ciblées ont été détectées dans chaque verticale représentée dans la recherche, à l'exception de l'éducation et des médias, même si des incidents liés à des attaques ciblées au sein de groupes ou d’entreprises médias ont été signalés. Le plus grand nombre d'attaques d'origine humaine a été détecté dans les verticales gouvernementales, industrielles, informatiques et financières.

Les incidents critiques se distinguent par une large utilisation de binaires "living-off-the-land" (LotL), de nature non malveillante et déjà présents dans le système ciblé. Ces outils permettent aux cybercriminels de dissimuler leur activité et de minimiser les chances d'être détectés lors des premières étapes d'une attaque. Outre les très répandus rundll32.exe, powershell.exe et cmd.exe, des outils tels que reg.exe, te.exe et certutil.exe sont souvent utilisés lors d'incidents critiques.

Pour mieux se préparer aux attaques ciblées, les organisations peuvent recourir à des services qui effectuent des exercices offensifs éthiques. Ce type d'activité simule des attaques adverses complexes afin d'examiner la cyber-résilience d'une entreprise. Selon les analystes MDR de Kaspersky, cette méthode n'a été appliquée que dans 16 % des organisations.

"Le rapport MDR montre une fois de plus que les attaques sophistiquées sont là pour rester, et que de plus en plus d'organisations sont confrontées à des incidents critiques. L'un des problèmes les plus pressants ici est que les incidents de haute gravité nécessitent plus de temps pour enquêter et fournir des recommandations sur les étapes de remédiation. L'année dernière, les analystes de Kaspersky ont réussi à réduire considérablement cet indicateur de temps, qui est passé de 52,6 minutes en 2020 à 41,4 minutes. Ce résultat a été obtenu grâce à l'ajout d'un plus grand nombre de modèles de cartes d'incidents et à l'introduction de nouveaux enrichissements de télémétrie qui accélèrent le triage", commente Sergey Soldatov, responsable du Security Operations Center de Kaspersky.

Pour protéger une organisation contre les attaques avancées, Kaspersky fait les recommandations suivantes :

·        Déployez une solution qui combine des capacités de détection et de réponse et une chasse aux menaces gérée pour aider à identifier les menaces connues et inconnues sans impliquer de ressources internes supplémentaires. Une approche axée sur les alertes n'est plus efficace pour réagir aux menaces modernes.

·        Donnez à votre équipe SOC l'accès aux dernières informations sur les menaces, afin de garantir une visibilité approfondie des cybermenaces visant votre organisation.

·        Mettez en place une formation d'expert en réponse aux incidents pour améliorer l'expertise de votre équipe interne d’analyse et de réponse aux incidents. Cela vous aidera à vérifier et à traiter les menaces plus rapidement ainsi qu’à minimiser l'impact de l'incident.

·        Pour réduire la probabilité d'attaques ciblées, fournissez à vos équipes les connaissances essentielles en matière de cybersécurité. L'ingénierie sociale reste très populaire et s'applique même aux incidents de haute gravité.

Le rapport complet d’analyse de Kaspersky Managed Detection and Response est disponible sur ce lien, et en français sur demande.