Barracuda full logo

Barracuda XDR Insights : comment l'IA apprend vos modèles pour vous protéger

Thèmes:
23 août 2023
|

Au cours du premier semestre 2023, Barracuda Managed XDR a collecté près de 1 000 milliards d'événements informatiques de clients, parmi lesquels il a détecté et neutralisé des milliers d'incidents à haut risque.

Au cours de ces six mois, les incidents à haut risque les plus fréquents, à savoir les menaces qui nécessitent une action défensive immédiate, impliquaient une forme d'usurpation d'identité. Ces types d'attaques sont devenus de plus en plus sophistiqués au fil du temps, mais ils ont été repérés et bloqués par la plateforme Managed XDR à l'aide d'un profilage des comptes basé sur l'IA. 

Dans un contexte professionnel, chacun a un profil numérique distinctif en ce qui concerne la manière, le lieu et le moment où il travaille. Si un événement informatique sort du cadre de ces modèles, un signal d'alarme est émis, et même lorsque les attaques sont si subtiles et sournoises qu'un analyste SOC expert doit confirmer l'intention malveillante, la détection basée sur l'IA permet de s'en assurer.

Des événements quotidiens aux actions urgentes

Entre janvier et juillet 2023, la plateforme Managed XDR de Barracuda a collecté 950 milliards d'événements informatiques provenant des outils intégrés de sécurité du réseau, du cloud, de la messagerie, des terminaux et des serveurs des clients.

Risques de sécurité détectés par Barracuda XDR

Ces quelque mille milliards d'événements comprennent tout, des connexions (réussies ou non) aux connexions réseau et aux flux de trafic, en passant par les e-mails et les pièces jointes, les fichiers créés et enregistrés, les processus des applications et des appareils, les modifications de la configuration et du registre, ainsi que tout avertissement spécifique en matière de sécurité.

0,1 % de ces événements (985 000) ont été classés comme des « alarmes », c'est-à-dire des activités qui pourraient être malveillantes et nécessiter une enquête plus approfondie.

1 événement sur 10 (9,7 %) a été signalé au client pour vérification, tandis que 2,7 % ont été classés comme représentant un risque élevé et transmis à un analyste SOC pour une analyse plus approfondie. 6 000 événements ont nécessité une action défensive immédiate pour contenir et neutraliser la menace.

Les attaques à haut risque les plus fréquemment détectées.

Les trois détections à haut risque les plus courantes par Managed XDR et étudiées par les analystes du SOC au cours des six premiers mois de 2023 sont les suivantes :

1. Événements de connexion « Déplacement impossible »

Cet événement se produit lorsqu'un utilisateur essaie de se connecter à un compte cloud à partir de deux emplacements géographiquement différents en peu de temps, la distance entre les deux étant impossible à couvrir dans le temps qui s'écoule entre les connexions. Bien que cela puisse signifier qu'il utilise un VPN pour l'une des sessions, il s'agit souvent d'un signe qu'un pirate a accédé au compte d'un utilisateur. Les connexions de déplacements impossibles doivent toujours faire l'objet d'une enquête.

La détection des déplacements impossibles pour les comptes Microsoft 365 de Barracuda XDR a permis de détecter et de bloquer des centaines de tentatives d'attaques de compromission d'e-mails professionnels (BEC) entre janvier et juillet.

Lors d'un incident examiné par l'équipe SOC, un utilisateur s'est connecté à son compte Microsoft 365 depuis la Californie, puis 13 minutes plus tard depuis la Virginie. Pour y parvenir physiquement, il aurait dû se déplacer à une vitesse supérieure à 10 000 miles à l'heure. L'IP utilisée pour se connecter depuis la Virginie n'était pas associée à une adresse VPN connue, et l'utilisateur ne se connectait normalement pas depuis cet emplacement. L'équipe a informé le client, qui a confirmé qu'il s'agissait d'une connexion non autorisée, a immédiatement réinitialisé ses mots de passe et a déconnecté l'utilisateur indésirable de tous les comptes actifs.

2. Détections d'« anomalies »

Ces détections permettent d'identifier des activités inhabituelles ou inattendues sur le compte d'un utilisateur. Il peut s'agir d'éléments tels que des heures de connexion rares ou uniques, des schémas d'accès aux fichiers inhabituels ou la création excessive de comptes pour un utilisateur individuel ou une organisation. Ces détections peuvent être le signe d'une série de problèmes, notamment des infections par des malwares, des attaques par hameçonnage et des menaces internes. Si vous constatez une anomalie dans la détection du style, vous devez examiner le compte pour déterminer la cause de l'anomalie.

Barracuda Managed XDR dispose d'une référence de détection « heure rare pour l'utilisateur » Windows qui reconnaît les modèles de connexion d'un utilisateur particulier et signale quand cet utilisateur se connecte à une heure inhabituelle. L'équipe SOC a émis plus de 400 alertes pour ce type d'activité depuis janvier 2023.

3. Communication avec des artefacts malveillants connus

Ces détections permettent d'identifier les communications avec des adresses IP, des domaines ou des fichiers marqués d'un drapeau rouge ou connus pour être malveillants. Il peut s'agir d'un signe d'infection par un malware ou d'une attaque par hameçonnage. Si vous voyez une communication avec un artefact malveillant ou suspect connu, vous devez mettre immédiatement l'ordinateur en quarantaine et examiner l'infection.

L'IA entre les mains des pirates

Même si nous venons de montrer comment l'IA peut améliorer considérablement la sécurité, elle peut également être utilisée à des fins malveillantes par les pirates.

Par exemple, les outils linguistiques d'IA générative peuvent créer des e-mails très convaincants qui imitent parfaitement le style d'une entreprise légitime, ce qui rend beaucoup plus difficile pour les individus de discerner si un e-mail est légitime ou s'il s'agit d'un phishing, un piratage de compte ou une tentative de BEC.

Les outils d'IA sont également susceptibles d'être utilisés par les pirates pour automatiser et imiter dynamiquement les comportements adverses, afin de rendre leurs attaques plus efficaces et plus difficiles à détecter.

Par exemple, les utilitaires de ligne de commande alimentés par l'IA peuvent rapidement s'adapter aux changements dans les défenses d'une cible, identifier les vulnérabilités ou même tirer des leçons des précédentes tentatives qui se sont soldées par un échec pour améliorer les attaques suivantes. « WormGPT » est l'un des premiers outils de ce type, qui est déjà présenté sur un forum clandestin et peut être utilisé par des acteurs malveillants pour automatiser la génération de scripts et de commandes malveillants et les adapter de manière dynamique à chaque cible spécifique.

Sécurité pour un paysage de menaces en constante évolution

Alors que l'IA continue d'évoluer, les organisations doivent être conscientes des risques et prendre des mesures pour les limiter.

Cela doit impliquer de solides mesures d'authentification, telles que l'authentification multifacteur au minimum, mais idéalement la migration vers les approches Zero Trust, et la formation continue des employés, en particulier en ce qui concerne les attaques par hameçonnage.

Les équipes de sécurité informatique et leurs fournisseurs de sécurité externes doivent essayer de se tenir informés des dernières menaces alimentées par l'IA et d'adapter leur situation de sécurité. Toutefois, il est tout aussi important de ne pas oublier les principes de base : veillez à ce que les systèmes et les logiciels soient à jour et à ce que vous ayez une visibilité totale de l'environnement informatique.

Si cela vous semble complexe et exigeant en termes de ressources, ne vous inquiétez pas. L'industrie s'oriente de plus en plus vers des services et des plateformes de sécurité intégrés. Il existe aujourd'hui d'excellentes options en matière d'assistance gérée, de XDR et de SOC-as-a-service 24 heures sur 24 (7 jours sur 7) pour surveiller, détecter et répondre aux cybermenaces à toute heure du jour ou de la nuit, en veillant toujours à votre sécurité et à celle de vos actifs.

 

Les conclusions sont basées sur les données de détection de Barracuda Managed XDR, une plateforme étendue de visibilité, de détection et de réponse (XDR), soutenue par un centre SOC disponible 24 h/24 et 7 j/7, qui fournit des services de détection des menaces, d'analyse, de réponse aux incidents et de correction, à la fois par une équipe et l'intelligence artificielle. 

Billets associés :
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
 Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.