En 2023, Barracuda XDR, avec son équipe d'analystes SOC en veille 24/7, a passé en revue 1 640 milliards d'événements informatiques pour isoler des dizaines de milliers de menaces de sécurité potentiellement à haut risque.
Des chercheurs en sécurité ont analysé les détections XDR les plus fréquentes pour 2023. Leurs conclusions, résumées dans ce blog, nous révèlent les moyens les plus fréquemment utilisés par les pirates pour tenter, sans succès, d’obtenir un accès persistant aux réseaux par le biais d’activités d’intrusion, telles que la compromission de la messagerie d’entreprise, les codes malveillants et les exploits.
Il est important de noter que les technologies de sécurité défensives, notamment la technologie XDR, ont été conçues à des fins de détection et d’avertissement ainsi que pour bloquer l’ennemi avant ou dès les premiers stades d’une intrusion. Les attaques ne peuvent pas être menées à terme, ce qui signifie que nous ne savons pas toujours quelle aurait pu être la charge utile finale, comme les ransomwares.
Aperçu de l'année 2023 : croissance des tentatives d'attaques de haute gravité
Parmi les détections graves de 2023, 66 000 menaces étaient suffisamment sérieuses pour être transmises à un analyste SOC à des fins d’enquête, et 15 000 autres ont nécessité une action défensive urgente et immédiate. Les deux catégories de menaces n’ont cessé d’augmenter tout au long de l’année, avec un pic en octobre, en novembre et en décembre.
Ces mois correspondent à la période des achats en ligne et aux fêtes de fin d’année. Ces deux facteurs sont potentiellement très attractifs pour les pirates. D’une part, parce qu’ils offrent un vaste éventail de cibles et d’opportunités potentielles et, d’autre part, parce que cela signifie généralement que les équipes informatiques sont en congé ou sont moins attentives.
Un deuxième pic plus faible a été enregistré en juin, un mois de vacances important dans de nombreux pays.
L’ensemble de ces résultats renforce les conclusions que nous avons présentées pour la première fois en 2022, à savoir que les pirates profitent de l’absence, de l’occupation ou de la distraction des utilisateurs pour lancer des attaques plus préjudiciables et plus risquées.
En 2023, les principales détections XDR concernaient une usurpation d'identité
Sur les dix principales détections de 2023, la majorité impliquait une forme de compromission d’identité, ce qui s’est traduit par une violation de compte. Les détections qui signalent cette usurpation d’identité incluent les connexions suspectes, les attaques par force brute et les pirates capables de désactiver l’authentification à plusieurs facteurs.
N= 87,720
Le téléchargement d’un fichier exécutable suspect peut indiquer que des pirates tentent de déplacer des outils supplémentaires ou des malwares à partir d’un système externe contrôlé par un adversaire, tel qu’un serveur de commande et de contrôle, vers un compte compromis.
La détection de menaces sur les terminaux implique un mécanisme qui se déclenche lorsque l’outil Managed XDR Endpoint Security de Barracuda identifie une menace potentielle au sein d’un système, qu’il ait ou non réussi à la neutraliser. Dans les deux cas, il est essentiel d’informer rapidement le client, car de telles détections exigent des recherches plus approfondies pour savoir comment le fichier ou le processus malveillant est initialement parvenu à s’exécuter.
Cette règle de détection englobe un vaste éventail de menaces, y compris, mais sans s’y limiter, les éléments inoffensifs, les applications potentiellement indésirables (PUA), les logiciels publicitaires, les spywares, les téléchargeurs, les mineurs de cryptomonnaies, les documents malveillants, les exploits, les virus, les vers, les chevaux de Troie, les portes dérobées, les rootkits, les voleurs d’informations, les ransomwares, les shells interactifs ou distants, les mouvements latéraux, etc. Chaque catégorie nécessite une approche personnalisée pour garantir une identification et une atténuation efficaces.
Superhéros, fantômes et insomniaques suspects : comment les outils d'IA détectent les intrus
Barracuda XDR propose des règles de détection optimisées par l’IA et basées sur nos fonctionnalités d’apprentissage automatique. Elles ont été conçues pour détecter les activités de connexion suspectes qui exigent une évaluation en urgence. Ces règles s’appuient sur des algorithmes et des analyses de modèles basés sur l’IA, qui modélisent la routine d’un utilisateur et signalent immédiatement par un drapeau rouge toute action qui s’en écarte.
Superhéros suspects — Règle de détection « impossible travel »
Cette règle de détection détecte les attaquants qui tentent de se connecter à un compte piraté. Elle déclenche un drapeau rouge de sécurité lorsque deux connexions sont détectées à plus de 1 000 km l’une de l’autre, ce qui implique que l’utilisateur aurait dû se déplacer à plus de 800 km/h, soit la vitesse moyenne d’un avion. De plus, la détection vérifie que l’identifiant n’est pas associé à une adresse IP VPN afin d’éliminer tout risque de faux positif.
Pour donner une illustration de ce phénomène, Barracuda XDR a repéré un utilisateur qui s’est connecté dans l’Iowa, aux États-Unis, puis à Moscou un peu plus d’une heure plus tard, ce qui signifie qu’il aurait dû parcourir 8 267 km à une vitesse de plus de 7 000 km/h !
Fantômes – Règle de détection « Rare User Log-in »
Cette règle de détection recherche les noms d’utilisateur inhabituels qui apparaissent dans les journaux d’authentification. Cela permet de repérer les intrus qui utilisent les identifiants d’un utilisateur dormant ou inactif (car ce dernier a quitté l’entreprise, par exemple) ou un nom d’utilisateur qui ne correspond pas au schéma de dénomination de l’organisation. Les acteurs malveillants tenteront également de créer de nouveaux utilisateurs comme moyen de persistance, et ceux-ci seront signalés en tant qu’utilisateurs inconnus par la règle de détection.
Insomniaques – Règle de détection « Rare Hour for User »
Cette règle de détection recherche les utilisateurs qui se connectent à une heure qui ne correspond pas à leurs habitudes. Cela peut signifier que quelqu’un tente d’accéder au compte compromis dans un autre fuseau horaire. En outre, les activités non autorisées des utilisateurs ont souvent lieu en dehors des heures de travail habituelles.
Détection du trafic sur le réseau
Barracuda XDR inclut un système de détection des intrusions (IDS) sophistiqué et multi-niveaux capable d’analyser le trafic qui traverse le réseau d’un client via un port SPAN (miroir). Cet identifiant sert de gardien vigilant, en identifiant les activités suspectes et potentiellement dangereuses qui peuvent sembler légitimes mais qui sont liées à des malwares reconnus, à des cyberattaques et à diverses menaces de sécurité qui envahissent votre réseau. Une grande partie de ces menaces sont automatisées et exécutées en masse contre les réseaux.
L’analyse des principales détections IDS en 2023 révèle une tendance persistante : les pirates exploitent constamment des vulnérabilités et des faiblesses critiques de longue date qui n’ont pas encore été corrigées. Tout cela souligne l’importance de la vigilance continue et de la mise à jour des mesures de sécurité du réseau.
Apparu il y a une dizaine d’années, Shellshock est un ensemble de bugs qui continue à se classer parmi les dix premières détections trouvées par le système intégré de détection d’intrusion (IDS) de Barracuda. Le fait que les attaques Shellshock soient toujours aussi fréquentes suggère que les pirates savent que de nombreux systèmes n’ont pas encore été corrigés. Des rapports révèlent que Shellshock est utilisé par les pirates pour lancer des attaques par déni de service distribué (DDoS) et pour cibler des systèmes vulnérables qui sont interconnectés à l’aide de bots et de botnets.
Deux ans après la découverte de la vulnérabilité Log4Shell dans l’utilitaire de journalisation open source Log4j basé sur Java, les exploits contre ce bug restent fréquents. Cela pourrait s’expliquer par le fait que Log4j est si profondément ancré dans les applications et dans d’autres logiciels que de nombreuses organisations ne savent même pas qu’il est présent. Par conséquent, les instances vulnérables peuvent être difficiles à corriger et nécessiter beaucoup de temps.
Rester en sécurité dans un monde où les attaques frappent 24/7
Les bases de la sécurité sont plus importantes que jamais. Cela devrait inclure une authentification et des contrôles d’accès robustes, c’est-à-dire une authentification multifactorielle (au minimum) et, idéalement, l’adoption de mesures basées sur les principes Zero Trust. En outre, il est essentiel d’avoir une approche solide en matière de gestion des correctifs et de protection des données et de proposer des formations régulières afin de sensibiliser les employés à la cybersécurité.
Cependant, face au nombre grandissant de menaces graves ciblant la surface d’attaque numérique croissante d’une organisation, et alors que les pirates utilisent de plus en plus l’IA pour lancer des attaques toujours plus sophistiquées, rapides et ciblées, les défenseurs doivent s’assurer que leurs outils de sécurité offrent une puissance équivalente. Il est essentiel d’adopter une approche de protection à multiples facettes et basée sur l’IA qui comporte plusieurs niveaux de détection et de vérification en profondeur.
Cette démarche doit s’inscrire dans un cadre de sécurité global qui comprend des technologies de sécurité fiables de nouvelle génération basées sur des analyses d’experts et sur une surveillance 24/7 de la sécurité. Ces mesures devraient permettre de détecter les risques inconnus et les anomalies qui pourraient passer à travers les mailles du filet. Enfin, l’adoption d’un modèle SOC-as-a-Service peut permettre de répondre aux menaces et de les minimiser.
Si vous manquez de temps ou que vos équipes ne disposent pas de l’expertise nécessaire, un service XDR géré qui inclut un SOC en tant que service peut surveiller chaque parcelle de votre environnement informatique pour vous, et ce 24/7.
Les conclusions sont basées sur les données de détection de Barracuda Managed XDR, une plateforme étendue de visibilité, de détection et de réponse (XDR), soutenue par un centre SOC disponible 24/7, qui fournit des services de détection des menaces, d'analyse, de réponse aux incidents et de correction, à la fois par une équipe d'experts et l'intelligence artificielle.
