Vectra a annoncé aujourd'hui que le secteur de l'enseignement supérieur présentait une augmentation surprenante des comportements de minage de crypto-monnaies potentiellement préjudiciables, dans le cadre des principales conclusions de la nouvelle édition 2018 de RSA Conference de son rapport Attacker Behavior Industry Report.
Le rapport présente les détections de cyberattaques et les tendances observées auprès d'un échantillon de 246 entreprises clientes ayant donné leur accord pour participer à l'étude et utilisant la plateforme Vectra Cognito, dans 14 secteurs d'activité différents. D'août 2017 à janvier 2018, Cognito a surveillé le trafic et collecté des métadonnées provenant de plus de 4,5 millions d'appareils et de charges de travail issus cloud, des centres de données et des environnements d'entreprise de ses clients. En analysant ces métadonnées, la plateforme Vectra Cognito plateforme des comportements cachés d'attaquants et identifié des risques opérationnels, permettant ainsi à ses clients d'éviter des violations de données catastrophiques.
Alors que les cyberattaquants sophistiqués automatisent et augmentent l'efficacité de leur propre technologie, il est urgent de renforcer la sécurité de l'information avec des outils de détection et de réponse basés sur l'IA afin de stopper les menaces plus rapidement. Le rapport Vectra Attacker Behavior Industry Report adopte une approche multidisciplinaire qui couvre toutes les phases stratégiques du cycle de vie des attaques, en présentant des données par secteurs spécifiques qui mettent en évidence les différences pertinentes entre eux.
Les principales conclusions du rapport sont les suivantes :
- Le minage de crypto-monnaies est un problème croissant : considéré comme opportuniste, le minage a augmenté avec la hausse du prix des crypto-monnaies comme le bitcoin, le monero et l'ethereum. Sur l'ensemble des détections de minage de crypto-monnaies, 60 % ont eu lieu dans l'enseignement supérieur, suivi par le divertissement et les loisirs (6 %), les services financiers (3 %), la technologie (3 %) et les soins de santé (2 %). Le minage de crypto-monnaies consiste à convertir l'électricité en valeur monétaire grâce à des ressources informatiques. La gratuité de l'électricité et de l'accès à l'internet pour les étudiants pourrait expliquer le pic dans l'enseignement supérieur.
- C'est dans l'enseignement supérieur (3 715 détections pour 10 000 appareils) et dans l'ingénierie (2 918 détections pour 10 000 appareils) que le volume de comportements d'attaquants par secteur d'activité est le plus élevé. Cela s'explique principalement par les activités de commande et de contrôle (C&C) dans l'enseignement supérieur et les activités de reconnaissance interne dans l'ingénierie.
- L'activité C&C dans l'enseignement supérieur, avec 2 205 détections pour 10 000 appareils, est quatre fois supérieure à la moyenne du secteur, qui est de 460 détections pour 10 000 appareils. Ces indicateurs précoces de menace précèdent généralement d'autres étapes d'une attaque et sont souvent associés à des comportements opportunistes de botnets dans l'enseignement supérieur.
- Les secteurs de l'administration et de la technologie affichent les taux de détection les plus bas, avec respectivement 496 et 349 détections pour 10 000 appareils. Cela pourrait indiquer la présence de politiques plus strictes, de capacités de réponse plus matures et d'un meilleur contrôle de la surface d'attaque.
- En normalisant les détections pour 10 000 appareils par rapport à l'année précédente, on constate une forte augmentation dans tous les secteurs - C&C (37 %), reconnaissance interne (31 %), mouvement latéral (24 %), et une augmentation nominale des détections d'exfiltration de données (6 %).
« plateforme d'opérations et d'analyse de sécurité (SOAPA) contribue à accélérer l'innovation technologique, à faciliter l'intégration et à renforcer la valeur des technologies de sécurité existantes », a déclaré Jon Oltsik, analyste principal senior chez Enterprise Strategy Group. « Selon une récente étude de l’ESG, 12 % des entreprises ont déjà largement déployé des analyses de sécurité basées sur l’intelligence artificielle (IA), et 27 % les ont déployées de manière limitée. Ce dernier rapport de Vectra offre un aperçu important des comportements des attaquants au sein des organisations, qui ont contourné les contrôles de sécurité périmétriques, ainsi que des observations sur la progression des attaques après une compromission initiale. »
plateforme Cognito plateforme la recherche des cybermenaces cachées en analysant en permanence les journaux de trafic réseau et cloud afin de détecter les comportements des attaquants au sein du réseau. En plus de mettre automatiquement en corrélation les menaces détectées avec les appareils hôtes ciblés, Cognito fournit un contexte unique sur les agissements des attaquants et hiérarchise les menaces présentant le plus grand risque. Grâce à l'IA, Cognito combine la science des données, l'apprentissage automatique et l'analyse comportementale pour mettre au jour les comportements des attaquants sans recourir à des signatures ou à des listes de réputation.
"La combinaison de l'analyse de la sécurité et de la compréhension humaine nous donne de nouvelles informations convaincantes sur les comportements des attaquants à l'échelle mondiale sur cloud, dans les centres de données et les environnements d'entreprise ", a déclaré Chris Morales, responsable de l'analyse de la sécurité chez Vectra. "En fin de compte, ces informations permettent aux clients de Vectra de prendre des décisions mieux informées qui renforcent la posture de sécurité et réduisent les risques commerciaux."
Les données présentées dans ce rapport s'appuient sur des métadonnées anonymisées provenant de clients de Vectra ayant choisi de partager leurs indicateurs de détection. La plateforme Cognito plateforme les comportements indiquant des attaques en cours en surveillant directement l'ensemble du trafic et des journaux pertinents, y compris le trafic vers et depuis Internet, le trafic interne entre les périphériques réseau, ainsi que les charges de travail virtualisées dans les centres de données privés et les clouds publics. Cette analyse offre une visibilité précieuse sur les phases avancées des attaques.
