Vectra a annoncé aujourd'hui que de nombreuses organisations mondiales de services financiers sont la cible de cyberattaquants sophistiqués qui tentent de voler des données critiques et des informations personnelles identifiables (PII).
Dans le cadre des principales conclusions du nouveau rapport Spotlight 2018 sur les services financiers, Vectra a révélé que les cyberattaquants construisent des tunnels cachés pour s'introduire dans les réseaux et voler des données critiques et des informations personnelles. Ces tunnels sont utilisés pour contrôler à distance une attaque (command-and-control) et voler des données (exfiltration) tout en restant largement indétectables.
"Les cyberattaquants continuent d'innover en utilisant des tunnels cachés pour se fondre dans le trafic normal, échapper à des contrôles d'accès rigoureux et exfiltrer des données financières", a déclaré Jon Oltsik, analyste principal de l'Enterprise Strategy Group. "Le rapport de Vectra fournit des informations sur les comportements des attaquants et détaille ce que les cybercriminels sont prêts à faire pour voler des informations personnelles et financières privées".
Selon le rapport de Vectra, les atteintes à la sécurité dans de nombreux secteurs d'activité continuent de suivre une trajectoire ascendante, et le secteur des services financiers ne fait pas exception à la règle. Bien que les entreprises de services financiers n'aient pas connu le même volume de violations que d'autres secteurs, elles sont toujours confrontées à un risque considérable en tant que cibles lucratives de cyberattaquants à la recherche d'une manne.
Vectra a constaté le même type de comportement de la part des attaquants dans le secteur des services financiers que celui qui a conduit à la violation de données d'Equifax en 2017. La violation d'Equifax a entraîné le vol de numéros de permis de conduire, d'adresses électroniques, de numéros de sécurité sociale et d'autres informations personnelles de 145,6 millions de consommateurs, selon une déclaration de l'entreprise à la Securities and Exchange Commission. La violation est restée inaperçue pendant 78 jours.
Les informations contenues dans le rapport Spotlight 2018 de Vectra sont basées sur les observations et les données de l'édition 2018 de RSA Conference de l'Attacker Behavior Industry Report. Ce rapport révèle les comportements et les tendances des attaquants dans les réseaux de 246 clients opt-in dans les services financiers et 13 autres industries.
D'août 2017 à janvier 2018, la plateforme Cognito de détection des cyberattaques et de recherche des menaces, développée par Vectra, a surveillé le trafic réseau et collecté des métadonnées provenant de plus de 4,5 millions d'appareils et de charges de travail dans les cloud, les centres de données et les environnements d'entreprise de ses clients. L'analyse de ces métadonnées permet de mieux comprendre les comportements et les tendances des attaquants ainsi que les risques pour les entreprises, ce qui permet aux clients de Vectra d'éviter des violations de données catastrophiques.
"Chaque secteur d'activité a un profil de comportement des réseaux et des utilisateurs qui se rapporte à des modèles commerciaux, des applications et des utilisateurs spécifiques", a déclaré Chris Morales, responsable de l'analyse de la sécurité chez Vectra. "Les attaquants imiteront ces comportements et s'y fondront, ce qui les rendra difficiles à démasquer.
"Ce qui ressort le plus, c'est la présence de tunnels cachés, que les attaquants utilisent pour contourner les contrôles d'accès, les pare-feu et les systèmes de détection d'intrusion", a ajouté M. Morales. "Ces mêmes tunnels cachés permettent aux attaquants de se faufiler hors des réseaux, sans être détectés, avec des données volées."
Les principales conclusions du rapport sont les suivantes :
- Vectra a détecté beaucoup plus de tunnels de commande et de contrôle cachés pour 10 000 appareils dans les services financiers que dans tous les autres secteurs combinés.
- Vectra a détecté plus de deux fois plus de tunnels cachés d'exfiltration de données pour 10 000 appareils dans les services financiers que dans tous les autres secteurs combinés.
- Pour 10 000 appareils, tous secteurs confondus, 11 tunnels d'exfiltration déguisés en trafic web crypté ont été détectés. Mais dans les services financiers, ce nombre a plus que doublé pour atteindre 23. D'août 2017 à janvier 2018, les tunnels d'exfiltration cachés déguisés en trafic web non chiffré ont bondi de 7 pour 10 000 appareils à 16 dans les services financiers.
- Pour 10 000 appareils, tous secteurs confondus, deux tunnels cachés déguisés en trafic web crypté ont été détectés. Mais dans les services financiers, ce nombre a plus que doublé pour atteindre cinq. D'août 2017 à janvier 2018, les tunnels d'exfiltration cachés déguisés en trafic web non chiffré ont doublé, passant de deux pour 10 000 appareils à quatre dans les services financiers.
Cognito Detect et son homologue tout aussi performant basé sur l'IA, Cognito Recall, constituent les piliers de la plateforme Cognito. Cognito Detect automatise la détection en temps réel des attaquants cachés au sein des charges de travail cloud des centres de données, ainsi que sur les appareils des utilisateurs et ceux de l'Internet des objets, tout en fournissant à Cognito Recall point de départ logique pour mener des opérations de recherche de menaces assistées par l'IA et mener des enquêtes concluantes sur les incidents.
Les données présentées dans ce rapport s'appuient sur des métadonnées anonymisées provenant des clients de Vectra qui ont choisi de partager leurs indicateurs de détection. La plateforme Cognito identifie les comportements révélateurs d'attaques en cours en surveillant directement l'ensemble du trafic et des journaux pertinents, notamment le trafic à destination et en provenance d'Internet, le trafic interne entre les périphériques réseau, ainsi que les charges de travail virtualisées dans les centres de données privés et les clouds publics. Cette analyse offre une visibilité précieuse sur les phases avancées des attaques.
