Vectra a annoncé aujourd'hui que si les systèmes de contrôle industriel sont dans le collimateur, la plupart des cyberattaques contre les entreprises du secteur de l'énergie et des services publics se produisent et réussissent à l'intérieur des réseaux informatiques des entreprises, et non dans les infrastructures critiques.
Publiées dans le rapport Vectra 2018 Spotlight Report on Energy and Utilities, ces conclusions, parmi d'autres, soulignent l'importance de la détection des comportements menaçants cachés au sein des réseaux informatiques des entreprises avant que les cyberattaquants n'aient une chance d'espionner, de se propager et de voler. Ces comportements de menace révèlent que les campagnes d'attaque soigneusement orchestrées se déroulent sur plusieurs mois.
Depuis des années, les cybercriminels lancent des campagnes d'attaques soigneusement orchestrées contre les réseaux d'énergie et de services publics. Ces missions de reconnaissance lentes et discrètes, qui durent souvent plusieurs mois, consistent à observer les comportements des opérateurs et à élaborer un plan d'attaque unique.
"Lorsque les attaquants se déplacent latéralement à l'intérieur d'un réseau, ils exposent une surface d'attaque plus grande qui augmente le risque d'acquisition et d'exfiltration de données", a déclaré Branndon Kelley, DSI d'American Municipal Power, un service public de production d'électricité à but non lucratif qui dessert les municipalités de neuf États qui possèdent leur propre système électrique. "Il est impératif de surveiller l'ensemble du trafic réseau pour détecter rapidement et systématiquement ces comportements et d'autres comportements d'attaquants.
Les attaquants à distance prennent généralement pied dans les réseaux d'énergie et de services publics en organisant malware et spear-phishing pour voler les informations d'identification des administrateurs. Une fois à l'intérieur, ils utilisent les connexions et les protocoles administratifs pour effectuer une reconnaissance et se propager latéralement à la recherche de données confidentielles sur les systèmes de contrôle industriels.
"L'abus dissimulé d'identifiants administratifs offre aux attaquants un accès illimité aux systèmes et aux données des infrastructures critiques", a déclaré David Monahan, directeur de recherche en matière de sécurité et de gestion des risques chez Enterprise Management Associates. "Il s'agit de l'un des domaines de risque les plus cruciaux dans le cycle de vie d'une cyberattaque.
Parmi les autres résultats clés du rapport 2018 Spotlight sur l'énergie et les services publics, on peut citer
- Au cours de la phase de commande et de contrôle de l'attaque, 194 comportements d'accès à distance externe ont été détectés pour 10 000 dispositifs hôtes et charges de travail.
- 314 comportements d'attaque par mouvement latéral ont été détectés pour 10 000 dispositifs hôtes et charges de travail.
- Lors de la phase d'exfiltration du cycle de vie de la cyberattaque, 293 comportements de contrebandiers de données ont été détectés pour 10 000 dispositifs hôtes et charges de travail.
Le rapport Spotlight 2018 de Vectra est basé sur les observations et les données de l'édition 2018 de la conférence Black Hat du rapport Attacker Behavior Industry Report, qui révèle les comportements et les tendances des attaquants dans les réseaux de plus de 250 organisations d'entreprise opt-in dans les secteurs de l'énergie et des services publics, ainsi que dans huit autres secteurs d'activité.
De janvier à juin 2018, la plateforme de détection et de traque des menaces Cognito de Vectra a surveillé le trafic réseau et collecté des métadonnées provenant de plus de 4 millions d'appareils et de charges de travail dans les cloud, les centres de données et les environnements d'entreprise de ses clients. L'analyse de ces métadonnées permet de mieux comprendre les comportements et les tendances des attaquants ainsi que les risques pour l'entreprise, ce qui permet aux clients de Vectra d'éviter des violations de données catastrophiques.
La plateforme Cognito de Vectra permet aux entreprises de détecter et de traquer automatiquement les cyberattaques en temps réel. Cognito utilise l'intelligence artificielle pour effectuer une recherche automatisée et ininterrompue des menaces, grâce à des modèles comportementaux en apprentissage continu, afin d'identifier rapidement et efficacement les attaquants cachés et inconnus avant qu'ils ne causent des dommages. Cognito offre une visibilité complète sur les comportements des cyberattaquants, depuis les charges de travail cloud les centres de données jusqu'aux appareils des utilisateurs et à l'IoT, ne laissant aux attaquants aucune possibilité de se cacher.
Cognito Detect et son homologue basé sur l'IA, Cognito Recall, constituent les piliers de la plateforme Cognito. Cognito Detect automatise la détection en temps réel des attaquants cachés, tout en fournissant à Cognito Recall point de départ logique pour mener des opérations de recherche de menaces assistées par l'IA et mener des enquêtes concluantes sur les incidents.
