Vectra a annoncé aujourd'hui que si les systèmes de contrôle industriel sont dans le collimateur, la plupart des cyberattaques contre les entreprises du secteur de l'énergie et des services publics se produisent et réussissent à l'intérieur des réseaux informatiques des entreprises, et non dans les infrastructures critiques.
Publiées dans le rapport Vectra 2018 Spotlight Report on Energy and Utilities, ces conclusions, parmi d'autres, soulignent l'importance de la détection des comportements menaçants cachés au sein des réseaux informatiques des entreprises avant que les cyberattaquants n'aient une chance d'espionner, de se propager et de voler. Ces comportements de menace révèlent que les campagnes d'attaque soigneusement orchestrées se déroulent sur plusieurs mois.
Depuis des années, les cybercriminels lancent des campagnes d'attaques soigneusement orchestrées contre les réseaux d'énergie et de services publics. Ces missions de reconnaissance lentes et discrètes, qui durent souvent plusieurs mois, consistent à observer les comportements des opérateurs et à élaborer un plan d'attaque unique.
"Lorsque les attaquants se déplacent latéralement à l'intérieur d'un réseau, ils exposent une surface d'attaque plus grande qui augmente le risque d'acquisition et d'exfiltration de données", a déclaré Branndon Kelley, DSI d'American Municipal Power, un service public de production d'électricité à but non lucratif qui dessert les municipalités de neuf États qui possèdent leur propre système électrique. "Il est impératif de surveiller l'ensemble du trafic réseau pour détecter rapidement et systématiquement ces comportements et d'autres comportements d'attaquants.
Les attaquants à distance prennent généralement pied dans les réseaux d'énergie et de services publics en organisant malware et spear-phishing pour voler les informations d'identification des administrateurs. Une fois à l'intérieur, ils utilisent les connexions et les protocoles administratifs pour effectuer une reconnaissance et se propager latéralement à la recherche de données confidentielles sur les systèmes de contrôle industriels.
"L'abus dissimulé d'identifiants administratifs offre aux attaquants un accès illimité aux systèmes et aux données des infrastructures critiques", a déclaré David Monahan, directeur de recherche en matière de sécurité et de gestion des risques chez Enterprise Management Associates. "Il s'agit de l'un des domaines de risque les plus cruciaux dans le cycle de vie d'une cyberattaque.
Parmi les autres résultats clés du rapport 2018 Spotlight sur l'énergie et les services publics, on peut citer
Le rapport Spotlight 2018 de Vectra est basé sur les observations et les données de l'édition 2018 de la conférence Black Hat du rapport Attacker Behavior Industry Report, qui révèle les comportements et les tendances des attaquants dans les réseaux de plus de 250 organisations d'entreprise opt-in dans les secteurs de l'énergie et des services publics, ainsi que dans huit autres secteurs d'activité.
De janvier à juin 2018, la plateforme Cognito de détection et de chasse aux menaces de Vectra a surveillé le trafic réseau et collecté des métadonnées provenant de plus de 4 millions d'appareils et de charges de travail des clients cloud, de centres de données et d'environnements d'entreprise. L'analyse de ces métadonnées permet de mieux comprendre les comportements et les tendances des attaquants ainsi que les risques commerciaux, ce qui permet aux clients de Vectra d'éviter des violations de données catastrophiques.
La plateforme Cognito de Vectra permet aux entreprises de détecter et de traquer automatiquement les cyberattaques en temps réel. Cognito utilise l'IA pour effectuer une chasse aux menaces automatisée et ininterrompue grâce à des modèles comportementaux à apprentissage permanent afin de trouver rapidement et efficacement les attaquants cachés et inconnus avant qu'ils ne fassent des dégâts. Cognito offre une visibilité totale sur les comportements des cyberattaquants, depuis cloud et les charges de travail des centres de données jusqu'aux utilisateurs et aux appareils IoT, ne laissant aux attaquants aucun endroit où se cacher.
Cognito Detect et son pendant IA, Cognito Recall, sont les pierres angulaires de la plateforme Cognito. Cognito Detect automatise la détection en temps réel des attaquants cachés tout en donnant à Cognito Recall un point de départ logique pour effectuer une chasse aux menaces assistée par l'IA et mener des enquêtes concluantes sur les incidents.