Rapport : La multiplication des accès aux comptes et services privilégiés par les attaquants met les entreprises en danger

SAN JOSE, Californie, 3 mars 2020 - Vectra AI, le leader de la détection et de la réponse aux menaces réseau (NDR), a annoncé aujourd'hui qu'il existe une lacune de sécurité majeure qui est évidente, importante et urgente : la capacité de savoir si les comptes et les services privilégiés sont compromis. C'est une preuve supplémentaire que les approches traditionnelles basées sur l'accès qui reposent sur des décisions de sécurité uniques ou des listes prédéfinies d'identités privilégiées continuent d'échouer.

Publiées dans l'édition Vectra 2020 RSA Conference de l'Attacker Behavior Industry Report et du Spotlight Report on Privilege Access Analytics Report, les conclusions fournissent une analyse de première main des comportements des attaquants actifs et persistants sur plus de cinq millions de charges de travail et de dispositifs provenant d'environnements clients cloud, de centres de données et d'entreprises.

Principales conclusions de l'édition 2020 de la conférence RSA de l'Attacker Behavior Industry Report et du Spotlight Report on Privilege Access Analytics :

• L'accès potentiellement malveillant aux privilèges à partir d'un hôte inconnu est le comportement d'anomalie d'accès privilégié le plus communément observé, représentant 74% de toutes les détections de comportement d'anomalie d'accès privilégié. Ces comportements sont similaires à ceux observés lors de la violation de Capital One.
• Les secteurs de la finance et de l'assurance, de la santé et de l'éducation sont ceux qui présentent le plus de comportements anormaux en matière d'accès à privilèges. Ces trois secteurs représentent à eux seuls près de la moitié (47 %) de toutes les anomalies d'accès aux privilèges détectées.
• Tous secteurs confondus, 215 détections de comportements d'attaquants pour 10 000 hôtes ont été observées. Ce chiffre est inférieur aux 282 comportements d'attaquants pour 10 000 hôtes constatés au premier semestre 2019.
• Les secteurs de la technologie (138 détections pour 10 000) et de l'éducation (102 détections pour 10 000) restent les secteurs où les comportements de commandement et de contrôle sont les plus fréquents, soit près de trois fois plus que la moyenne des autres secteurs d'activité.
• Les petites entreprises (de 0 à 5 000 employés) sont plus exposées aux attaques par mouvement latéral. Les petites entreprises ont observé 112 comportements de mouvement latéral pour 10 000 hôtes, soit près de deux fois plus que les moyennes et grandes entreprises.

Le rapport souligne notamment l'importance de l'accès privilégié en tant qu'élément clé du mouvement latéral dans les cyberattaques. Les attaquants utilisent les comptes à privilèges pour obtenir un accès non autorisé aux actifs les plus critiques sur lesquels une organisation s'appuie. Il souligne l'importance d'une surveillance continue des comptes d'utilisateurs, des services et des hôtes une fois qu'ils accèdent au réseau et y opèrent, afin que les équipes de sécurité disposent des bonnes informations pour prendre des mesures rapides contre l'utilisation malveillante des privilèges dans les environnements cloud et hybrides.

"Les observations de ce rapport renforcent l'importance de la visibilité sur les accès privilégiés et autres comportements des attaquants ", a déclaré Chris Morales, responsable des analyses de sécurité chez Vectra. "L'association des sources de données du site cloud avec les données du réseau peut constituer une puissante combinaison d'informations qui augmente la probabilité de détecter et de hiérarchiser les activités post-compromission avant qu'une brèche catastrophique ne se produise."