Vectra® Networks, leader de la gestion automatisée des menaces, annonce aujourd'hui les résultats de son dernier rapport post-intrusion, une étude concrète sur les menaces qui échappent aux défenses périmétriques et sur ce que font les attaquants une fois qu'ils ont pénétré dans votre réseau.
Le rapport a analysé les données de 120 réseaux de clients Vectra comprenant plus de 1,3 million d'hôtes au cours du premier trimestre 2016, soit trois fois plus que le rapport précédent qui analysait 40 organisations clientes.
Dans le présent rapport, toutes les organisations ont montré des signes d'attaques ciblées, y compris la reconnaissance interne, le mouvement latéral ou l'exfiltration de données. Sur les 120 organisations participantes, 117 ont détecté au moins un de ces comportements au cours de chaque mois de l'étude.
Bien que près de 98 % des organisations aient détecté au moins un comportement par mois au cours de la période de trois mois, les chercheurs ont constaté que les détections étaient moins nombreuses au niveau de la chaîne d'exécution. Par exemple, l'exfiltration de données - qui est de loin le comportement le plus dangereux - était la plus faible de toutes les catégories avec 3 %.
"Ces données montrent que les équipes de sécurité qui se concentrent sur la phase active d'une attaque réseau parviennent à réduire le risque de vol de données", a déclaré Günter Ollmann, CSO de Vectra Networks. "Elles réagissent plus rapidement et mettent fin aux attaques avant que des données critiques ne soient extraites de leurs réseaux et que des dommages réels ne soient causés."
Les chercheurs ont constaté que non seulement les attaques par commande et contrôle (C&C) augmentent, représentant 67 % des détections, mais que l'utilisation de C&C HTTP et HTTPS pour les tunnels cachés a également fait un bond significatif cette année.
Le C&C HTTP et HTTPS est une technique émergente qui permet à des attaquants sophistiqués de faire passer des messages cachés et de voler des données dans des protocoles qui ne sont généralement pas bloqués par les pare-feux périphériques.
Ensemble, les tunnels HTTP et HTTPS représentaient 7,6 % de toutes les détections de C&C, ce qui en fait la troisième technique de C&C la plus courante. Cette tendance se confirme lorsque l'on normalise en fonction du nombre d'hôtes surveillés. Des tunnels C&C cachés ont été observés 4,9 fois pour 1 000 hôtes, ce qui représente une augmentation par rapport aux 2,1 fois pour 1 000 hôtes observés dans le rapport précédent.
Le mouvement latéral, qui permet aux attaquants de se déplacer d'est en ouest pour recueillir des informations, a considérablement diminué, passant de 34 % du nombre total de détections en 2015 à environ 8,6 % du nombre total de détections cette année.
Cependant, une fois à l'intérieur du réseau, les attaquants semblent se faire plus discrets. Parmi ces détections de mouvements latéraux, les attaques par force brute - la technique la plus populaire l'année dernière - sont en baisse significative, tandis que les comportements des clients Kerberos et de la réplication automatisée ont augmenté par rapport à l'année dernière, atteignant 36,3 % des détections de mouvements latéraux.
"Les techniques de force brute étant très bruyantes, les attaquants les plus expérimentés et les plus habiles ont tendance à essayer d'abord d'autres techniques d'accès - de préférence des techniques automatisables qu'il est difficile de distinguer du trafic normal du réseau et dont les défaillances ont peu de chances d'être signalées", a déclaré M. Ollmann.
"À titre d'exemple, et comme le démontrent nos résultats, la divulgation publique des vulnérabilités de Kerberos et les nouveaux outils d'attaque permettant d'automatiser l'exploitation font désormais partie de l'arsenal des pirates", poursuit-il. "Une fois que les clés Kerberos appropriées sont créées et que les comptes administratifs sont violés, le processus de compromission d'autres hôtes dans le réseau de la victime est simple et mécanique.
En ce qui concerne les comportements des réseaux de zombies, la fraude au clic reste la technique la plus répandue (58,1 %). Si les infections par les réseaux de zombies représentent un risque moindre pour les organisations qu'une attaque ciblée, elles ne sont pas pour autant exemptes de risques.
Cette année a vu une augmentation proportionnelle des dénis de service, de la force brute sortante et du balayage des ports. Ces comportements des botnets sont importants pour les entreprises car ils peuvent avoir un impact significatif sur la réputation du réseau. Dans l'ensemble, ces détections représentent 27 % des événements liés aux réseaux de zombies, soit plus du double des 12 % observés précédemment.
Une copie du rapport post-intrusion peut être téléchargée à l'adresse info.vectranetworks.com/post-intrusion-report-2016.
Vectra® Networks est le leader des solutions de gestion automatisée des menaces pour la détection en temps réel des cyberattaques en cours. La solution de l'entreprise met automatiquement en corrélation les menaces contre les hôtes qui font l'objet d'une attaque et fournit un contexte unique sur ce que font les attaquants afin que les organisations puissent rapidement prévenir ou atténuer les pertes. Vectra donne la priorité aux attaques qui présentent le plus grand risque pour l'entreprise, ce qui permet aux organisations de prendre des décisions rapides sur les domaines où elles doivent consacrer du temps et des ressources. En 2015, Gartner a nommé Vectra "Cool Vendor in Security Intelligence" pour sa capacité à relever les défis de la détection des menaces après une intrusion. Les American Business Awards ont également décerné à Vectra le prix Gold Award de la meilleure startup technologique de l'année 2015. Vectra compte parmi ses investisseurs Khosla Ventures, Accel Partners, IA Ventures, AME Cloud Ventures et DAG Ventures. Le siège social de l'entreprise se trouve à San Jose, en Californie, et son siège régional européen à Zurich, en Suisse. De plus amples informations sont disponibles à l'adresse suivante : www.vectranetworks.com.
###
Vectra et le logo de Vectra Networks sont des marques déposées et Security that thinks, Vectra Threat Labs et Threat Certainty Index sont des marques de Vectra Networks. Les autres marques, noms de produits et de services sont des marques commerciales, des marques déposées ou des marques de service de leurs détenteurs respectifs.