Cloud aperçu de la sécurité
Lors de la table ronde sur la sécurité de la semaine dernière, j'ai rejoint Sarah Armstrong-Smith de Microsoft et Lisa Forte de Red Goat Cyber Security pour discuter de l'impact de la pandémie sur la transformation numérique et partager la façon dont les organisations peuvent s'adapter.
Cette discussion fait suite à la publication des résultats d'une récente enquête menée auprès de 1 112 décideurs en matière de sécurité informatique dans le monde entier. L'enquête leur a demandé leur avis sur les plus grandes menaces qui pèsent sur leurs environnements Microsoft Office 365, et sur leur capacité à s'en défendre.Le passage à cloud et l'adoption du travail à distance ont accru la menace des cyberattaques, quatre professionnels de la sécurité sur cinq déclarant que les risques de cybersécurité ont augmenté au cours des douze derniers mois.
Au cours de la table ronde, Sarah a fait remarquer : "Je pense qu'au cours de l'année écoulée, de nombreuses entreprises ont été confrontées à un véritable défi en ce qui concerne le travail à distance. Beaucoup d'entre elles n'étaient pas préparées pour pouvoir travailler à distance en masse et à grande échelle." Un an après le début de la pandémie, cependant, elle affirme que les organisations ont délaissé la gestion de crise au profit d'une approche plus stratégique.
Lisa et moi sommes revenus sur ce sentiment lorsque la conversation a porté sur le retour aux lieux de travail physiques, l'adhésion aux normes de conformité, la navigation dans les menaces émergentes, et plus encore.
Maintenant, examinons les informations que nous n'avons pas eu l'occasion d'aborder au cours de la discussion.
Microsoft Office 365 et le nouveau paysage cloud
Cloud ainsi que l'efficacité et l'agilité qu'elle procure, est au cœur des discussions des conseils d'administration depuis plusieurs années, les capacités de cloud passant rapidement du statut d'avantage stratégique à celui de nécessité pour les entreprises.
Selon notre enquête, 97 % des décideurs en matière de sécurité informatique ont étendu leur utilisation de Microsoft Office 365 à la suite de la pandémie. Il n'y a rien d'étonnant à ce que Microsoft Office 365, l'une des plateformes SaaS (Software-as-a-Service) les plus utilisées pour la collaboration entre entreprises, ait connu une telle évolution. En mars 2020, Microsoft a fait état de 258 millions d'utilisateurs actifs, soit une augmentation de plus de 70 millions par rapport à l'année précédente.
Microsoft Office 365 constitue souvent la base des opérations commerciales d'une entreprise, facilitant le stockage et le partage de la quasi-totalité des données, tout en étant le fournisseur d'identité donnant accès à diverses autres applications SaaS.Ce type de centralisation est une aubaine tant pour les employés que pourcybercriminels. Pourquoi ? Microsoft Office 365 et d'autres environnements cloud sont bien plus accessibles qu'une application traditionnelle protégée derrière un périmètre.
Le pivot rapide et l'augmentation subséquente des déploiements de Microsoft Office 365 et Azure AD ont forcé de nombreuses entreprises à prendre en compte des surfaces d'attaque élargies et des effectifs isolés qu'elles ne sont peut-être pas équipées pour surveiller et protéger efficacement. 48 % des personnes interrogées ont déclaré que leur priorité absolue était de sécuriser Microsoft Office 365. Les préoccupations suivantes sont à égalité avec 45 % chacune : 1) le risque d'abus d'identifiants conduisant à des prises de contrôle de comptes par des utilisateurs non autorisés, et 2) la capacité des pirates à dissimuler leur rack en utilisant des outils Microsoft légitimes tels que Power Automate et e-Discovery. Au total, 71 % des utilisateurs de Microsoft Office 365 ont subi en moyenne 7 prises de contrôle du compte d'un utilisateur légitime au cours de l'année écoulée.
Prise de contrôle de comptes, mouvement latéral et reconnaissance, oh mon Dieu !
Les comptes Microsoft Office 365 compromis peuvent être exploités pour infliger des dommages considérables en peu de temps. Notre rapport Spotlight sur Microsoft Office 365, qui a examiné plus de quatre millions de comptes, a révélé que 96 % d'entre eux présentaient des signes de déplacement latéral. Un nombre élevé de mouvements latéraux suggère que les attaquants accèdent rapidement aux informations et commencent leur reconnaissance une fois qu'ils ont réussi à contourner la sécurité périmétrique. Bien que la plupart des mouvements latéraux puissent être bénins, une activité normale de l'utilisateur, le véritable défi consiste à repérer les activités latérales malveillantes. La recherche dans ce bruit pour discerner le comportement des attaquants demande beaucoup de ressources aux centres d'opérations de sécurité (SOC), en particulier sans l'aide de l'intelligence artificielle.
Malgré cela, 76 % des personnes interrogées restent confiantes dans leur capacité à détecter les mouvements latéraux et 79 % pensent avoir une bonne visibilité sur les attaques qui contournent les défenses de sécurité préventives. En cas de violation, une minorité de personnes interrogées ont déclaré qu'il leur faudrait des semaines pour remédier à un compte compromis. En revanche, 64 % d'entre eux ont déclaré pouvoir mettre fin à la prise de contrôle d'un compte en quelques heures ou quelques jours, et près de 30 % ont déclaré que leur équipe pouvait identifier et mettre fin à la prise de contrôle d'un compte immédiatement. La différence entre les heures, les jours et les semaines est très importante lorsqu'il s'agit de répondre aux menaces. C'est pourquoi des réponses rapides sont essentielles pour contenir les compromissions dès qu'elles sont détectées.
Si l'on considère que la durée moyenne d'une attaque est estimée à 43 jours, une entreprise peut ne pas disposer de "semaines" pour faire face à une menace. Les attaques qui durent longtemps représentent la plus grande menace pour les organisations, en particulier si elles impliquent un compte Microsoft Office 365 compromis. Cela explique peut-être que 58 % des personnes interrogées, en particulier les directeurs et les cadres de niveau C, estiment que le fossé entre les capacités des attaquants et celles des défenseurs se creuse de plus en plus.
Parmi les autres résultats clés du rapport, on peut citer
- Les dispositifs IoT/connectés et les attaques basées sur l'identité sont les deux principales préoccupations en matière de sécurité pour 2021.
- 58 % des entreprises prévoient d'investir plus d'argent dans le personnel et la technologie, et 52 % investiront dans l'IA et l'automatisation en 2021.
- La plus grande frustration liée aux solutions de sécurité existantes est le temps qu'il faut consacrer à leur gestion
Sécuriser les déploiements d'Office 365 et de cloud
En fin de compte, si l'on n'investit pas dans les capacités de réaction, l'écart entre les capacités de sécurité se creusera. Le fait que trois entreprises sur quatre aient subi des attaques malveillantes sur le site Usurpation de compte souligne la nécessité de suivre et de sécuriser les identités à mesure qu'elles passent d'un site à l'autre à l'adresse cloud.
Microsoft Office 365 continuant à jouer un rôle essentiel dans le maintien des opérations commerciales, les organisations doivent s'assurer qu'elles disposent des capacités nécessaires pour sécuriser leurs environnements cloud . Il s'agit d'un défi particulièrement urgent pour les organisations qui ont dû adapter rapidement leurs opérations au cours de l'année écoulée et qui pourraient avoir du mal à adapter les défenses basées sur le périmètre aux frontières moins substantielles présentées par cloud. La planification de l'inévitabilité d'un point d'ancrage de l'adversaire, qui peut inclure Usurpation de compte, devrait être la première priorité.
Chez Vectra, nous pouvons protéger les charges de travail Microsoft Office 365 et Azure AD grâce à notre solution détection et réponse aux incidents (NDR) pilotée par l'IA, Detect for Office 365. Cognito peut identifier et arrêter les attaquants opérant dans votre environnement Microsoft Office 365 ainsi que dans toute application SaaS fédérée utilisant Azure AD. Nous savons que les attaquants n'opèrent pas en silos, et nous pouvons suivre les signes du comportement des attaquants à travers l'entreprise, l'hybride, le centre de données, l'IaaS et le SaaS, le tout à partir d'un point de contrôle unique.
Pour plus d'informations sur la façon dont votre organisation peut mieux se défendre contre les attaques basées sur l'identité sur Microsoft Office 365, nous partageons dix étapes dans l'eBook de l'enquête.
Surveillez nos prochains blogs qui décrivent en détail les moyens de prévenir et de remédier à ces attaques basées sur l'identité. En attendant, si vous souhaitez tester notre solution pour Office 365, rendez-vous sur Demander une démo !