Anatomie d'une attaque moderne

Comment les menaces du monde réel utilisent des techniques multiples pour percer vos défenses.

Aujourd'hui, les attaques pilotées par l'IA ne ciblent pas un seul environnement - elles progressent dans tous les environnements, plus rapidement que les défenses traditionnelles ne peuvent réagir. Voici ce à quoi elles ressemblent dans la nature et ce qu'elles signifient pour votre organisation.

Accès Initial

Le premier obstacle pour le pirate consiste à pénétrer dans votre environnement, qu'il soit sur site, dans cloud ou en mode SaaS.

Les techniques les plus courantes sont les suivantes :

Phishing

Pour inciter les utilisateurs à révéler des informations d'identification valides ou à exécuter des charges utiles malveillantes.

SMB Scan

Pour rechercher les partages SMB ouverts ou vulnérables sur le réseau.

Mauvaise configuration du Cloud

Pour exploiter des services ou du stockage mal sécurisés dans AWS, Azure ou Google Cloud Platform.

Exploitation des faiblesses de la sécurité des Endpoint

Exploiter des systèmes non corrigés ou des informations d'identification par défaut pour compromettre les points d'accès.

Principaux risques pour votre organisation

Après avoir sécurisé l'accès initial, l'attaquant peut s'attaquer à des parties plus profondes de votre infrastructure.

Établissement de la persistance

Ensuite, l'attaquant s'assure qu'il ne sera pas facilement mis à la porte.

Les techniques les plus courantes sont les suivantes :

Détournement de jeton et abus d'OAuth

Pour un accès à long terme aux comptes SaaS via des jetons compromis ou des autorisations OAuth.

En savoir plus sur le détournement de jetons

Tâches planifiées et tunnelisation

qui automatisent des scripts malveillants ou créent des tunnels de réseau cachés afin de maintenir une porte d'entrée dérobée.

En savoir plus sur le creusement de tunnels

Rôles IAM mal configurés

Cela permet à l'attaquant d'exploiter des autorisations trop accommodantes dans les environnements cloud pour créer des points d'accès à sécurité intégrée.

En savoir plus sur la mauvaise configuration des cloud

Remote Procedure Call (RPC)

qui utilisent des services légitimes pour dissimuler des points d'appui malveillants sur des systèmes sur site.

En savoir plus sur les attaques RPC

Principaux risques pour votre organisation

Une fois que l'accès persistant est en place, les attaquants peuvent aller et venir, même si vous réinitialisez les informations d'identification ou si vous découvrez et fermez une voie d'accès.

L'escalade des privilèges et le mouvement latéral

L'attaquant peut maintenant se concentrer sur l'escalade des privilèges et se déplacer latéralement dans les environnements sur site, en cloud et SaaS.

Les techniques les plus courantes sont les suivantes :

Kerberoasting

Pour récupérer des tickets de service cryptés dans Active Directory et craquer des informations d'identification de haut niveau hors ligne.

En savoir plus sur le kerberoasting

Brute Force & Credential Stuffing

Pour tester des informations d'identification connues ou ayant fait l'objet d'une fuite et obtenir des privilèges plus élevés dans les comptes SaaS ou cloud .

En savoir plus sur les attaques par force brute

En savoir plus sur le bourrage de crèmes

Exploitation de l'IAM et du chaînage des rôles

Élever les droits au sein d'AWS, Azure ou Google Cloud Platform en enchaînant des règles mal configurées.

Plus d'informations sur les erreurs de configuration des cloud

Attaques RDP

qui utilisent le protocole de bureau à distance avec des informations d'identification volées ou forcées pour passer d'un système à l'autre.

En savoir plus sur les attaques RDP

Principaux risques pour votre organisation

Atteindre ce stade signifie que l'attaquant dispose d'un large contrôle et peut commencer à cibler des systèmes ou des données de grande valeur.

Accès aux données et exfiltration

Maintenant que l'attaquant dispose d'un accès privilégié, il s'efforce de localiser et d'extraire les données sensibles.

Les techniques les plus courantes sont les suivantes :

Miroir de trafic et requêtes LDAP

Pour intercepter le trafic réseau ou interroger des répertoires afin d'obtenir des informations précieuses.

En savoir plus sur la mise en miroir du trafic

Exfiltration du stockage Cloud

Pour copier de gros volumes de données à partir de cloud mal configurés ou compromis.

En savoir plus sur la mauvaise configuration des cloud

Attaques RDP

qui accèdent directement aux systèmes pour localiser, compresser et exfiltrer des fichiers confidentiels.

En savoir plus sur les attaques RDP

Abus de partage de fichiers SaaS

Cibler les fonctions de partage de fichiers légitimes au sein de plateformes telles que Microsoft 365 ou Google Workspace.

En savoir plus sur le partage de fichiers SaaS

Principaux risques pour votre organisation

Une exfiltration de données réussie peut entraîner des sanctions réglementaires, une perte d'avantage concurrentiel et une atteinte à la réputation.

Impact et monétisation

Enfin, les attaquants monétisent leur accès ou en tirent parti, que ce soit par le biais de demandes de rançon, de cryptomining, de vente de données ou de sabotage direct.

Les techniques les plus courantes sont les suivantes :

Chiffrement des ransomwares

Pour verrouiller les fichiers à travers le stockage sur site et dans cloud , en exigeant un paiement en crypto-monnaie.

En savoir plus sur les ransomwares

Cryptomining

Installer des logiciels d'exploitation minière sur l'infrastructure de l'entreprise ou sur des instances cloud et générer des revenus illicites.

En savoir plus sur le cryptomining

Compromission du courrier électronique des entreprises (BEC)

Cela permet à l'attaquant d'exploiter les comptes de courrier électronique de l'entreprise et d'exécuter des factures frauduleuses ou d'usurper l'identité de dirigeants.

En savoir plus sur la BEC

Déni de service (DoS)

Les applications ou les services cloud l'entreprise sont ainsi inondés, ce qui entraîne l'arrêt des activités de l'entreprise.

En savoir plus sur les DoS

Principaux risques pour votre organisation

Atteindre ce stade final peut paralyser les opérations, détruire l'intégrité des données et ternir votre image de marque. La détection précoce et l'interruption des étapes précédentes sont cruciales pour prévenir ou atténuer ces conséquences à fort impact.

Êtes-vous prêt à stopper les attaques modernes ?

Évaluer les lacunes en matière de sécurité

Compte tenu de la sophistication des attaques modernes, il est facile de négliger les indicateurs subtils d'une attaque combinée. Vérifiez si vos outils peuvent détecter les menaces modernes.

Évaluez votre sécurité

Livre électronique en vedette

Décomposition des méthodes modernes émergentes des attaquants

Découvrez comment les attaquants d'aujourd'hui se cachent à la vue de tous - et comment les intercepter.

Télécharger

Comment Vectra AI détecte et perturbe les attaques modernes

Les attaquants s'appuient sur l'enchaînement de plusieurs TTP pour passer inaperçus. Vectra AI fournit :

Couverture

Couverture des attaques en temps réel sur le cloud, le réseau et les terminaux afin d'appréhender toutes les phases, de la compromission initiale à l'exfiltration.

Clarté

La corrélation pilotée par l'IA transforme les signaux épars en une alerte unique et prioritaire, afin que vous sachiez exactement où et comment l'attaque progresse.

Contrôle

Des actions de réponse automatisées ou guidées vous permettent de contenir les comptes compromis, d'isoler les hôtes infectés et de bloquer les connexions malveillantes sans délai.

Explorer la plateforme

Ne vous laissez pas surprendre par les attaques modernes

Obtenir une évaluation des lacunes en matière de sécurité

Découvrez comment vous pouvez protéger ce qui compte.

Demander une démo

Rencontrez un ingénieur en sécurité à l'adresse Vectra AI .