Une enquête détaillée des cas pris en charge par la Sophos Incident Response Team montre que les attaquants passent de moins en moins de temps dans le réseau infiltré avant de lancer leur attaque. C'est l'analyse du rapport Sophos Active Adversary pour les leaders technologiques 2023. Il leur faut également moins d'une journée pour accéder à Active Directory. La majorité des attaques de ransomwares ont lieu en dehors des heures de bureau.
Sophos publie aujourd'hui son rapport Active Adversary pour les leaders technologiques 2023. Le rapport fournit un aperçu détaillé du comportement et des outils des attaquants au cours du premier semestre 2023. Sur la base de l'analyse des cas de réponse aux incidents (IR) traités par Sophos de janvier à juillet 2023, Sophos Au cours de la période comparable de 2022, la durée du séjour est passée de 15 à 10 jours.
Risque élevé pour les joyaux d'un réseau
Sophos AD gère généralement les identités et l’accès aux ressources d’une organisation. L'accès des attaquants à AD signifie qu'ils peuvent élever leurs privilèges au sein d'un système et mener diverses activités malveillantes.
« Une attaque contre l’Active Directory d’une entreprise est logique du point de vue des cybercriminels. L'AD est généralement le système le plus puissant et le plus privilégié du réseau, offrant un accès étendu à des systèmes, applications, ressources et données supplémentaires que les attaquants peuvent exploiter dans leurs attaques. Si un attaquant contrôle Active Directory, il peut contrôler l’ensemble de l’entreprise. Ce potentiel d'escalade et l'effort de récupération élevé d'un Active Directory sont les raisons pour lesquelles il est si ciblé », déclare John Shier, Field CTO chez Sophos.
Atteindre et prendre le contrôle du serveur Active Directory dans la chaîne d'attaque offre aux attaquants plusieurs avantages. Ils peuvent rester inaperçus pour planifier leur prochain mouvement. Une fois prêts, ils continuent à pénétrer sans entrave dans le réseau de la victime. La récupération complète d'un domaine compromis peut être un processus long et ardu. Une telle attaque endommage les fondements de la sécurité sur lesquels repose l’infrastructure d’une organisation. Très souvent, une attaque AD réussie oblige l’équipe de sécurité à repartir de zéro.
Ransomware : temps de rétention plus court
Le temps d’arrêt des attaques de ransomwares a diminué. Dans les cas IR analysés, il s'agissait du type d'attaque le plus courant (69 %) et la durée moyenne du séjour n'était que de cinq jours. Dans 81 % des attaques de ransomware, le code malveillant final a été lancé en dehors des heures normales de travail. Parmi les attaques perpétrées pendant les heures de bureau, seules cinq ont eu lieu un jour de semaine.
Le nombre d’attaques détectées a augmenté au cours d’une semaine, notamment dans le cadre des enquêtes sur les attaques de ransomwares. Près de la moitié (43 %) des attaques de ransomware ont été découvertes vendredi ou samedi.
Attaques en dehors des heures de bureau
« D’une certaine manière, nous sommes victimes de notre propre succès. À mesure que les technologies et services de sécurité tels que XDR et MDR se généralisent, les attaques peuvent être détectées plus tôt. Un temps de détection plus court entraîne une réponse plus rapide, ce qui réduit la fenêtre d’opportunité pour les attaquants. Dans le même temps, les criminels ont optimisé leurs stratégies, en particulier les ramifications de ransomwares expérimentées et disposant de ressources suffisantes, qui accélèrent encore leurs attaques face à des défenses améliorées.
Mais cela ne veut pas dire que nous sommes globalement plus en sécurité. Cela se voit dans le temps d’arrêt qui se stabilise à un niveau élevé pour les non-ransomwares. Les attaquants continuent de s’introduire dans les réseaux et, si le temps presse, ils s’attarderont. Tous les outils de sécurité du monde ne sauveront pas les entreprises s’ils ne font pas attention et n’interprètent pas correctement les informations du système. Il faut à la fois les bons outils et une surveillance continue et proactive pour garantir que les criminels aient le dessus. Le MDR peut combler le fossé entre les attaquants et les défenseurs, car même si l’entreprise n’y prête pas attention, nous y prêtons attention », déclare Shier.
À propos du rapport Sophos Active Adversary destiné aux leaders technologiques
Le rapport Sophos Active Adversary destiné aux chefs d’entreprise s’appuie sur les données mondiales Sophos Incident Response (IR) provenant de 25 secteurs, de janvier à juillet 2023. Les entreprises attaquées étaient situées dans 33 pays différents sur six continents. Quatre-vingt-huit pour cent des cas provenaient d'entreprises de moins de 1.000 XNUMX salariés. Le rapport Sophos Active Adversary destiné aux leaders technologiques fournit aux professionnels de la sécurité des données et des informations sur les menaces pour mieux opérationnaliser leur stratégie de sécurité.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.