Rapports de Kaspersky : Dans 25 % des cyberattaques en Europe, les cybercriminels utilisent à mauvais escient des outils légitimes pour leurs activités ultérieures. Ils utilisent principalement les vulnérabilités des programmes comme passerelles vers le réseau de l'entreprise ou comme outils d'accès à distance pour voler des données. 11,1 % des réponses aux incidents en Europe proviennent d'Allemagne ; 25,9% de Suisse.
Qu'il s'agisse d'institutions financières ou d'entreprises des télécommunications, de l'industrie, du transport et de la logistique, les organisations européennes de tous les secteurs doivent faire face à des cyberattaques. Près d'un quart (24 %) des réponses aux incidents analysées par Kaspersky dans le monde l'année dernière concernaient l'Europe, qui est deuxième après le Moyen-Orient (32,6 %). Le plus souvent, des fichiers suspects (36,2 %), des données déjà cryptées (21,3 %) ou une activité suspecte sur les terminaux (10,6 %) ont déclenché une réponse aux incidents dans les entreprises. Le problème avec cela : la moitié des incidents ne sont découverts qu'après quelques semaines, donc le mal est déjà fait. De plus, un quart des incidents de sécurité sont liés à des outils de gestion et d'accès à distance légitimes, que les solutions de sécurité ont du mal à détecter comme des attaques et sont populaires à l'ère du travail à domicile.
Les cyberattaques ne se manifestent parfois que tardivement
D'une part, les entreprises reconnaissent les cyberattaques par des effets négatifs notables tels que des données cryptées, des pertes d'argent ou des fuites de données, ainsi que par les avertissements qu'elles reçoivent de leurs solutions de sécurité. En analysant les réponses aux incidents en Europe, les experts de Kaspersky ont découvert que dans plus d'un tiers (35,3 %) des cas, les vulnérabilités des programmes exploités constituaient la porte d'entrée du réseau de l'entreprise. Les vecteurs d'attaque initiaux suivants ont été identifiés :
- e-mails malveillants (29,4 %),
- supports de données externes (11,8 %),
- Exploiter les vulnérabilités dues à une mauvaise configuration (11,8 %),
- données d'accès divulguées (5,9 %)
- et initiés (5,9 %)
Les entreprises de tous les secteurs sont concernées. Les réponses aux incidents analysées par Kaspersky provenaient d'organisations des domaines de la finance (25,4 %), des télécommunications (16,9 %), de l'industrie (16,9 %) et des transports (13,6 %). Environ une réponse à un incident sur douze provenait des autorités (8,5 %).
Les outils de gestion et d'accès à distance sont un risque pour les entreprises
Une fois sur le réseau, les attaquants ont abusé d'outils légitimes pour causer des dommages dans 25 % des réponses aux incidents analysées. Ceux-ci sont en fait utilisés par les administrateurs informatiques et réseau pour, entre autres, dépanner et fournir un support technique aux employés. Cependant, il permet aux cybercriminels d'exécuter des processus sur les terminaux, d'accéder et d'extraire des informations sensibles, en contournant divers contrôles de sécurité utilisés pour détecter les logiciels malveillants.
En analysant les réponses aux incidents, les experts de Kaspersky ont pu identifier 18 outils légitimes différents qui ont été utilisés à mauvais escient par des attaquants à des fins malveillantes. La moitié des cas analysés en Europe (50 %) ont utilisé le puissant outil de gestion PowerShell, qui peut être utilisé à de nombreuses fins, de la collecte d'informations à l'exécution de logiciels malveillants, et PsExec, utilisé pour démarrer des processus sur des terminaux distants. SoftPerfect Network Scanner, utilisé pour obtenir des informations sur les environnements réseau, dans 37,5 % des attaques.
Les logiciels légitimes masquent les attaques
"Afin d'éviter d'être détectés et de rester invisibles sur un réseau compromis aussi longtemps que possible, les attaquants utilisent souvent des logiciels conçus pour les activités normales des utilisateurs, les tâches d'administration et les diagnostics système", explique Konstantin Sapronov, responsable de l'équipe mondiale d'intervention d'urgence chez Kaspersky. "Ces outils permettent aux attaquants de collecter et de déplacer des informations sur les réseaux d'entreprise, de modifier les paramètres logiciels et matériels, ou même d'effectuer des actions malveillantes - ils pourraient utiliser des logiciels légitimes pour chiffrer les données des clients. Les logiciels légitimes peuvent aider les attaquants à rester sous le radar des analystes de la sécurité, car ils ne détectent souvent l'attaque qu'une fois que le mal a été fait. Il n'est pas possible d'exclure ces outils pour de nombreuses raisons. Cependant, des systèmes de journalisation et de surveillance correctement déployés aident à détecter les activités suspectes sur le réseau et les attaques sophistiquées à des stades précoces.
Les entreprises doivent envisager de mettre en œuvre une solution de détection et de réponse des terminaux avec un service MDR pour détecter et répondre à ces attaques en temps opportun. MITRE ATT&CK® Round 2 Evaluation [2], qui a évalué diverses solutions telles que Kaspersky EDR et Kaspersky Managed Protection Service, peut aider les organisations à sélectionner les produits EDR qui répondent à leurs besoins. Les résultats de l'évaluation ATT&CK démontrent l'importance d'une solution complète qui combine un produit de sécurité multicouche entièrement automatisé et un service manuel de chasse aux menaces.
Conseils de protection Kaspersky pour les entreprises
- Limitez l'accès aux outils de gestion à distance à partir d'adresses IP externes et assurez-vous que les interfaces de contrôle à distance ne sont accessibles qu'à partir d'un nombre limité de terminaux.
- Appliquez une politique de mot de passe stricte pour tous les systèmes informatiques et l'utilisation de l'authentification multifacteur.
- Offrez aux employés des privilèges limités et n'accordez des comptes à privilèges élevés qu'à ceux qui en ont besoin pour faire leur travail.
- Installation d'une solution de sécurité dédiée telle que Kaspersky Endpoint Security for Business [3] sur tous les endpoints Windows, Linux et MacOS. Cela permet une protection contre les cybermenaces connues et inconnues et offre une gamme d'options de contrôle de la cybersécurité pour chaque système d'exploitation.
- Fournissez aux équipes SOC un accès aux dernières informations sur les menaces grâce aux informations sur les menaces [4], afin qu'elles restent à jour sur les outils, les techniques et les tactiques des acteurs de la menace.
- Création régulière de sauvegardes de toutes les données commerciales pertinentes. De cette façon, les données importantes qui ont été cryptées et rendues inutilisables par un rançongiciel peuvent être rapidement restaurées.
Des informations supplémentaires issues du rapport d'analyste de réponse aux incidents de Kaspersky sont disponibles en ligne.
En savoir plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/