Hacker Attacke

Les CISO devraient aborder la gestion de l’identité «aussi vite qu’ils peuvent», dit Crowdsstrike exec

Lucas Morel

Les acteurs de la menace utilisent de plus en plus les références volées pour compromettre les actifs du cloud, prévient le rapport annuel de menaces de l’entreprise.

Les CISO devraient se déplacer «aussi vite que possible» pour fermer les trous dans leur infrastructure d’identité et de gestion de l’accès pour bloquer les cyberattaques, explique un dirigeant de Crowdsstrike.

Adam Meyers, vice-président directeur de la recherche sur l’adversaire, a fait le commentaire lundi sur la publication du rapport annuel sur les menaces mondiales de Crowdsstrike, une analyse des données de 2024 des clients.

Le rapport a noté que 79% des détections initiales d’attaques n’incluaient pas les logiciels malveillants; L’abus de comptes valides est devenu le principal vecteur d’accès initial aux actifs cloud des organisations, représentant 35% des incidents de cloud au premier semestre de 2024.

Les attaquants changent de tactique

« Les acteurs de la menace ont compris qu’essayer d’apporter des logiciels malveillants (dans un compromis initial), c’est comme aller à l’aéroport avec une bouteille d’eau dans votre paquet – vous allez probablement vous faire prendre », a déclaré Meyers dans une interview, notant que la technologie défensive comme la détection et la réponse de point de terminaison (EDR) est bonne pour attraper des malwares. Donc, il a dit: «Ce qui se passe de plus en plus, c’est que les acteurs des menaces essaient de s’éloigner de la détection (par le biais de l’EDR) et de le faire avec l’identité. C’est une tendance que nous avons vue au cours des deux dernières années environ et est vraiment sur la hausse, et continue d’évoluer. »

Mais, a-t-il averti: «L’authentification multi-facteurs (MFA) n’est pas une solution miracle, et vous devez avoir une capacité de détection et de réponse des menaces d’identité dans votre (information informatique) ou des choses tristes vont se produire.»

« C’est l’ancien adage (hockey) », a-t-il ajouté. « ‘Patiner à l’endroit où va la rondelle, pas à l’endroit où il se trouve en ce moment.' »

Parmi les conclusions du rapport:

  • Le temps d’évasion – combien de temps il faut pour qu’un adversaire commence à se déplacer latéralement sur le réseau informatique – a atteint un creux de tous les temps l’année dernière. La moyenne est tombée à 48 minutes, tandis que le temps d’évasion le plus rapide est tombé à seulement 51 secondes;
  • Les attaques de phishing (Vishing), où les adversaires appellent les victimes à amplifier leurs activités avec des techniques de génie social persuasives, ont connu une croissance explosive – en hausse de 442% entre la première et la deuxième moitié de 2024.
    Cela fait partie d’une tendance que CrowdStrike voit des opérateurs de logiciels malveillants de marchandises – un passage du phishing à d’autres tactiques, notamment des attaques de phishing et d’adhésion à l’aide d’assistance;
  • Les attaques liées à l’accès initial ont explosé, représentant 52% des vulnérabilités observées par Crowdstrike en 2024. Fournir l’accès en tant que service est devenu une entreprise prospère pour les acteurs de la menace, car les publicités pour les courtiers d’accès ont augmenté de 50% sur toute l’année;
  • Parmi les États-nations, l’activité China-Nexus a augmenté de 150% dans l’ensemble, certaines industries ciblées souffrant de 200% à 300% de plus d’attaques que l’année précédente;
  • Genai a joué un rôle central dans les campagnes sophistiquées de cyberattaque l’année dernière. Il a permis qu’un acteur de menace aligné nord-coréen ait surnommé le célèbre Chollima de créer des candidats de l’emploi informatique très convaincants qui ont infiltré des organisations de victimes, et cela a aidé la Chine, la Russie et les acteurs de la menace affiliés à l’Iran à effectuer des désinformation et à influencer les opérations pour perturber les élections.

À titre d’exemple d’une attaque sans malveillance, le rapport a décrit les tactiques utilisées par un acteur de menace, il surnombe Curly Spider, qu’il a décrit comme «l’un des adversaires ECRIME les plus rapides et les plus adaptatifs, exécutant des intrusions pratiques à grande vitesse».

Une autre tactique d’acteur de menace commune est d’appeler une aide informatique ciblée à faire semblant d’être un employé légitime et de tenter de persuader le soutien de réinitialiser les mots de passe et / ou l’authentification multi-facteurs (MFA) pour un compte.

Conseils pour les cisos

Pour arrêter ces types d’attaques, CrowdStrike exhorte les CISO à exiger une authentification vidéo avec l’identification du gouvernement pour les employés qui appellent à demander des réinitialisations de mot de passe en libre-service, et à former les employés du bureau à être prudents lorsqu’ils prennent un mot de passe et de réinitialisation en MFA effectué des appels téléphoniques en dehors des heures d’ouverture, en particulier si un nombre inhabituellement élevé de demandes est effectué dans un court laps de temps ou si l’appelant prétend être appelé sur le concurrent de concurrence.

Il aide également à passer à une authentification supplémentaire non basée sur les push tels que FIDO2 pour éviter le compromis des comptes.

Meyers a également déclaré que, parce que les acteurs de la menace exploitent de plus en plus des vulnérabilités non corrigées, les CISO doivent changer leur stratégie de gestion des patchs.

La plupart des organisations hiérarchisent les correctifs soit par la prévalence de la vulnérabilité dans leur environnement informatique, soit par la gravité en utilisant un score de criticité CVSS. Cependant, a-t-il noté, les acteurs de la menace de nos jours sont des vulnérabilités à faible score qu’ils peuvent utiliser pour créer une vulnérabilité de criticité plus élevée.

«Pensez à faire votre gestion des patchs en fonction de ce que vos adversaires exploitent réellement», a conseillé Meyers des CISO. Une vulnérabilité avec un score de 7 peut sembler élevée, mais pas s’il est difficile à exploiter, a-t-il déclaré. D’un autre côté, une vulnérabilité de gravité plus faible qui est exploitée contre la région verticale ou géographique de votre entreprise est plus importante à résoudre que les autres.

Le rapport complet est disponible en téléchargement. Une inscription est requise.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Young Team of Specialists Working on Desktop Computers and Having a Conversation at a Workplace. Female and Male Software Developers Discussing a Solution for Their Artificial Intelligence Project
Les plongées de la base de données de réduction des coûts de Doge offrent des leçons vitales de la cybersécurité dans la sécurité du cloud
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Illinois en ligne Bill Gains Gains Support
Illinois en ligne Bill Gains Gains Support