Rapport mondial des menaces 2017

Source Darktrace

INTRODUCTION

La question de la cybersécurité est devenue l’affaire non seulement des États, mais aussi des dirigeants d’entreprise et des conseils d’administration. Les attaques très médiatisées contre de grands groupes, dont les noms, pour la plupart, nous sont familiers, nous rappellent à quel point nous sommes tous susceptibles d’être la cible de cyberattaques.

En dépit des investissements réalisés dans les outils de sécurité traditionnels, les « menaces » ou les hackers sont en mesure d’infiltrer les réseaux et échappent bien souvent à la détection des contrôles de sécurité classiques. Au sein de la clientèle mondiale de Darktrace, qui couvre l’ensemble des secteurs d’activité, certaines tendances de fond se dessinent.

Nous assistons tout d’abord à l’émergence de nouvelles zones de vulnérabilité, liées à l’adoption par les entreprises actuelles de l’« Internet des Objets ». La prolifération de nouveaux objets connectés multiplie en effet les incursions dans les réseaux et les données critiques. Or, les entreprises semblent disposer d’une visibilité particulièrement limitée concernant ces avant-postes cachés de leurs réseaux.

Ensuite, les menaces liées aux activités menées par les personnes internes à l’entreprise ne cessent de grandir. Ces incidents ne sont pas nécessairement malveillants ; toutefois, en raison de la numérisation croissante des méthodes de travail quotidiennes, les utilisateurs réseau habilités peuvent accroître sensiblement la vulnérabilité des données et des systèmes.

Enfin, l’automatisation de la production de logiciels malveillants permet aux hackers de créer et de propager instantanément des malwares, en devançant les efforts des équipes de sécurité d’identifier et de bloquer de nouveaux types de menaces.

Darktrace détecte des anomalies qui parviennent à déjouer les autres outils de sécurité. Il a ainsi identifié chez ses clients des cybermenaces de nature diverse, en s’appuyant sur une approche probabiliste qui tient compte de multiples indicateurs de faiblesse afin de brosser une image pertinente de l’ensemble des menaces.

Le présent rapport regroupe neuf études de cas concrets et passe en revue certaines des menaces et attaques auxquelles ont été confrontées des entreprises équipées de l’Enterprise Immune System de Darktrace. Pour chaque étude de cas, des méthodes sophistiquées, des technologies avancées et des stratégies singulières ont été déployées afin de créer des menaces indétectables par les méthodes traditionnelles, telles que l’analyse heuristique ou les solutions basées sur des règles.

Chaque étude de cas relate un événement particulier au cours duquel Darktrace a identifié des comportements anormaux alors même que la menace était toujours en cours et se développait. Darktrace n’a eu recours à aucune règle et signature, ni à aucune connaissance préalable du réseau ou du tableau des menaces.

La capacité de Darktrace à détecter ces risques émergents, surtout à un stade précoce de leur développement ou cycle de vie, tient à son approche radicalement différente, à savoir le recours à des algorithmes propriétaires de machine learning et d’intelligence artificielle développés par d’éminents spécialistes de l’Université de Cambridge. Il permet ainsi une détection objective basée sur l’auto-apprentissage des menaces, qui prend en compte l’ensemble des activités du réseau. En développant son sens global de « soi », Darktrace est à même de détecter tous types de menaces potentielles, y compris des attaques jusqu’ici inconnues.

Le machine learning modifie le paradigme de milliers d’entreprises qui font appel au « système immunitaire » auto-apprenant de Darktrace pour comprendre, détecter et apporter une réponse à leur place, et leur permettre ainsi d’identifier et d’atténuer les menaces.

  1. Une réponse autonome à un ransomware

 Une employée d’une entreprise mondiale de services financiers a contourné la politique du groupe afin de consulter des e-mails personnels sur un ordinateur portable de l’entreprise. Elle a ouvert ce qu’elle croyait être un document Word, mais qui était en réalité un fichier ZIP malveillant contenant un ransomware. L’appareil a contacté un domaine externe inhabituel et a commencé à télécharger un exécutable suspect.

Activité anormale détectée :

  • Requête http vers deux domaines externes inhabituels
  • Téléchargement d’un fichier exécutable à partir d’un domaine irrégulier
  • Cryptage rapide de fichiers partagés sur le réseau (SMB), présentant un écart significatif par rapport au « modèle comportemental normal »

Darktrace Antigena a adopté une réponse autonome et interrompu toutes les tentatives d’écriture de fichiers cryptés sur des partages réseau. Antigena a ainsi neutralisé la menace 33 secondes après le début de l’activité malveillante.

  1. Des objets connectés associés à une attaque par déni de service

Les concepteurs d’un cabinet d’architectes utilisaient des tablettes de dessin intelligentes pour envoyer rapidement des schémas et des croquis à leurs clients et à d’autres membres de l’équipe.

Inconnus du cabinet, ces appareils étaient connectés au Wi-Fi du bureau sans que les identifiants de connexion par défaut n’aient été changés. De fait, ils étaient largement accessibles via un ensemble de canaux. Un attaquant extérieur pouvait y accéder au moyen des identifiants de connexion par défaut fournis avec le logiciel de la tablette de dessin.

Activité anormale détectée :

  • Pics anormaux des communications extérieures
  • Volume très inhabituel des données transmises à l’extérieur du réseau
  • Échanges avec une série de serveurs externes répartis dans le monde entier, avec lesquels ces appareils n’avaient encore jamais communiqué

Darktrace a détecté l’activité anormale de ces tablettes de dessin dès qu’elle a débuté. En fournissant des détails précis sur la nature de l’incident et la vulnérabilité sous-jacente, l’équipe du cabinet en charge de la sécurité a été en mesure de traiter la situation et de minimiser les risques de récidives futures.

  1. Incident sur un aquarium connecté

Un casino nord-américain a récemment installé un aquarium ultramoderne comme nouvelle attraction. Des capteurs avancés permettent de réguler automatiquement la température et la salinité de l’eau ainsi que la fréquence de la distribution de nourriture. Afin de s’assurer que ces communications n’interfèrent pas avec le réseau des données commerciales, le casino a configuré l’aquarium pour qu’il utilise un VPN dédié pour protéger les données de l’aquarium. Dès qu’il a été installé, Darktrace a toutefois identifié des transferts de données anormaux depuis l’aquarium vers une destination extérieure inhabituelle.

Activité anormale détectée :

  • Transfert de 10 Go à l’extérieur du réseau
  • Aucun autre appareil de l’entreprise n’avait communiqué avec cet emplacement extérieur
  • Aucun autre appareil de l’entreprise n’avait transmis un volume comparable de données sortantes
  • Les communications utilisaient un protocole généralement associé à l’audio et à la vidéo

Les données étaient transférées vers un appareil en Finlande, où le pirate informatique était parvenu à prendre la main sur l’aquarium.

L’Enterprise Immune System de Darktrace a détecté la menace, car il ne fait aucune supposition concernant la provenance des menaces. Il a détecté une légère anomalie indiquant une menace bien plus importante et a aidé le casino à remédier à cette vulnérabilité.

  1. La propriété intellectuelle menacée par le stockage de données

L’équipe sécurité d’un grand fabricant européen a décidé d’utiliser un serveur cloud pour stocker ses éléments de propriété intellectuelle. Ce serveur était protégé par un nom d’utilisateur et un mot de passe, mais les fichiers sur le serveur étaient accessibles sans aucune autre restriction d’accès et, surtout sans aucun cryptage. Tout utilisateur ou opérateur malveillant disposant de l’adresse appropriée pouvait accéder à ces fichiers sans avoir à s’identifier.

Darktrace a détecté cette vulnérabilité lorsqu’un appareil interne a téléchargé un fichier ZIP depuis un serveur inconnu. Généralement, cette activité indique qu’un contenu non autorisé pénètre sur le réseau. Dans le cas présent, l’anomalie a mis en évidence une vulnérabilité critique concernant la sécurité du serveur cloud utilisé par l’entreprise.

Activité anormale détectée :

  • Récupération d’un fichier ZIP anormal depuis un dossier externe
  • Serveur considéré comme totalement inhabituel pour le réseau

En signalant le risque dès qu’il a été détecté, Darktrace a permis à l’entreprise d’éviter la perte d’éléments de propriété intellectuelle critiques. Darktrace a accompagné l’équipe de sécurité pour revoir les pratiques de stockage des données en vue d’améliorer la protection future de ses données produit.

Télécharger le rapport (en anglais) : Darktrace_GlobalThreatReport2017

 

Poster un commentaire

Classé dans Sécurité

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s