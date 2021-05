Les cybercriminels passent en moyenne 11 jours dans les réseaux vulnérables avant de passer à l'attaque.



Lorsqu'un cybercriminel parvient à pénétrer dans un réseau, il ne s'agit pas seulement d'attaquer immédiatement la cible. De nouvelles recherches montrent que ces pirates "black hat" peuvent rester en sommeil ou se tapir sur un réseau pendant environ 250 heures en moyenne avant qu'une attaque ne soit lancée ou qu'ils ne soient détectés. Cela signifie que les organisations doivent savoir que l'horloge tourne en permanence pour mettre en quarantaine un problème avant qu'il ne se transforme en cauchemar, comme la récente attaque de Colonial Pipeline.







Défendre une organisation contre les cyberattaques n'est pas une mince affaire lorsque la menace s'adapte constamment à de nouvelles techniques d'évasion et fait évoluer les outils d'attaque. En général, ces adversaires aiment essayer de garder une longueur d'avance sur l'équipe de sécurité et ils y parviennent souvent ; cependant, les rôles peuvent changer lorsque les entreprises investissent pour résoudre le problème de manière adéquate. En outre, lorsque des recherches comme celles menées par la société de cybersécurité Sophos sont publiées, davantage de personnes savent ce qu'il faut rechercher, ce qui rend les entreprises plus sûres.







La recherche en cybersécurité récemment publiée par Sophos, intitulée "The Active Adversary Playbook 2021", décrit "le comportement et l'impact des attaquants ainsi que les tactiques, techniques et procédures (TTP) observées dans la nature par les chasseurs de menaces de première ligne et les répondants aux incidents de Sophos." Cette recherche comprend les cinq principales techniques observées en 2020 et 2021 pour des tactiques telles que l'accès initial, la persistance, l'escalade de privilèges, et plus encore.







En outre, Sophos décrit ce qu'elle appelle "l'anatomie d'une attaque active", où elle a constaté que les attaquants restent sur un réseau cible pendant 11 jours en moyenne avant d'être détectés ou attaqués. Cependant, la durée la plus longue pendant laquelle un pirate a été trouvé sur un réseau était de plus de 15 mois. Dans un cas comme dans l'autre, ce laps de temps prolongé pourrait permettre un certain nombre d'activités malveillantes, "telles que le déplacement latéral, la reconnaissance, le transfert d'informations d'identification, l'exfiltration de données, etc. Ce délai permettrait également à un attaquant d'affecter autant de dispositifs que possible avant de déclencher une attaque, ce qui serait particulièrement bon si un ransomware était mis en œuvre, comme dans 81% des attaques observées.







Outre les tactiques, Sophos a également examiné les outils qu'un attaquant utiliserait, et l'équipe Sophos a tiré des conclusions intéressantes de ces informations. Plusieurs outils ont des utilisations légitimes, mais lorsqu'ils sont découverts et utilisés ensemble, ils peuvent être malveillants. Cela pourrait s'apparenter à des outils de crochetage de serrures, où il est tout à fait normal d'avoir une épingle à cheveux, mais lorsque vous vous promenez la nuit avec une épingle à cheveux, un tournevis et un masque de ski, cela devrait être inquiétant.



De même, il existe des corrélations entre les outils utilisés par les pirates, par exemple lorsque "PowerShell est utilisé dans une attaque, Cobalt Strike est observé dans 58 % des cas, PsExec dans 49 %, Mimikatz dans 33 % et GMER dans 19 %." Cela peut servir de système d'alerte précoce pour "une attaque imminente ou confirmer la présence d'une attaque active."



Avec cette abondance d'informations en tête, toutes les organisations sont toujours une cible, et chacune doit être consciente qu'une menace de cybersécurité peut apparaître à tout moment. Grâce aux recherches de Sophos, les équipes de sécurité seront, espérons-le, mieux équipées pour faire face aux menaces qui se présenteront à l'avenir. Comme on dit, la question n'est pas de savoir si, mais quand vous serez victime d'une violation.



HOTHARDWARE