En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

CyberSec : Quelles cyber attaques marquantes en 2019

Par Greg Day, CSO et VP EMEA chez Palo Alto Networks

Publication: Décembre 2019

Partagez sur
 
Quelles tendances cyber en 2020 ? La réponse de Palo Alto Networks...
 

Prenons un peu de recul… Revenons sur l’année écoulée et prenons nos bonnes résolutions en matière de cybersécurité pour celle à venir. Il est temps de faire un point sur les défis et les opportunités qui nous attendent en 2020.

1. L’IA va faciliter la cybersécurité

Nous avons beaucoup discuté de la façon dont l’intelligence artificielle (ou IA) générerait de nouvelles méthodes de détection des menaces et de la façon dont les cybercriminels cherchent à détourner les capacités de l’IA. Tout cet emballement continuera certainement, mais l’impact de l’IA sur la cybersécurité en 2020 sera sur un autre point : simplifier les processus.

Les systèmes SOAR (Security Orchestration, Automation and Response outils d’automatisation de la détection et de réponse aux incidents de sécurité) n’en sont qu’un exemple : utiliser l’IA pour rassembler la connaissance humaine détenue par l’équipe responsable de la sécurité avec du NLP (Natural Language Processing interprétation automatique et génération du langage humain) et lui permettre d’être réutilisée par l’ensemble de l’équipe. Cette approche fournit les premiers blocs qui permettront l’automatisation de tâches simples, répétitives et en grande quantité qu’aucun expert en sécurité n’aime exécuter. Cela permettra également de s’assurer que la bonne personne avec les connaissances adéquates est affectée au bon projet.

2. Quelle est l’étendue des falsifications digitales ?

Avoir un contact ou une source numérique fiable est de moins en moins facile avec la multiplication des faux comptes et documents. Ces dernières années, nous avons constaté une hausse des faux courriels professionnels (BEC pour Business Email Compromise), utilisant des identifiants volés pour accéder aux systèmes. Et ces contrefaçons continuent de s’étendre aux vidéos, à l’audio et aux autres formats numériques. Nous voyons ces faux passer d’une simple falsification d’adresse à un réseau complexe de mensonges se développant sur plusieurs plateformes. Nous devons nous attendre à voir apparaître des contrefaçons plus approfondies et plus recherchées pour pousser les utilisateurs à faire ce que veulent les cybercriminels.

Pour des tâches critiques, les entreprises ont déjà commencé à mettre en place des contrôles secondaires pour essayer d’identifier et d’arrêter ces faux, que ce soit des BEC ou autres. Mais comme ceux-ci se diversifient, nous devons surveiller de façon plus large les communications numériques et les processus pour déterminer comment atteindre le niveau de confiance requis. Ou alors nous devenons sceptiques et nous travaillons – par défaut - sans jamais accorder notre confiance, limitant ainsi les risques associés et leurs impacts. Avec la tendance à la contrefaçon qui n’est pas prête de se ralentir, nous ne pouvons que constater le développement de réseaux Zero-Trust.

3. Le cloud se spécialise

Ce qui était le « cloud d’abord » est devenu le « adapté au cloud », « cloud hybride » et le « cloud unique », et désormais le « multi-cloud ». Quelle sera la prochaine étape du voyage dans le cloud ? La réponse la plus probable sera l’avènement de plus de clouds spécialisés. Pourquoi ? Plus particulièrement dans la zone EMEA, il semble que les frontières virtuelles pour les données augmentent ; de nombreux acteurs de ces politiques encouragent la migration vers le cloud, mais à condition que la donnée reste dans leur région ou leur pays. Ce qui s’explique par une importance toujours plus grande accordée à la vie privée et à la confidentialité.

Dans le même temps, l’IoT (Internet of Things : internet des objets) et les autres générateurs de Big Data pousse à avoir de l’edge computing (ou informatique en périphérie de réseau) toujours plus efficaces. Ces deux besoins impliquent de prendre la donnée et de lui faire subir un certain nombre de traitements (que ce soit pour retirer les informations permettant d’identifier l’utilisateur, pour lui ajouter des métadonnées, ou pour réduire le grand volume de données circulant sur le réseau en utilisant des résumés analytiques, qui seront eux-mêmes traités à l’étape suivante).

Tout ceci signifie que bien que le cloud soit connecté, il va devenir plus spécialisé et fragmenté pour s’adapter à tous ces impératifs. Les experts en sécurité s’habituaient à des modèles à responsabilités partagés ; ils devront vite comprendre comment normaliser la supervision à travers plusieurs clouds et anticiper l’arrivée de plusieurs clouds spécialisés.

L’agilité liée à l’informatique à la demande sera toujours source de complications pour la sécurité. Les décisions devront être prises en fonction de ce qui sera réalisé en mode SaaS , de ce qui sera fait ‘on premise’, ou plus important, comme le faire de façon cohérente alors que les services cloud se spécialisent de plus en plus.

4. Les RSSI retournent à l’école apprendre le DevOps

Dans les années qui viennent, la 5G va générer une explosion de données liées à l’IoT, dont les entreprises vont chercher à tirer un avantage commercial. Et pourtant, alors que tous ces problèmes à venir nécessitent une approche agile, de nombreux RSSI ont du mal à insérer la sécurité dans une approche DevOps qui, pour eux, est comme apprendre un langage totalement inconnu.

La plupart des RSSI ont toujours utilisé des scripts et des interfaces graphiques pour piloter la sécurité informatique. Toutefois, le DevOps replace tout dans le code, en le réduisant à la plus petite portion possible réutilisable puis nécessite plusieurs niveaux d’orchestration pour fonctionner dans des conteneurs et des environnements serverless. Certains RSSI essaient déjà de comprendre comment intégrer la sécurité dans le code et comment l’adapter à ce Nouveau monde numérique. Les autres devront s’y mettre, en 2020 et au-delà. La mutation est en cours. Pour faire simple, les vieilles méthodes et les outils liés n’ont plus cours dans cet environnement ; les RSSI doivent apprendre les nouveaux langages, processus et capacités nécessaires pour rejoindre cet écosystème.

5. Les ralentissements actuels de la 5G entraineront une vague encore plus importante d’IOT

La 5G a déjà été déployée dans quelques villes pilotes en Europe. Et pourtant, la situation politique actuelle semble en freiner le déploiement, entrainant des retards pouvant aller de 12 à 24 mois. Toutefois, cela ne ralentit pas la quantité d’objets connectés conçus pour utiliser la 4G existante et les bénéfices à venir de la 4G. Du coup, quand la 5G sera complètement déployée, il y aura beaucoup plus d’objets connectables en 5G déjà en place.

Pour les responsables sécurité, la vague attendue n’en sera que plus grande. Objets liés à la santé, domotique, véhicules autonomes ou opérations boursières ne sont qu’une partie des domaines qui pourront en tirer avantage. Quand la 5G sera là, le délai dans le déploiement signifiera juste que le RSSI et son équipe auront plus de paramètres à prendre en compte comme ce retard n’aura servi qu’à apporter de nouveaux appareils sur le marché et que beaucoup voudront alors avoir un retour sur investissement rapide pour effacer les pertes qui lui sont dues. Les sociétés ne devraient pas reléguer la planification liée à l’IoT et à la 5 G au second plan, mais au contraire profiter de ce délai supplémentaire pour affiner la façon dont ils vont identifier ces futurs appareils connectés, et définir les bonnes mesures de sécurité à mettre en place avec quelles fonctionnalités. Si nous pensons qu’avoir un modèle partagé entre le cloud et les entreprises est compliqué en 2019, nous ne devons pas oublier que l’IoT et la 5G contribueront à la création de chaînes technologiques et de responsabilités associées bien plus complexes.

6. Des conseils d’Administration mieux informés sur la sécurité

Historiquement, la plupart des entreprises veulent comprendre les risques informatiques et les impacts qu’ils peuvent avoir sur elles. Plus elles sont informées, plus il y a de chances pour qu’elles aient une discussion sur le bon niveau d’investissement en cybersécurité pour leurs besoins. Typiquement, les RSSI veulent la solution haut de gamme pour diminuer autant que possible les risques ; et pourtant les décisionnaires vont choisir une solution meilleure marché, car ils estiment que l’impact sur leur business est assez bas et ne justifie pas une dépense plus élevée.

Ces discussions ne disparaîtront pas, même si les décisionnaires bien informés poseront de plus en plus la question « et si ? ». Et si cela se produit ? Quelle est la réponse stratégique à avoir ? Combien de temps prendra le retour à la normale ? Quelle est notre solution de secours ? Quels sont les protocoles pour continuer notre activité ? Comme de plus en plus de processus sont numérisés, les décisionnaires sont conscients que, pour un grand nombre de raisons, des problèmes peuvent survenir : la définition d’une bonne sécurité, comme le disent les RSSI, ne se limite pas à l’identification et à la gestion des risques. De plus en plus, elle englobe la stratégie de reprise d’activité développée en relation avec les métiers pour être sûr de minimiser l’impact commercial du « et si ? », et ce d’un bout à l’autre de l’année et 24 h sur 24, dans un environnement s’appuyant sur le cloud. Vous pourriez avancer que les changements réglementaires expliquent ce changement d’orientation, ce qui est en partie vrai, mais la principale motivation reste la dépendance numérique de la plupart des activités économiques critiques. Les RSSI cherchent toujours à se faire entendre des conseils d’Administration ; ils devront désormais faire face à un interrogatoire plus coriace.

7. Le Edge computing s’accélère

Un nouveau pot à miel pour les cybercriminels ? Il n’y a pas si longtemps, nous avons remarqué une attaque frappant un PSP (prestataire de service de paiement) qui, dans mon esprit, est la gourmandise suprême. Il y a des millions de TPE (terminaux de paiement), donc pour un criminel, cela vous permet d’être à tous ces endroits à la fois. Attaquez la banque, en revanche, et vous visez le point le plus sécurisé, ce qui implique de prendre plus de risque et génère plus d’attention. Et donc comme dans le compte de Boucle d’Or et des trois ours, le criminel va chercher le bol de porridge idéal, dans ce cas-ci, l’intermédiaire entre les deux à savoir, le PSP.

Aujourd’hui, en suivant le développement du edge computing (ou informatique à la périphérie, à savoir augmentation de la capacité de calcul et de connexion en terminaison de réseau), la possibilité d’y faire un premier traitement des données et de l’agrégation avant de les envoyer dans le cloud ; le tout pour réduire la latence, les délais et les coûts de traitement des données. L’edge computing n’en est qu’à ses débuts ; les exemples les plus courants sont certainement son utilisation dans les assistants numériques personnels comme Alexa ou Cortana. Nous avons déjà vu de cas très divers où ces outils peuvent être compromis, de nouvelles fonctionnalités génèrent de nouvelles pistes de compromission, et l’occasion fait le larron. L’edge computing est un point d’entrée qui, comme le bol de porridge, est juste à la bonne température pour les criminels. Donc, attendez-vous à voir des exemples où il sera attaqué et à voir les stratégies de sécurité évoluer rapidement dans ce domaine.

8. Les politiques de réponse aux incidents évoluent, et les vieux SOC sont responsables de plus d’échecs

Dans chaque société, l’étendue des opérations numériques a doublé voire triplé. Le cloud est désormais intégré dans la vie courante et pourtant, pour beaucoup, la politique de réponse aux incidents reste bloquée trois ou quatre ans en arrière, voire plus. Vous pourriez penser que le RGPD a entrainé des changements dans ce domaine, mais il n’a fait que tester les capacités existantes. Alors que le volume des incidents de sécurité continue à croître, la plupart des RSSI n’ont tout simplement pas le personnel ou les compétences pour suivre le rythme. Beaucoup ont déjà externalisé au moins les premiers filtres depuis des années. Beaucoup réalisent que leurs politiques de réponse aux incidents ne sont pas adaptées au cloud, qui est plus complexe en demandant des retours du prestataire de cloud et de l’entreprise. Ce sont ces facteurs qui poussent les responsables sécurité à revoir ce que sera le SOC du futur et comment l’adapter à la croissance sans fin des alertes.

Aujourd’hui, d’un côté, nous avons vu des prestataires de cloud annoncer 100 % d’automatisation ; et de l’autre, des responsables sécurité dire que rien n’est fait sans une validation humaine préalable. Avec une telle étendue des possibilités, et des besoins toujours plus importants, nous ne pouvons que nous attendre à plus d’échecs qui, à leur tour, impliqueront de repenser les fonctionnalités du SOC ainsi que les compétences et les ressources qui lui sont allouées.

9. La Terre est ronde, mais le réseau reste trop plat

Avec toujours plus chaînes logistique, des systèmes de connexion par API, de données et de processus migrant dans le cloud et, bien sûr, avec des réglementations toujours plus présentes, les entreprises redéfinissent leurs infrastructures réseaux. Beaucoup parlent du concept de réseau Zero Trust (Zero Trust Network ou ZTN) et, pourtant constatent que le fossé entre leur état des lieux et l’idéal du ZTN est trop grand à franchir, donc ils ont retardé toute action en ce sens. En 2020, nous verrons d’autres actions que des simples prises de paroles, beaucoup vont aller dans cette direction avec de nouveaux processus, ou avec ceux qui sont les plus critiques pour leur activité. La clé étant qu’en continuant à numériser et connecter les processus, nous devons mieux limiter les risques qui y sont liés.

Unit 42 : Etat des lieux des menaces en 2019

Alex Hinchcliffe, analyste Threat Intelligence au sein d’Unit 42, l’unité de recherches sur les menaces de Palo Alto Networks : « En 2019, nous avons constaté une hausse importante du nombre de conteneurs exposés et vulnérables à des attaques. Nous nous attendons à ce que d’autres occurrences de ces nouvelles failles risquées pour les entreprises en 2020. Les attaquants vont continuer à chercher de nouvelles façons d’attaquer les entreprises à travers le cloud, comme les sociétés continueront à se tourner vers cette technologie. Quand bien même les conteneurs ne sont pas exposés sans sécurité à la vue de tous, les systèmes peuvent toujours être vulnérables à des failles touchant les logiciels et systèmes d’exploitation classiques.

La tendance des vulnérabilités dans les logiciels et applications dans le cloud continuera à augmenter. L’un de ces exemples est la découverte par Unit 42 du premier ver de cryptojacking répandu en utilisant les conteneurs du Docker Engine (Community Edition). »

De plus, nous nous attendons à voir plus d’attaques par ransomware en 2020, comme nous avons constaté en 2019, un plus grand nombre de cybercriminels qui ne vendaient pas seulement des ransomware ou proposaient du ransomware-as-a-service, mais également qui proposaient des pas-à-pas pour créer ses ransomware. L’an dernier nous avions prédit une hausse des ransomware post-intrusion pour complètement désarçonner les sociétés ciblées et ainsi récupérer des rançons nettement plus importantes. Au cours de cette année, nous avons étudié la famille de malwares LockerGoga, qui a eu un effet significatif, plus particulièrement en Europe.

“Les chercheurs d’Unit 42 ont également analysés environ 10 700 exemples de malwares écrits en Go, et ont déterminé en juillet en se basant sur l’horodatage que les malwares en Go ont augmenté de façon régulière durant de nombreux mois en 2019. De plus, 92 % des exemples identifiés étaient compilés pour les systèmes d’exploitation Windows, faisant de ceux-ci la principale cible des développeurs de malwares sous Go. Même si ce langage de développement n’est pas encore le favori de la communauté de développeurs de malware, nous nous attendons à ce qu’il gagne en popularité en 2020. Il est intéressant de noter qu’Unit 42 a également constaté que ce langage était souvent utilisé pour des attaques étatiques, entre autres, dans le passé. Il semble que ce soit dû à la volonté de changer la façon dont le code se présente pour dérouter les scanners de sécurité.”

Quelles furent les attaques phares de 2019 ? :

PKPLUG

“Après trois ans de traque, Unit 42 a publié en octobre un rapport sur un ensemble d’attaques de cyber-espionnage à travers toute l’Asie, qui utilisait un mélange de malwares tout fait et personnalisés. Nous avons nommé ce groupe de cybercriminel (ou ces groupes, comme notre analyse actuelle ne nous permet pas d’affirmer à 100 % qu’il s’agit d’un seul groupe), ‘PKPLUG’ et nous les avons repérés dans toute l’Asie du Sud-Est en particulier au Myanmar (ex-Birmanie), à Taïwan, au Vietnam et en Indonésie. Il y a de bonnes raisons de penser qu’ils ont été également actifs dans d’autres régions d’Asie, comme le Tibet, Xinjiang ou la Mongolie. Cet acteur cible les appareils sous Android avec un malware d’espionnage, mais également de façon plus classique, les PC sous Windows avec des malwares comme PlugX et Poison Ivy, et le malware jusqu’à présent inconnu, Farseer, ouvrant aussi des backdoors (ou portes dérobées) dans les systèmes des victimes.”

xHunt

“Entre mai et juin 2019, Unit 42 a observé des outils inconnus utilisés pour s’attaquer aux organisations de transport basées au Koweït, avec une variante de ses outils remontant à juillet 2018. En septembre, nous avons publié un rapport montrant comment ces outils pouvaient être liés aux campagnes OilRig ISMA Agent, qui se sont spécialisées dans l’attaque des organisations de transports au Moyen-Orient. Du coup, nous continuerons à surveiller de près cette activité en 2020 pour en apprendre le plus possible sur ces cybercriminels. Les outils utilisés dans les campagnes xHunt avaient différentes techniques de Command and Control (C2) y compris une nouvelle méthode pour générer des brouillons de mails communicants avec le cybercriminel sans avoir à envoyer directement de mail, ce qui les rend les mécanismes de communication plus difficiles à détecter.”

BabyShark

“En février, les chercheurs d’Unit 42 ont publié un rapport sur des mails d’hameçonnage ciblés envoyés en novembre 2018 contenant de nouveaux malwares partageant une infrastructure commune avec des playbooks associés à des campagnes menées par la Corée du Nord. Ce malware, que nous avons nommé ‘BabyShark’, envoie des informations sur le système à ses serveurs C2 une fois qu’il a infecté un appareil, et reste en place en attendant de nouvelles instructions par l’opérateur.”

Mirai

“Les variantes de Mirai, le botnet Linux/IoT bien connu, ont été nombreuses en 2019. Unit 42 en a découvert une nouvelle en janvier s’attaquant aux systèmes d’affichage et de présentations sans fil des entreprises, une autre en févriercompilée pour de nouvelles architectures et de nouveaux processeurs, et huit nouveaux exploits ajoutés en juin ciblant un plus grand nombre d’objets connectés. Les objets connectés restent une cible populaire dans la communauté des hackers, en raison d’une moindre importance accordée à la sécurité de l’IoT. Le nombre d’objets connectés ne fera que croître en 2020, notamment avec l’arrivée commerciale de la 5G.”

http://www.paloaltonetworks.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: