La cybersécurité est devenue un jeu de cache-cache entre les attaquants et les services de cybersécurité. Alors que la durée moyenne d’infiltration d’un SI est de 250 heures, les défenseurs de leur côté doivent désormais s’efforcer de détecter les signaux faibles de présence suspecte.
Les récentes affaires de cybersécurité les plus retentissantes ont démontré que les attaquants peuvent se cacher dans les systèmes infiltrés pendant des années avant d’être débusqués. L’enjeu pour les services de sécurité est alors de détecter les signaux faibles d’activité malveillante le plus précocement possible. Les attaquants de leur côté font évoluer en permanence leurs outils et leurs activités afin d’échapper à la détection et garder une longueur d’avance sur les équipes de sécurité. Il peut être difficile pour une organisation de suivre les dernières approches utilisées par les adversaires, en particulier lorsqu’il s’agit d’attaques ciblées, actives et orchestrées par des opérateurs humains.
De fait, les tactiques de détection précoce sont de la plus haute valeur pour les défenseurs, car si elles sont bloquées, elles peuvent neutraliser et contenir une attaque avant qu’elle n’ait la possibilité de se déployer pleinement et de causer des dommages ou des perturbations. Dans son étude Active AdversaryPlaybook 2020, Sophos révèle que le temps d’exposition moyen d’une attaque atteint 11 jours, soit 264 heures, le record étant de 15 mois. Le rançongiciel figure dans 81 % des incidents, tandis que 69 % des attaques ont eu recours au protocole RDP (Remote Desktop Protocol) pour opérer des mouvements latéraux à l’intérieur du réseau.
Un jeu de cache-cache sans fin
Étant donné que certaines de ces activités peuvent ne prendre que quelques minutes voire quelques heures (souvent la nuit ou en dehors des heures de travail), 11 jours suffisent amplement pour causer des dommages sur le réseau d’une entreprise. Il est également à noter que les attaques par rançongiciel tendent à être détectées plus rapidement que les attaques « furtives », car leur seul but est la destruction.
D’après les chiffres du rapport, 90 % des attaques observées ont eu recours au protocole RDP, dans 69 % des cas, afin d’opérer des mouvements latéraux internes. Les mesures de sécurisation de RDP, qu’il s’agisse de VPN ou d’authentification multifacteur, tendent à se focaliser sur la protection des accès extérieurs. Or ces mesures sont inopérantes si l’assaillant se trouve déjà à l’intérieur du réseau. L’utilisation de RDP pour des mouvements latéraux internes est de plus en plus courante dans des attaques actives de type « hands on keyboard », telles que celles par rançongiciel.