Dans son rapport Threat Landscape Report 2022, Tenable retoque quelques fausses convictions et rétablit des constats basés sur des évaluations solides. « Les cybercriminels n'ont pas besoin de trouver ou de développer des vulnérabilités zero-day, ce qui leur permet de réaliser des économies, d’autant plus qu’il est facile de trouver des codes d'exploitation de type proof-of-concept pour toute une série de vulnérabilités. » affirme Satnam Narang, Senior Staff Research Engineer chez Tenable.
Cela dit les vulnérabilités Zero Days ne désarment pas. En 2022, elles ciblaient pour moitié les systèmes d’exploitation (OS) d’Apple et Microsoft. Sans surprises, le plus répandu, Windows cumule 21 % des failles, largement devant macOS (11 %) comme indiqué dans notre graphique.
Tenable recommande de concentrer les efforts de défense sur les failles connues plutôt qu’aux Zero- Day qui font rarement l’objet d’attaques massives.
Les ransomwares dont l’évaluation est sous estimée n’ont pas disparu, ils sont à l’origine de 35 % des vulnérabilités en 2022 contre 24 % l’année précédente. Cependant, il faut se méfier des chiffres. Pour preuve, les soins de santé et les services de protection sociale enregistrent le plus grand nombre de violations de sécurité, soit 35,4 % de l'ensemble des violations analysées par Tenable. Mais ce chiffre élevé doit être pondéré par le fait que ce secteur est tenu à une stricte obligation de déclaration des incidents contrairement à d’autres secteurs.
Autre enseignement, sur le cloud, les organisations perdent la visibilité de leur surface d'attaque. Elles ne peuvent pas s'appuyer sur leurs contrôles de sécurité habituels et doivent faire confiance à ce qui est fourni par les prestataires. Plébiscité par les responsables SI, le gestionnaire de containeurs Kubernetes représentait 70 % des organisations. Dans une étude récente menée par des chercheurs de la Shadowserver Foundation, 84 % des instances d'API identifiables étaient exposées à l'internet. Ainsi, un groupe malveillant connu sous le nom de TeamTNT a compromis des milliers de clusters Kubernetes pour installer des applications de cryptomining en abusant de l'API Kublet, exposée sur chacun des clusters ciblés.
Les axes pour une meilleure stratégie de défense.
En prévention, la nécessité absolue reste d’effectuer et tester les sauvegardes qui sont le parachute d’une organisation en cas d’attaque réussie.Il faut réévaluer les politiques du service d'assistance et sensibiliser à l'ingénierie sociale. Le renforcement des mots de passe fait, bien sûr, partie des pratiques indispensables. Côté authentification, il convient de renforcer les politiques en évitant si possible le contrôle MFA par SMS. L’avenir est à l’authentification sans mot de passe avec les technologies FIDO. Bien entendu, il faut trouver et corriger les vulnérabilités connues qui permettent aux attaquants d'élever leurs privilèges d’accès aux ressources et d'exfiltrer des données sensibles.
Comme indiqué dans l’étude, la sécurité du cloud, passe largement sous le radar des équipes de sécurité. Elle passe par l’amélioration de la détection des risques, du renforcement les configurations d'accès, etc. Le but est de porter l'accent sur les déploiements sécurisés des applications sur le cloud.
L’Active Directory ainsi que tous les services de gestion des identités, à l’origine de nombreux incidents, doivent aussi être correctement configurés avec les meilleures pratiques en matière de confiance zéro.