L’Unit 42 de Palo Alto Networks met en lumière, dans son « 2023 Unit 42 Attack Surface Threat Report », quelques-unes des observations concernant la gestion de la surface d’attaque (ASM) qui présentent le plus de risques en termes de sécurité.
Aujourd’hui, les attaquants sont en mesure de balayer intégralement en quelques minutes l’espace d’adressage IPv4, à la recherche de cibles vulnérables. Sur les 30 vulnérabilités et expositions courantes (CVE) analysées, trois ont été exploitées dans les heures qui ont suivi l’information du public et 63 % dans les 12 semaines suivantes.
Sur les 15 vulnérabilités RCE (Remote Code Execution) autorisant l’exécution de code à distance analysées par l’Unit 42, 20 % ont été la cible de gangs de ransomwares dans les heures qui ont suivi l’information du public, et 40 % des vulnérabilités ont été exploitées sous huit semaines après leur publication.
Extraits de ce rapport, ces quelques statistiques confirment à quel point les attaquants sont réactifs. Les entreprises éprouvent des difficultés à gérer leurs surfaces d’attaque à la vitesse et à l’échelle nécessaires pour contrer l’automatisation de ces offensives.
Un cloud qui évolue
Les risques ignorés sont essentiellement imputables aux services d’accès à distance, qui représentent près d’un problème sur cinq décelés sur Internet. Les défenseurs doivent constamment faire preuve de vigilance.L’infrastructure IT basée dans le cloud fluctue en effet en permanence. Chaque mois, 20 % en moyenne de la surface d’attaque dans le cloud d’une entreprise est mise hors ligne pour être remplacée par de nouveaux services ou des mises à jour.
Le déploiement de ces nouveaux services est généralement la cause de près de la moitié des expositions élevées ou critiques dans le cloud chaque mois. Et les expositions imputables aux accès distants sont largement répandues.
Dans plus de 85 % des entreprises sondées, le protocole RDP (Remote Desktop Protocol) est accessible depuis Internet au moins un jour sur quatre en moyenne par mois, les rendant sujettes aux attaques par rançongiciels ou aux tentatives de connexion non autorisées.
Le cloud, la surface d’attaque dominante !
Dès lors que le cloud devient le principal environnement de travail, 80 % des risques encourus le sont dans le cloud et non sur site. Pas moins de 80 % des expositions aux risques de gravité moyenne, élevée ou critique concernant les entreprises sondées ont été observées sur des ressources hébergées dans le cloud.La lecture de ce rapport précise notamment que :
- 80 % des risques de sécurité encourus sont présents dans les environnements cloud, contre 19 % dans ceux sur site.
- Près de 50 % des probabilités de risques élevés dans le cloud découlent chaque mois de la constante rotation des services hébergés en mode cloud, entre les nouveaux qui sont mis en ligne et/ou les anciens qui sont remplacés.
- Plus de 75 % des vulnérabilités inhérentes aux infrastructures de développement applicatif, librement accessibles, ont été mises au jour dans le cloud, faisant d’elles des cibles intéressantes pour les assaillants.
Dans le secteur de la santé, 56 % des environnements de développement exposés sont souvent mal configurés et vulnérables, donnant ainsi aux assaillants un point d’appui sur le réseau de l’entreprise.
Les infrastructures IT, de sécurité et réseau constituent les principaux facteurs d’exposition aux risques (48 %) dans l’industrie, susceptibles d’occasionner des perturbations opérationnelles significatives se soldant par une perte de production et un manque à gagner.