Il faut moins d’une journée à des cyberattaquants pour atteindre l’Active Directory, l’un des actifs les plus critiques pour une entreprise
La grande majorité des attaques de ransomwares se produisent en dehors des heures de bureau
Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie son étude Active Adversary Report for Tech Leaders 2023, une analyse approfondie des comportements et outils des auteurs de cyberattaques au premier semestre 2023. L’analyse de cas de réponse aux incidents (IR) Sophos de janvier à juillet 2023 par Sophos X-Ops révèle que le temps médian d’exposition d’une attaque – le délai qui s’écoule entre son début et sa détection – s’est réduit de 10 à 8 jours pour tous les types d’attaques, et même 5 jours pour les attaques de ransomwares. En 2022, le temps médian d’exposition était déjà descendu de 15 à 10 jours.
En outre, Sophos X-Ops a découvert qu’il faut en moyenne moins d’une journée – environ 16 heures – aux auteurs d’une attaque pour atteindre l’Active Directory, l’un des actifs les plus critiques pour une entreprise. L’Active Directory gère généralement les identités et les accès des ressources au sein de l’entreprise, ce qui permet à des cyberattaquants de facilement rehausser leurs privilèges sur un système pour pouvoir s’y connecter et se livrer à diverses activités malveillantes.
« L’attaque de l’infrastructure Active Directory d’une entreprise est pertinente du point de vue des cybercriminels, car il s’agit en général du système le plus puissant et privilégié sur le réseau, leur donnant un large accès à des systèmes, applications, ressources et données qu’ils pourront ensuite exploiter. Un cyberattaquant qui prend le contrôle de l’Active Directory peut prendre celui de l’entreprise. L’impact, l’escalade et les coûts de récupération d’une attaque contre l’Active Directory expliquent pourquoi celui-ci est ciblé », commente John Shier, Field CTO chez Sophos.
« L’accès et la prise de contrôle du serveur de l’Active Directory dans le cadre de la chaîne d’attaque offrent plusieurs avantages aux cyberattaquants. Ceux-ci peuvent ainsi passer inaperçus afin de préparer leur coup suivant, et, une fois prêts à passer à l’action, ils pourront déferler sans entrave sur le réseau de leur victime. »
« La récupération totale d’un domaine piraté peut être longue et ardue. Ce type d’attaque endommage les fondements de la sécurité sur lesquels repose l’infrastructure d’une entreprise. Bien souvent, le succès d’une attaque Active Directory contraint l’équipe de sécurité à repartir de zéro. »
Le temps d’exposition des attaques de ransomwares a lui aussi reculé. Celles-ci sont le type d’attaque le plus répandu (69 %) parmi les cas d’IR analysés et leur temps médian d’exposition est d’à peine cinq jours. Dans 81 % des attaques de ransomwares, la charge malveillante finale a été lancée en dehors des heures de bureau classiques. Pour celles lancées pendant les heures de bureau, seules cinq se sont produites en semaine.
Le nombre des attaques détectées augmente à mesure que la semaine avance, plus particulièrement dans le cas des attaques de ransomwares. Près de la moitié (43 %) d’entre elles sont détectées le vendredi ou le samedi.
« D’une certaine manière, nous sommes victimes de notre propre succès. Alors que progresse l’adoption de technologies telles que XDR et de services tels que MDR, il en va de même pour notre capacité à détecter les attaques plus vite. La réduction des délais de détection se traduit par une réponse plus rapide, et donc par une fenêtre d’action plus étroite pour les cyberattaquants. Dans le même temps, ceux-ci affûtent leurs stratégies, en particulier les affiliés chevronnés et pleins de ressources des groupes de ransomwares, qui ne cessent d’accélérer leurs attaques bruyantes face à des défenses renforcées. »
« Cela ne veut pas dire que notre sécurité collective en soit renforcée pour autant. J’en veux pour preuve la stabilisation des temps d’exposition des attaques autres que les ransomwares. Les cyberattaquants parviennent toujours à s’introduire dans nos réseaux et, lorsque le temps ne presse pas, ils ont tendance à s’y attarder. Or tous les outils du monde ne vous sauveront pas si vous ne les surveillez pas. Il vous faut associer les bons outils à une surveillance continue et proactive pour mener la vie dure aux cybercriminels. C’est là où notre service MDR peut véritablement combler le retard entre cyberattaquants et cyberdéfenseurs, car, même lorsque vous ne surveillez pas, nous le faisons pour vous », conclut John Shier.
L’étude Sophos Active Adversary Report for Tech Leaders s’appuie sur les investigations de réponse aux incidents (IR) menées par Sophos à travers le monde, dans 25 secteurs d’activité de janvier à juillet 2023. Les entreprises ciblées se répartissent dans 33 pays sur six continents. 88 % des cas concernent des entreprises de moins de 1000 salariés.
L’étude Sophos Active Adversary Report for Business Leaders fournit aux professionnels de la sécurité des informations exploitables issues de la veille des menaces ainsi que des analyses nécessaires pour la mise en œuvre optimale de leur stratégie de sécurité.
Pour en savoir plus sur les comportements, outils et techniques des cyberattaquants, lire l’étude Time Keeps on Slippin’ Slippin’ Slippin’: The 2023 Active Adversary Report for Tech Leaders sur Sophos.com.