News
Attaques cyber : le XDR, solution miracle ?
juin 2024 par Adam Khan, VP Global Security Operations chez Barracuda
Les attaques cyber se multiplient, difficile d’y échapper. Pour ce faire, les solutions doivent être innovantes et anticiper au mieux le moindre risque. Dernière solution en date, le XDR, qui utilise l’IA et l’automatisation dans la détection au peigne fin des menaces.
« Souvent lors d’une première intrusion, un acteur malveillant commence par compromettre les identifiants VPN en exploitant une vulnérabilité de type zero-day. Dès lors, il va pouvoir réaliser de nombreuses actions en se déplaçant à travers le réseau : compromettre des serveurs, escalader les contrôles pour accéder à certains comptes privilégiés et manipuler les comptes et les groupes d’administrateurs, établir des canaux de communication non autorisés avec un serveur de commande et de contrôle (C&C) malveillant.
En effet, l’absence de mesures de sécurité robustes sur les différents niveaux de l’infrastructure du réseau est du « pain béni » pour un attaquant qui va pouvoir exploiter diverses vulnérabilités – ce qui va endommager et compromettre considérablement le réseau. Au cours de ce genre d’attaque, l’auteur peut utiliser toute une série d’outils pour exploiter les failles de sécurité, compromettre le système, exécuter des activités malveillantes et échapper à la détection. Il va alors se tourner vers des outils permettant de prendre le contrôle à distance, établir une connexion au réseau en continue, faciliter les mouvements latéraux ou encore favoriser l’exfiltration de données. », explique Adam Khan.
Il poursuit : « Pour ce genre d’attaques, l’auteur va vouloir exploiter des informations d’identification compromises pour s’introduire dans un serveur RDP (Remote Desktop Protocol), via un outil pour forcer un compte VPN.
Aujourd’hui, il est nécessaire que les entreprises mettent en place diverses solutions de sécurité. Ces trois cas d’incidents (tout à fait communs) nous rappellent que des mesures de sécurité incomplètes peuvent rendre les organisations vulnérables à des attaques et que cela pourrait avoir des conséquences considérables – tant sur le plan financier que réputationnel. Par ailleurs, s’il y a un manque de visibilité en matière de sécurité sur l’ensemble de l’environnement IT, il sera alors plus difficile de repérer des activités suspectes, de faire le lien avec d’autres activités, et donc de pouvoir déterminer si une attaque est en cours et s’il faut réagir. »
