La surface d’attaque en constante évolution entraîne des risques de sécurité plus importants, selon le dernier rapport de l’Unit 42
août 2024 par Unit42
Les organisations accélèrent la modernisation de leurs architectures réseau, poussées par l’adoption de nouveaux modèles de sécurité, le cloud computing, le SaaS et la nécessité de prendre en charge des effectifs exerçant sur site, en mobilité, en télétravail. Cette évolution rapide a complexifié les efforts de sécurité qui étaient déjà mis à rude épreuve en raison de l’expansion considérable des infrastructures informatiques connues et inconnues. Ce rapport s’appuie sur plusieurs pétaoctets de données collectées en 2023. Il fournit aux responsables de la sécurité une image claire de l’évolution de la surface d’attaque, des risques qui pèsent sur leur système d’information et les solutions pour protéger leur environnement IT.
Ce qu’il faut retenir :
L’évolution de la surface d’attaque conduit inévitablement à des expositions : Dans tous les secteurs, les surfaces d’attaque sont toujours en évolution.
• En moyenne, la surface d’attaque d’une organisation compte plus de 300 nouveaux services chaque mois (ex : application, appareil connecté à Internet).
• Ces ajouts représentent près de 32 % des nouvelles expositions cloud élevées ou critiques pour les organisations.
Les opportunités de mouvements latéraux et d’exfiltration de données sont nombreuses :
• 3 catégories d’expositions (infrastructure informatique et réseau, applications d’opérations commerciales et services d’accès à distance) représentent 73 % des expositions à haut risque au sein des organisations. Ils peuvent être exploités pour les mouvements latéraux et l’exfiltration de données.
Les services informatiques et de sécurité critiques sont dangereusement exposés à Internet :
• Plus de 23 % des expositions impliquent des infrastructures informatiques et de sécurité critiques, ouvrant la porte à des attaques opportunistes. Celles-ci incluent des vulnérabilités dans les protocoles de couche application tels que SNMP, NetBIOS, PPTP et les pages de connexion accessibles sur Internet des routeurs, pare-feu, VPN et autres appareils réseau et de sécurité de base.
Les sables mouvants des surfaces d’attaque
Selon notre précédente recherche menée par l’équipe Xpanse, les attaquants peuvent analyser l’intégralité de l’espace d’adressage IPv4, soit les 4,3 milliards d’adresses IPv4 en quelques minutes, à la recherche d’opportunités. Une fois sur place, les attaquants agissent plus rapidement pour voler des données, entrant et sortant parfois en moins d’une journée. Une organisation typique ajoute ou met à jour plus de 300 services chaque mois. Ces services nouveaux et mis à jour sont responsables de près de 32 % des nouvelles expositions cloud élevées ou critiques des organisations.
Quid de la surface d’attaque par industrie
• L’analyse de l’Unit 42 révèle que l’industrie des médias et du divertissement a connu le taux le plus élevé de nouveaux services ajoutés, dépassant 7 000 par mois.
• Les secteurs des télécommunications, de l’assurance, de la pharmacie et des sciences de la vie ont également été confrontés à des augmentations substantielles, avec plus de 1 000 nouveaux services ajoutés à leurs surfaces d’attaque.
• Des secteurs critiques tels que les services financiers, la santé et l’industrie manufacturière ont vu leurs surfaces d’attaque ajouter plus de 200 nouveaux services chaque mois.
Les expositions de surface d’attaque supérieures
• Pour les infrastructures informatiques et réseaux, les expositions constituent plus de 25 % des expositions observées par l’Unit 42 (ex : vulnérabilités dans les protocoles de couche application tels que SNMP, NetBIOS, PPTP, etc)
• Pour les services d’accès à distance, les expositions constituent une part importante, comprenant plus de 23 % des expositions observées. Ces services, tels que RDP, SSH et VNC, sont essentiels pour permettre la connectivité à distance aux réseaux et systèmes organisationnels. Cependant, lorsqu’ils sont exposés ou mal configurés, ils présentent des risques de sécurité importants.
Les expositions aux applications liées aux opérations commerciales représentent 23 % des expositions aux surfaces d’attaque.
• La compromission de ces systèmes peut entraîner de graves perturbations opérationnelles, notamment l’arrêt des projets et l’interruption des communications.
• L’exposition des données sensibles, en particulier dans les secteurs traitant des informations personnelles identifiables (PII) et des informations de santé protégées (PHI), présente des risques importants pour la confidentialité et la sécurité.
La reprise du Framework Web. Les expositions constituent une préoccupation majeure pour les organisations en raison de leur potentiel à provoquer des failles de sécurité généralisées. Ces expositions constituent 12 % de toutes les vulnérabilités de sécurité observées dans les organisations interrogées.
Le partage de fichiers non sécurisé. Ces expositions représentent 3 % de toutes les expositions à la sécurité dans les organisations et présentent des risques importants, notamment des violations de données.
L’Unit 42 a également observé d’autres types d’expositions, notamment :
• Les systèmes non corrigés, mal configurés et en fin de vie (EoL) : les attaquants exploitent ces vulnérabilités pour obtenir un accès non autorisé ou perturber les opérations.
• La cryptographie faible ou non sécurisée expose les communications et les données sensibles à l’interception ou au déchiffrement par des acteurs malveillants.
• Les technologies opérationnelles (OT), appareils embarqués et Internet des objets (IoT) opèrent souvent avec des contrôles de sécurité limités, ce qui les rend vulnérables à l’exploitation.
• Les connexions non cryptées et protocoles textuels exposent les informations d’identification transmises en texte brut que les attaquants peuvent intercepter et utiliser pour un accès non autorisé à des systèmes critiques ou à des données sensibles.
• Les infrastructures de développement, y compris les référentiels et les serveurs de build, constituent également une cible privilégiée pour les attaquants.
Unit 42 a également observé d’autres types d’expositions :
• Les systèmes non patchés, mal configurés et en fin de vie (EoL) laissent des vulnérabilités ouvertes que les attaquants exploitent pour obtenir un accès non autorisé ou perturber les opérations. Par exemple, un attaquant pourrait exploiter un routeur critique non patché pour intercepter ou modifier le trafic réseau, compromettant ainsi l’intégrité ou la confidentialité des données. Des pare-feu mal configurés peuvent involontairement autoriser l’accès non autorisé aux réseaux internes, facilitant ainsi l’exfiltration de données ou la propagation de logiciels malveillants.
• Une cryptographie faible ou non sécurisée expose les communications et les données sensibles à l’interception ou au décryptage par des acteurs malveillants. Cela pourrait entraîner un accès non autorisé à des informations confidentielles ou un vol de propriété intellectuelle, affectant ainsi l’avantage concurrentiel et la conformité réglementaire. Ces risques peuvent également figurer en bonne place dans les évaluations de sécurité tierces, ce qui peut avoir un impact sur les primes d’assurance cybernétique et les opportunités commerciales.
• Les technologies opérationnelles (OT), les appareils embarqués et l’Internet des objets (IoT) fonctionnent souvent avec des contrôles de sécurité limités, ce qui les rend vulnérables à l’exploitation. Un acteur malveillant pourrait utiliser un appareil IoT compromis, tel qu’une caméra ou un capteur intelligent, comme point d’entrée pour attaquer les réseaux internes ou dans le cadre d’un botnet pour lancer des attaques par déni de service distribué (DDoS). En outre, les appareils OT compromis peuvent avoir des impacts immédiats et graves sur les opérations commerciales et même la sécurité physique.
• Les connexions non cryptées et les protocoles textuels exposent les identifiants transmis en texte clair que les attaquants peuvent intercepter et utiliser pour accéder sans autorisation à des systèmes critiques ou à des données sensibles. De même, des protocoles comme Telnet ou FTP transmettent les données en clair, ce qui les rend vulnérables à l’écoute clandestine et à la manipulation.
• L’infrastructure de développement, y compris les référentiels et les serveurs de build, est également une cible privilégiée pour les attaquants. La compromission de ces environnements peut entraîner le vol de code source, de propriété intellectuelle ou l’injection de code malveillant dans les builds logiciels. Cela pourrait potentiellement affecter l’intégrité des logiciels et la confiance des utilisateurs.
Quelles recommandations pour sécuriser la surface d’attaque ?
Maintenir une visibilité persistante et complète : La clé pour pouvoir détecter et répondre aux risques liés à la surface d’attaque (tels que les nouvelles vulnérabilités très médiatisées) réside dans une attribution complète de la surface d’attaque de l’organisation. Cela peut être réalisé grâce à un scan continu des ports standards et non standards, ainsi qu’à des empreintes précises des services et appareils de l’environnement de l’entreprise et à des évaluations des risques.
Surveiller les services non autorisés ou le shadow IT : La vérification des ressources périmétriques connues peut vous aider à distinguer les actifs connus des actifs inconnus ou hors périmètre. Quel que soit le secteur que vous protégez, il est important d’utiliser des standards de configuration communs pour la sécurité. Les écarts par rapport à ces standards ou politiques sont généralement les plus vulnérables aux compromissions.
Se concentrer sur les vulnérabilités prioritaires : Il est essentiel de concentrer les efforts de remédiation sur les problèmes de sécurité les plus critiques, en particulier ceux exposés sur Internet, qui entraîneraient des scores de gravité et de probabilité élevés. Il est recommandé de faire appel à une expertise externe pour identifier les points de départ les plus efficaces pour améliorer la situation.
Remédier en temps réel aux risques d’exposition critiques : Détecter les risques exposés sur Internet, qu’ils soient dus à des erreurs de configuration ou à des vulnérabilités, n’est que la moitié de la bataille. Les organisations devraient disposer de processus, et idéalement de technologies, pour aider les équipes de sécurité opérationnelle à identifier les propriétaires de services, à communiquer les détails des risques et à suivre les mesures correctives.
Solliciter une expertise : Si l’organisation débute dans la gestion de la surface d’attaque ou souhaite améliorer ses pratiques existantes, il faut envisager une évaluation de la surface d’attaque par des professionnels.
Renforcer la sécurité de l’accès à distance : L’implantation des protocoles d’authentification robustes, tels que l’authentification multifactorielle, pour tous les services d’accès à distance est cruciale. Il est nécessaire de mettre en place des systèmes de surveillance pour détecter et répondre aux tentatives d’accès non autorisé ou aux attaques par force brute potentielles.
Optimiser les configurations cloud : L’entreprise peut établir un calendrier régulier de révision et de mise à jour des paramètres cloud afin de les aligner sur les meilleures pratiques du secteur et d’atténuer les risques de sécurité potentiels. L’organisation a tout intérêt à favoriser la collaboration entre les équipes de sécurité et de développement pour promouvoir le développement sécurisé des applications cloud natives.
Appliquer des pratiques de gestion sécurisée des données : L’entreprise doit implémenter et maintenir des contrôles d’accès stricts et des protocoles de partage de fichiers sécurisés pour toutes les bases de données et ressources partagées afin de prévenir les accès non autorisés, les violations de données et de garantir la conformité réglementaire.
Se tenir informé des menaces émergentes : Il est essentiel de rester informé sur les nouvelles vulnérabilités, exploits et acteurs de menaces. Cela permet de réévaluer régulièrement la surface d’attaque de l’organisation à la lumière de ce paysage de menaces en évolution.
Méthodologie
En 2023, l’Unit 42 et Cortex Xpanse ont collecté des pétaoctets d’informations sur les expositions accessibles sur Internet dans 265 organisations. L’Unit 42 a utilisé ces données pour analyser les problèmes associés à ces expositions. Tout au long de l’année, l’équipe de recherche a étudié les changements dans les services cloud et les risques associés qu’ils créent dans une organisation typique dans divers secteurs. La période de 12 mois a fourni suffisamment de données pour un calcul et une analyse approfondis. Pour chaque catégorie industrielle, l’équipe de recherche a inclus des données provenant d’au moins cinq grandes organisations. Cortex Xpanse a classé les systèmes comme hébergés sur site ou dans le cloud en fonction de divers facteurs.