Rapport 2023 d'Elastic sur les menaces mondiales : principales recommandations et prévisions en matière de cybersécurité

Par

Santosh Krishnan

gtr-forecast-blog.jpg

Nous sommes très heureux d'annoncer la publication du rapport 2023 d'Elastic sur les menaces mondiales qui présente une analyse exhaustive de plus d'un milliard de points de données. Ce rapport fournit des informations exploitables sur les méthodes, les techniques et les tendances des utilisateurs malveillants du point de vue de la sécurité, ce qui aide la clientèle, les partenaires et les équipes de sécurité à hiérarchiser et à améliorer leur posture dans ce domaine.

Les observations communiquées dans le rapport se fondent sur des données tierces, publiques et télémétriques d'Elastic qui ont été anonymisées et mises à disposition de manière volontaire. Notre objectif consiste à démontrer en quoi notre approche unique renforce les capacités des professionnels et des développeurs de technologies de sécurité.

Principales recommandations et prévisions concernant Elastic Security

Le rapport sur les menaces mondiales fournit de précieuses informations exploitables à propos des cybermenaces auxquelles vous êtes susceptibles de faire face en 2024. Il explique comment les utilisateurs malveillants ont recours à des méthodes de plus en plus sophistiquées et furtives, mais aussi comment ils exploitent les ressources et les outils publics pour lancer leurs attaques. En outre, il comprend des conseils et des bonnes pratiques sur les techniques de protection de vos données et de vos activités contre ces attaques. Voici quelques-unes des grandes prévisions et recommandations fournies dans ce rapport.

icon-quote

Les utilisateurs malveillants se reposeront de plus en plus sur les communautés open source pour les implants, les outils et les infrastructures.

Les cybercriminels utilisent davantage les outils open source et commerciaux afin de compromettre les systèmes sur différentes plateformes. Les groupes de menaces exploitent souvent des outils, comme Metasploit, Cobalt Strike et le framework Sliver, afin de cibler les appareils Windows, Linux et macOS. Les campagnes de ransomwares et de malwares en tant que service qui utilisent ces outils pour lancer des attaques constituent une tendance croissante. Les utilisateurs malveillants peuvent avoir recours aux outils open source pour réduire leurs frais de fonctionnement.

Prévision 1Recommandation
Les utilisateurs malveillants se reposeront de plus en plus sur les communautés open source pour les implants, les outils et les infrastructures.
  • Les utilisateurs malveillants se servent du code provenant de sources ouvertes dans le cadre de leurs attaques.
  • Il s'agit notamment de bibliothèques légitimes, comme OneDriveAPI, d'outils, tels que SharpShares, et d'implants à l'instar de Sliver.
  • Les utilisateurs malveillants continueront de tirer parti des projets exposés publiquement.
Les entreprises doivent passer au crible les téléchargements directs effectués depuis des sites web partageant leur code et envisager d'en limiter l'accès. Même si cette décision n'est pas susceptible d'influer sur le code réutilisé par les utilisateurs malveillants, elle pourrait éviter que les scripts portables ou les fichiers binaires précompilés ne facilitent une compromission. Les entreprises devraient donc évaluer leur visibilité des frameworks malveillants émergents.

icon-quote

L'exposition des identifiants du cloud deviendra une source principale des incidents exposant des données.

Souvent, les utilisateurs malveillants utilisent des techniques d'accès aux identifiants afin de pénétrer des systèmes ou d'obtenir des données. L'expression "accès aux identifiants" est vaste et comprend les mots de passe, les tokens, mais aussi d'autres méthodes d'authentification. Selon nos observations, environ 7 % de l'ensemble des signaux relatifs aux comportements des points de terminaison concernaient cette tactique et 79 % d'entre eux impliquaient la récupération d'identifiants à partir du système d'exploitation grâce à des fonctionnalités ou à des outils intégrés.

Pour les prestataires de services cloud, l'accès aux identifiants représentait environ 45 % de l'ensemble des signaux de détection. Pour AWS, ces signaux impliquaient principalement des tentatives inhabituelles d'accès à des secrets à partir de Secrets Manager, des variables d'environnements provenant d'hôtes EC2 locaux et des fichiers d'identifiants. En outre, les identifiants peuvent faire l'objet de fuites via les référentiels de code, comme GitHub, si le code n'est pas correctement révisé ou nettoyé.

Prévision 2Recommandation
L'exposition des identifiants du cloud sera une source principale des incidents exposant des données.
  • Les utilisateurs malveillants ciblent les identifiants du cloud afin de voler des données et d'organiser des attaques par malware.
  • Souvent, le stockage dans le cloud n'est pas segmenté dans les grandes entreprises. Ainsi, il est facile pour les utilisateurs malveillants d'accéder aux identifiants volés.
  • Les identifiants exposés du cloud computing pourraient augmenter la prévalence des cryptomonnaies et d'autres malwares.
Les systèmes d'authentification solides et les comptes aux privilèges moindres peuvent être renforcés grâce au monitoring des comportements des entités et des utilisateurs, des solutions susceptibles de dépendre uniquement de la segmentation raisonnable des données.

icon-quote

L'évasion par la défense va rester l'investissement principal, tandis que la falsification va supplanter le masquage.

Comme le suggère la forte prévalence des techniques d'évasion par la défense, les utilisateurs malveillants savent très bien que des outils de monitoring et des solutions de sécurité sont mis en œuvre. Par conséquent, ils développent des stratégies pour le contourner. Cette situation indique clairement que les utilisateurs malveillants s'adaptent aux environnements hostiles, mais aussi qu'ils investissent du temps et des ressources pour s'assurer que leurs activités malveillantes ne soient pas détectées.

Prévision 3Recommandation
L'évasion par la défense va rester l'investissement principal, tandis que la falsification va supplanter le masquage.
  • Les dynamiques du secteur de la sécurité ont mené au développement de solides fonctionnalités de prévention pour les points de terminaison. Toutefois, les utilisateurs malveillants savent qu'il est essentiel de contourner ces protections pour atteindre leurs objectifs.
  • D'après les prévisions, cette tendance devrait engendrer un déclin des attaques de masquage.
  • Cette transition est étayée par des preuves concrètes, comme l'illustrent des tactiques de type "Bring Your Own Vulnerable Driver".
Les entreprises doivent évaluer la nature inviolable des capteurs de sécurité de leurs points de terminaison et envisager de monitorer des projets, comme ceux tirant parti des pilotes, qui suivent les nombreux pilotes des périphériques vulnérables utilisés pour désactiver les technologies de sécurité.

Garder une longueur d'avance sur les attaques grâce à Elastic Security

Ces prévisions fournissent simplement un instantané concis des menaces, des utilisateurs malveillants et des défenses qui devraient marquer l'année prochaine, selon nous. En outre, elles montrent comment nous utilisons ces connaissances pour améliorer Elastic Security et préparer nos plans pour l'avenir. Pour obtenir une présentation plus détaillée des solutions de sécurité existantes et des prévisions les concernant, vous pouvez lire l'intégralité du rapport 2023 d'Elastic sur les menaces mondiales.

La publication et la date de publication de toute fonctionnalité ou fonction décrite dans le présent article restent à la seule discrétion d'Elastic. Toute fonctionnalité ou fonction qui n'est actuellement pas disponible peut ne pas être livrée à temps ou ne pas être livrée du tout.

Inscrivez-vous à un essai gratuit d'Elastic Cloud

Optez pour un déploiement ultra-complet sur la plateforme cloud de votre choix. En tant que créateurs d'Elasticsearch, nous mettons nos fonctionnalités et notre support technique au service de vos clusters Elastic dans le cloud.

Démarrer un essai gratuit