theNet by CLOUDFLARE

Les risques s'accroissent à mesure que les attaques multivecteurs deviennent la norme

Comment une plateforme consolidée peut résoudre ces difficultés


La multiplicité des vecteurs augmente les risques

Lorsque des acteurs malveillants ciblent plusieurs surfaces d'attaque ou vecteurs en même temps, leurs chances de parvenir à leurs fins augmentent de manière spectaculaire.

Ces attaques multivecteurs, à savoir les tentatives d'infiltration du réseau par différents points de compromission, n'étaient auparavant pratiquées que par les pirates les plus sophistiqués, et qui disposaient de financements importants. Ce n'est plus tout le temps le cas aujourd'hui. Il est de plus en plus fréquent que les acteurs malveillants appliquent plusieurs tactiques en même temps : parfois pour tester les différents systèmes de défense, parfois pour exploiter une lacune subtile de la sécurité et parfois tout simplement pour saturer la capacité de réponse d'une entreprise.

Étant donnée la fréquence grandissante de ces attaques multivecteurs, il devient nécessaire d'envisager la sécurité de manière globale, avec des techniques plus intégrées et rationalisées ; en commençant par la réduction du nombre de services de sécurité de niche.



Pourquoi les attaquants ciblent-ils plusieurs vecteurs de cette manière ?

L'exploitation de deux (ou plus) vecteurs d'attaque augmente les chances de réussite de l'attaque. Si l'attaque implique plusieurs points d'entrée dans un réseau (par exemple le recours au phishing par e-mail, au phishing vocal et à l'exploitation d'une vulnérabilité du VPN), il suffit que l'une de ces tentatives fonctionne pour que l'attaque dans son ensemble réussisse. Le phishing est très souvent présent dans les attaques multivecteurs, et ce pour une raison très simple qui tient au fait que le phishing profite d'une erreur humaine plutôt qu'une faille logicielle, ce qui est plus difficile à bloquer.

Malheureusement, avec la généralisation du travail hybride ces conséquences sont de plus en plus probables. La généralisation largement documentée des environnements de travail impliquant des appareils personnels (BYOD pour bring-your-own-device), ainsi que la dépendance croissante au cloud public, aux applications SaaS et à des réseaux sans fil non sécurisés a contribué à estomper les traditionnels périmètres du réseau. Des quantités plus importantes d'identités et d'appareils bénéficiant d'une fiabilité moindre accèdent aux données sensibles stockées et partagées dans Internet, cet état de fait augmente d'autant les vulnérabilités en même temps qu'il réduit la visibilité et le contrôle par les équipes de sécurité.

Rien d'étonnant par conséquent à ce que les rançongiciels aient atteint des records en 2021, et à ce que 338,4 millions de tentatives de rançongiciels aient été constatées au cours des trois premiers trimestres de 2022.



La sophistication n'est pas nécessaire

Les organisations suffisamment grandes et complexes présentent un grand nombre de vecteurs d'attaques possibles, c'est-à-dire les voies ou les moyens par lesquels les pirates peuvent accéder à un réseau ou à un appareil. La matrice MITRE ATT&CK disponible en open source propose une liste détaillée des différents vecteurs ciblés par les attaquants et des tactiques et techniques utilisées pour les exploiter.

Des exemples récents illustrent la manière dont les attaquants combinent les vecteurs au cours d'une seule campagne. En 2022, un groupe connu sous le nom d'0ktapus a eu recours à une combinaison de phishing par SMS et de téléchargement en arrière-plan de logiciels malveillants pour cibler plus de 160 organisations parmi lesquelles de nombreuses ont été compromises à divers degrés. Détail important, d'après une analyse de l'attaque par un organisme indépendant, les pirates étaient étonnamment assez inexpérimentés, ce qui dénote largement de la sophistication généralement attendue dans le cas d'attaques multivecteurs.

De la même manière, dans le cadre d'une récente série d'attaques au rançongiciel Royal, les acteurs malveillants ont appliqué une combinaison de phishing, de compromission de protocole d'ordinateurs à distance, et de téléchargements de logiciels malveillants pour cibler des organisations liées à des infrastructures essentielles. Et la vulnérabilité Log4j, largement répandue, a offert aux pirates l'opportunité de combiner la compromission de chaîne d'approvisionnement avec plusieurs autres vecteurs.



Les difficultés liées à l'atténuation des attaques multivecteurs

Les attaques multivecteurs sur les réseaux d'entreprises peuvent être difficiles à bloquer pour de nombreuses raisons. L'une d'elles tient au fait que les politiques de sécurité sont actuellement majoritairement basées sur le périmètre. Si un pirate exploite un vecteur pour accéder au VPN d'une organisation, par exemple, il peut disposer d'un accès illimité à l'ensemble du réseau.

Le manque de personnel et de ressources est également apparu comme un autre problème courant. De nombreuses organisations peinent à recruter pour leurs équipes de sécurité et n'ont pas toujours le budget nécessaire pour externaliser les postes non pourvus auprès de prestataires de services gérés. La plupart ont appliqué des systèmes de défense traditionnels pendant plusieurs décennies, mais aujourd'hui, ceux-ci sont mis à mal par l'intensification du travail hybride et du travail dans le cloud ; deux phénomènes qui ne peuvent pas être contrés par les pare-feu sur site, les passerelles ni même les solutions de sécurité du cloud ponctuelles.

Les pare-feu et les passerelles qui gardent le périmètre du réseau ne sont plus suffisants lorsque les pirates ciblent des appareils personnels ou des déploiements dans le cloud et en particulier lorsqu'ils se trouvent déjà au sein du réseau, ce qui est bien trop souvent le cas. Une pile de sécurité fragmentée et complexe, formée de produits dédiés qui ne sont pas interopérables, quand bien même ceux-ci sont les plus performants, risque de comporter des failles dont l'équipe de sécurité n'aura pas conscience. Qui plus est, si un produit dédié ne détecte pas une activité malveillante, il est incapable d'alerter les autres solutions automatiquement, ce qui ne fera qu'augmenter les alertes de sécurité, et la lassitude qui va avec ces alertes.



Incitation à l'adoption d'un système de défense contre les menaces axé sur la plateforme et cloud-native

Auparavant, les organisations avaient des raisons valables d'assurer la défense de leurs réseaux à l'aide de produits dédiés pour chaque vecteur. Toutefois, cette méthode ne répond plus aux besoins dans le cas des attaques modernes multivecteurs. Les organisations ont désormais besoin d'une méthode intégrée de manière native et qui soit :

  1. Cloud-native et distribuée de façon que le trafic traverse la plateforme de sécurité, quels que soient son protocole, son origine et sa destination. Il ne faut plus partir du principe que les ressources et données de l'entreprise ne seront accessibles que par des connexions au réseau contrôlées par l'entreprise.

  2. Étroitement intégrée avec un contrôle des accès associé à des authentifications, des autorisations et des audits. Les mouvements latéraux sont faciles pour les pirates lorsque les comptes présentent trop d'accès. Il est absolument indispensable de vérifier à la fois l'identité et le contexte. Par exemple, aucun rôle utilisateur ou type d'appareil ne devrait bénéficier d'une confiance automatique.

  3. Résistante au phishing. Le phishing et l'ingénierie sociale sont des techniques largement utilisées par les pirates cherchant à obtenir un accès initial. De nombreuses attaques commencent par un e-mail de phishing, c'est pourquoi il est essentiel de déployer une protection exhaustive contre les campagnes ciblées et insaisissables qui cherchent à gagner la confiance et à profiter des utilisateurs en les contactant via différentes formes de communication (par exemple par e-mail, sur le web, par les réseaux sociaux, par messagerie instantanée ou SMS).

  4. Fluide pour l'utilisateur final. Il est devenu inévitable d'être exposé à des menaces basées sur le navigateur telles que les scripts malveillants, les téléchargements invisibles et les capteurs d’informations d’identification. L'isolement de navigateur à distance peut fournir un filet de sécurité qui isole les utilisateurs du contenu web inconnu et non fiable, mais il n'est efficace que si l'expérience est totalement identique à l'utilisation d'un navigateur local.

  5. Rentable. Les organisations doivent atténuer les menaces avec des ressources limitées. Une des possibilités à envisager consiste à optimiser les coûts de sécurité en payant des fournisseurs moins nombreux, mais qui donnent la priorité à la consolidation d'une sécurité axée sur la plateforme.

Les produits dédiés et les équipements physiques sur site ne peuvent pas mettre en œuvre les principes cités précédemment. Les entreprises ont besoin d'une défense à large spectre contre les menaces, capable de couvrir l'ensemble des vecteurs d'attaque, à la fois sur et à l'extérieur du réseau.

Cloudflare One renforce la défense contre les menaces et les accès directs nécessaires pour assurer le travail hybride. Cloudflare One protège contre les menaces en intégrant de manière native la passerelle web sécurisée et les services de sécurité d'e-mail dans le cloud ; le tout associé à l'isolement de navigateur à distance et à la prévention des pertes de données. Le rôle de la plateforme va au-delà de la défense contre les menaces par l'intégration des services avec l'accès réseau Zero Trust (ZTNA) et le cloud Access Security Broker (CASB), qui contribuent tous les deux à la sécurisation des accès.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.



Points clés

Cet article vous permettra de comprendre les points suivants :

  • La palette de vecteurs d'attaques utilisés aujourd'hui

  • La matrice MITRE ATT&CK

  • Les difficultés d'atténuation liées aux attaques multivecteurs

  • Comment une plateforme consolidée peut résoudre ces difficultés



Ressources associées


Approfondir le sujet

En savoir plus sur le blocage des menaces multivecteurs dans le livre blanc Une architecture de référence pour la transformation Internet-native.

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !