C'est un cliché à ce stade, mais cette année 202 ne s’est pas déroulée normalement.
Alors que les équipes de sécurité se préparent pour 2021, il est important de prendre un moment pour anticiper la manière dont les acteurs de la menace pourraient faire évoluer leurs stratégies au cours de la nouvelle année et comment nous pouvons y répondre.
En mars ,2020, les organisations ont été mises au défi d'accueillir des effectifs massifs de travailleurs à distance du jour au lendemain tout en arrêtant les menaces liées à la pandémie et en maintenant la continuité des activités.
Mais que réserve l'année prochaine et comment faut-il modifier votre stratégie alors que le paysage des menaces continue de changer ?
Voici les principales tendances que nous attendons pour 2021 :
Malwares et ransomwares : 2 tendances de cybersécurité
#1 : Les ransomwares s'adapteront pour toucher les services cloud (pas seulement OneDrive et SharePoint, mais aussi S3 et Azure).
Les ransomwares restent le principal problème qui empêche les professionnels de l’IT de dormir.
En tant que moyen éprouvé de gagner de l'argent pour les cybercriminels, ce n'était qu'une question de temps avant que les principaux ransomwares ne développent de nouvelles méthodes d'extorsion, notamment la menace de fuite d'informations volées.
En 2021, suite à l'accélération rapide de l'adoption du cloud (stimulée par la pandémie de COVID-19), nous prévoyons que les attaques de ransomware dériveront également vers le cloud.
De nombreuses entreprises hébergent désormais une part importante de leurs données sensibles dans des services externes, basés sur le cloud.
Ces données sont souvent moins visibles pour les équipes de sécurité - et souvent pas aussi bien sécurisées, de sorte que les attaques sont possibles. En 2021, les professionnels de la sécurité peuvent s'attendre à voir les ransomwares cibler de plus en plus le stockage dans le cloud pour maximiser l'impact et augmenter l'effet de levier pour accroître les profits.
#2 : Les malwares continueront à s'appuyer sur l'interaction des utilisateurs (et non sur les vulnérabilités techniques).
La grande majorité des cyberattaques commencent par un email, et pratiquement 100 % des malwares reposent sur une action de l'utilisateur pour la compromission initiale.
Les acteurs de la menace comprennent qu'il est possible d'essayer de percer par d'autres moyens (comme des passerelles VPN non patchées), mais que c'est beaucoup plus difficile grâce à l'excellent travail des professionnels de la sécurité et à la rareté des vulnérabilités utiles dans les systèmes orientés vers l'Internet.
En conséquence, les acteurs de la menace ont orienté leurs attaques vers des utilisateurs finaux plus vulnérables, en les convainquant d'entreprendre une action quelconque pour compromettre les systèmes.
Quand il suffit d'un clic pour activer les macros, pourquoi s’embêter à attaquer un système d'exploitation ou un navigateur moderne ?
En outre, nous pensons qu'il n'y aura pas d'abandon des “malwares sans fichier” pour les activités post-compromission. Du point de vue d'un acteur de la menace, quel meilleur moyen d'éviter la détection des logiciels malveillants que de ne pas en utiliser ?
Nous pensons plutôt que les attaquants continueront à utiliser des LOLBins et des LOLScripts (“Living off the land Binaries/Scripts”) pour compromettre les systèmes et voler ou endommager les données. Il est essentiel que les entreprises s'efforcent de détecter et de prévenir l'utilisation malveillante de ces LOLBins en s'efforçant d'empêcher les compromissions initiales et en limitant l'utilisation d'outils comme PowerShell lorsqu'elles le peuvent.
Compromission de comptes : prévisions pour les BEC et MFA
#3 : La croissance des BEC va ralentir, mais elles resteront la principale source de pertes dues à la cybercriminalité.
La compromission des e-mails professionnels, ou Business Email Compromise (BEC), qui constitue déjà un problème majeur, va encore s'aggraver. La fraude par email, qui coûte des milliards de dollars chaque année, est à l'origine de la majorité des demandes d'indemnisation de la cyberassurance et sa barrière d'entrée est très faible.
Par conséquent, les attaquants s'efforceront probablement d'augmenter leur “potentiel de gain” et leur taux de réussite en franchissant l'étape supplémentaire consistant à compromettre un compte d'utilisateur et à se faire passer pour un utilisateur légitime.
Le FBI attribue déjà la majorité des pertes dues à la cybercriminalité eu BEC, et comme les criminels élargissent leurs outils pour compromettre les comptes cloud, les fournisseurs et vendeurs des organisations, il sera toujours difficile de les arrêter.
#4 : De nouvelles techniques vont apparaître pour contourner l'authentification multifactorielle, en abusant des permissions et des mécanismes de confiance cloud (OAuth, SAML, etc.).
Si l'authentification multifactorielle (MFA) est largement considérée comme le meilleur moyen de protéger l'accès aux systèmes d'entreprise, ce n'est pas une solution miracle.
Les attaquants reconnaissent que l'authentification multifactorielle est un obstacle majeur et ont conçu des mécanismes pour la contourner en exploitant d'anciens protocoles (comme le contournement découvert récemment par nos chercheurs) ou en créant de nouveaux types d'attaques (comme le phishing OAuth) pour contourner complètement l'authentification multifactorielle.
Cette tendance devrait s'accentuer jusqu'en 2021, notamment de la part des acteurs les plus avancés.
#5 : L'automatisation fera partie intégrante d'un nombre croissant d'outils de sécurité, au lieu d'être un simple accessoire.
La pénurie de talents dans le domaine de la sécurité est un sujet de préoccupation depuis plusieurs années, les RSSI ayant du mal à conserver des équipes complètes et compétentes pendant un certain temps.
La seule façon pour les fonctions de sécurité de survivre est d'automatiser certaines parties de leur rôle - de l'administration des comptes des joiners/mover/leaver, à l'administration des pare-feu, en passant par la création de métriques, les alertes et le triage SOC, les enquêtes DLP, etc. Jusqu'à présent, les fonctionnalités d'automatisation ont généralement été abordées par l'achat d'outils supplémentaires ou de fonctions additionnelles auprès de fournisseurs.
Nous nous attendons à ce que cela change en 2021, l'automatisation devenant une fonction standard de la plupart des outils de sécurité d'entreprise - et pour de nombreux RSSI, il est temps !
2 dernières prévisions de sécurité informatique pour 2021
#6 : Des budgets qui vont remonter, mais des talents toujours difficiles à trouver.
Les ressources de nombreuses organisations ont été limitées pendant la pandémie. Cela inclut les dépenses de sécurité.
Nous espérons voir un retour à la “normalité” au cours de l'année 2021, ce qui se reflétera probablement dans les budgets de sécurité qui reviendront aux niveaux attendus. Les effectifs de sécurité ne sont toutefois pas un problème à court terme.
En fait, les RSSI continueront probablement à se battre pour recruter du personnel pour leurs équipes. Proposer davantage de postes à distance et flexibles aidera de nombreuses organisations de toutes tailles, mais le problème de l'escalade salariale persistera.
Par conséquent, de nombreuses entreprises plus petites et plus locales se verront privées des talents dont elles ont réellement besoin, même si elles peuvent puiser dans le vivier plus diversifié des travailleurs à distance.
#7 : Nous assisterons à une collaboration et à une interaction accrues entre les groupes cybercriminels, qui joueront sur leurs points forts.
Les trois voies de profit les plus utilisées par les cybercriminels sont les BEC, la compromission de comptes de messagerie (EAC) et les ransomwares. De nombreux acteurs spécialisés dans les BEC et les EAC n'ont toutefois pas tendance à servir de courtiers d'accès initial pour les équipes de ransomware, même s'ils disposent de l'accès nécessaire.
De même, les acteurs de la menace qui se concentrent sur les ransomwares n'ont pas tendance à utiliser les attaques BEC et EAC. Cette situation devrait changer d'ici 2021, car les acteurs de la menace collaborent de plus en plus pour créer des attaques plus efficaces et engranger des profits plus élevés.
Par exemple, nous pourrions voir des entreprises exploitées par des attaques EAC, et cet accès ensuite “revendu” à un autre groupe pour diffuser des ransomwares. Ou bien un groupe EAC pourrait se perfectionner et commencer à utiliser des outils de ransomware disponibles dans le commerce. On pourrait également voir des attaques BEC et EAC plus sophistiquées.
L'année prochaine restera certainement un défi pour les responsables de la sécurité. Toutefois, une stratégie axée sur les personnes, qui protège les utilisateurs sur les principaux canaux dont ils ont besoin pour travailler, contribuera à garantir le succès.