Rapid7 rappelle l’importance de contextualiser ses indicateurs

Rapid7 vient de publier la première édition de ce qui va constituer son rapport trimestriel sur l’état de la menace. Il s’appuie sur les incidents confirmés et clos rencontrés par un échantillon voulu représentatif des clients de ses services managés de détection et réponse, s’appuyant sur sa plateforme InsightIDR. L’éditeur en retire plusieurs enseignements.

Le premier est que les attaquants s’appuient largement sur des méthodes impliquant une interaction avec un utilisateur, comme avec le hameçonnage, par exemple. Une vraie fausse surprise, en fait : le récent rapport de Verizon soulignait lui aussi l’importance du phishing et de l’ingénierie sociale. Mais certaines données statistiques viennent enfoncer le clou : les alertes générées par les outils de détection sont plus nombreuses en milieu de semaine, et limitées le week-end – « un e-mail de phishing peut avoir été envoyé un samedi, mais si l’utilisateur ne l’ouvre pas et ne télécharge pas de PDF infecté avant le lundi, il n’y aurait pas d’alerte avant ». Même pour les plages horaires : c’est dans l’après-midi que les alertes sont les plus nombreuses, lorsque « les utilisateurs sont les plus actifs ».

Rapid7 relève en outre que les alertes produites uniquement à partir d’indicateurs largement connus ne s’avèrent que de piètre qualité : pour gagner en précision, et limiter au passage les alertes superflues, il convient d’intégrer des éléments contextuels spécifiques à l’organisation et à son secteur d’activité. Et l’on pense tout naturellement aux indicateurs liés aux attaques avancées persistantes (APT). Des spécialistes de la gestion du renseignement sur les menaces comme ThreatConnect n’ont pas manqué d’intégrer à leurs données des indicateurs comme ceux rendus publics par Trend Micro à l’occasion de la publication de son rapport, la semaine dernière, sur Fancy Bear. Là, les APT ne concernent pas tout le monde. Selon Rapid7, « pour les entreprises opérant dans des secteurs où entrent en jeu les intérêts régaliens, les attaques sophistiquées sont plus que jamais d’actualité ». Mais en dehors de ces secteurs, les entreprises « ne sont pas concernées outre mesure ».

Enfin, l’éditeur souligne l’importance croissante du suivi de l’actualité des vulnérabilités et de l’application rapide des correctifs, notamment pour les systèmes exposés au public. Et de revenir ainsi sur la vulnérabilité d’Apache Struts dévoilée début mars : « nous avons détecté des tentatives d’exploitation de cette vulnérabilité le 7 mars, et le 9 mars, nous avons observé une progression massive des tentatives d’exploitation. Plusieurs semaines plus tard, […] les systèmes non corrigés ont été affectés significativement ». C’est le 2 mars que la fondation Apache a publié un bulletin de sécurité pour la menace, puis le 6 mars que le premier démonstrateur d’exploitation a été rendu public.