Gorodenkoff - stock.adobe.com
Détection de cyberattaque : un niveau global encore faible
Le rapport d’activité annuel de BlackNoise suggère que les entreprises peinent encore considérablement à détecter les cyberattaques, et cela même pour les plus matures.
BlackNoise propose d’organiser des simulations de cyberattaques. Concrètement, un petit système doit être branché sur son réseau, ou sur ses réseaux en cas de forte segmentation. Cet équipement relativement simple – au moins en apparence – va alors générer des événements malveillants, séquencés suivant le référentiel ATT&CK du Mitre. Chacun de ces événements devrait, théoriquement, faire l’objet d’une détection. Le niveau de furtivité peut être ajusté en fonction du niveau de maturité de l’organisation demandeuse.
En 2022, BlackNoise a été mis à contribution dans 85 campagnes réalisées sur 11 pays, pour un total de 5 270 événements de sécurité malveillants exécutés. Erium, où est né BlackNoise, assure avoir procédé avec des organisations de tous profils et tous secteurs d’activité, et autant dans des contextes de SOC interne, hybride, ou totalement externalisé auprès d’un MSSP.
L’essentiel des actions (74 %) a porté sur l’accès initial et la découverte. La compromission et le déplacement latéral n’ont représenté que 21 % des actions réalisées, contre 5 % pour l’impact et l’exfiltration. Mais force est de constater que les résultats ne sont pas franchement encourageants.
En moyenne, indique le rapport, « le taux de détection des simulations d’attaque est de 8 % ». Et ce taux plafonne à 20 % pour les organisations « les plus matures sur ce sujet ».
En phase d’accès initial et de découverte, le taux de détection n’atteint que 7 %. Il progresse à 12 % pour la compromission et le déplacement latéral, avant de retomber à 11 % en phase d’exfiltration et d’impact. Après l’impact, ce n’est plus de la détection ; ce n’est que de la découverte. Douloureuse, le plus souvent.
Le rôle de l’EDR est souligné par les auteurs du rapport : « l’EDR est la source de détection primaire dans 75 % des cas ». De quoi conforter les observations des derniers mois, avec des témoignages qui se multiplient de cyberattaques interrompues avec succès. Jusqu’à tout récemment celui de la Collectivité européenne d’Alsace.
Mais si l’EDR est une telle source de détection, c’est aussi par manque de surveillance de ce qui se passe dans le réseau. Le rapport souligne notamment que « les attaques qui ne déclenchent pas d’exécution de code système sont peu détectées ». Ce qui recouvre notamment les communications vers les serveurs de commande et de contrôle (C2) ou les exfiltrations de données vers des services cloud.
La raison ? Notamment un « manque de technologies adéquates », comme les solutions de détection et de réponse dans le réseau (NDR) et IDP/IPS, ou encore une configuration « non optimale des outils en place ».