Entreprises : toutes déjà compromises ?

Versa Networks vient de publier l’édition du printemps 2016 de son rapport synthétisant ses activités auprès de ses clients – 120 cette année, contre 40 pour l’édition précédente, pour un total de plus de 1,3 million d’hôtes. Et la première conclusion est simple : « toutes les organisations [étudiées] ont présenté des signes d’intrusion active ». Pour mémoire, Versa Networks n’intervient pas en remédiation, mais avant, en détection, en s’appuyant sur la surveillance du trafic réseau en temps réel.

Et cette observation a permis en moyenne 30,2 détections par mois pour 1000 hôtes. Les communications avec les centres de commande et de contrôle comptent là pour l’essentiel des détections : 67 %. Viennent ensuite les opérations de reconnaissance, à 11,4 % et d’exploitation de bot, à 10,5 %. Les activités de mouvement latéral ne comptent que pour 8,6 % des détections, contre 3,1 % pour les exfiltrations de données.

Les opérations de reconnaissance, de mouvement latéral et d’exfiltration de données s’inscrivent dans la continuité d’un processus d’attaque ciblée. Les chiffres de Vectra tendent à faire apparaître ces attaques comme quasiment aussi répandues que les attaques plus opportunistes visant à la constitution et à l’exploitation de botnets.

Mais l’exfiltration de données n’intervient qu’à la fin du processus d’attaque ciblée. Et là, Vectra ne cache pas sa satisfaction : « la bonne nouvelle est que les comportements d’exfiltration relèvent de la phase d’attaque la plus rarement détectées dans ce rapport. La plupart des attaques sont détectées et stoppées avant que ne surviennent des dommages significatifs ».

Et si les attaquants utilisent majoritairement http pour cacher leurs communications avec les centres de commande et de contrôle, ils lui préfèrent https pour exfiltrer les données – 15,9 % contre 14,5 %. Mais les techniques dites de data smuggling restent les plus répandues, à 62 %.

Les observations de Vectra laissent apparaître, après normalisation des chiffres, d’importantes différences d’un secteur d’activité à l’autre. Les détections sont ainsi en moyenne plus fréquentes dans le monde de l’éducation (64 par mois pour 1000 hôtes), des médias et de l’énergie (environ 53). Les secteurs des services financiers, du jeu et de l’hôtellerie semblent mieux placés avec à peine plus de 11 détections par mois pour 1000 hôtes.

Dans son rapport, Vectra souligne un taux de détection « considérablement au-dessus de la moyenne » pour les phases de reconnaissance et de mouvement latéral dans le secteur de l’énergie qu’il estime « lié à des contaminations internes ayant conduit à des analyses de ports et à la réplication automatique de logiciels malveillants sur les réseaux ». Dans le secteur des médias, le niveau de détection élevé serait plutôt lié à des botnets, mais également à de la reconnaissance. Enfin, dans le monde de l’éducation, le risque proviendrait surtout de bots utilisés dans des opérations de fraude au clic, du fait d’ordinateurs d’étudiants compromis.