F5 Labs a récemment publié notre rapport annuel sur la protection des application . L'édition 2022 est sous-titrée « Dans l'attente d'une exfiltration », reflétant la valeur durable des données volées pour les attaquants, qu'ils les utilisent à des fins frauduleuses ou pour obtenir une rançon. Le rapport synthétise des données provenant de plusieurs sources disparates pour comprendre l'évolution du paysage des menaces au fil du temps, la relation entre les caractéristiques des organisations et les techniques d'attaque auxquelles elles sont confrontées et, surtout, ce que les praticiens de la sécurité peuvent faire pour atténuer les risques.
Une grande partie de l’attention du rapport est portée sur la croissance continue des ransomwares , et pour une bonne raison : en 2021, les techniques de ransomware étaient présentes dans 42 % des attaques application ayant conduit à des violations de données aux États-Unis. Toutefois, l’accent mis sur les ransomwares ne doit pas occulter le risque des malwares non chiffrés, qui ont également connu une croissance spectaculaire et ont tendance à entraîner l’exfiltration de données sans chiffrement. Dans l’ensemble, les attaques de logiciels malveillants de toute nature ont représenté plus de 30 % de toutes les attaques en 2021 qui ont conduit à des violations de données aux États-Unis.
En parlant d’ exfiltration de données, nous avons choisi le sous-titre du rapport lorsque nous avons constaté que l’exfiltration est devenue considérablement plus courante en 2021. Quatre attaques application sur cinq ayant entraîné des violations de données aux États-Unis comportaient l'exfiltration comme tactique, notamment les attaques Magecart , des campagnes d'attaques Web supplémentaires, des attaques par ransomware et d'autres types d'infections par logiciels malveillants. Compte tenu de la croissance explosive des ransomwares en 2020 et de l’apparition début 2021 du fait que les rançons dépassaient la fraude comme moyen de tirer profit des cyberattaques, ce résultat nous a surpris et indique que la fraude continuera de concurrencer les rançons comme stratégie de monétisation.
Nous avons également constaté que les exploits Web semblaient jouer un rôle réduit dans les violations de données, même si ce n'est pas toute l'histoire : alors que la proportion de violations provoquées par des exploits Web a diminué, les exploits Web qui ont été signalés étaient presque tous du type connu sous le nom d'attaques de détournement de formulaire , dont Magecart est l'exemple le plus connu. Même si les exploits Web semblent devenir moins courants, ils se concentrent de plus en plus sur des chaînes d’attaque relativement simples et peu sollicitées qui permettent de récupérer des numéros de cartes de paiement à grande échelle. Cette tendance reflète la valeur durable des numéros de cartes de paiement par rapport à d’autres types de données moins fongibles, d’autant plus que les cibles du piratage de formulaires dans le commerce de détail et autres commerces électroniques ont également tendance à être les victimes les moins fréquentes des ransomwares.
De plus, même si les campagnes sophistiquées menées par des acteurs parrainés par l’État n’apparaissent généralement pas dans nos sources, quelques attaques avancées connues dans notre ensemble de données ont fait un usage intelligent d’exploits Web pour perpétrer des attaques de précision contre des organisations, ce qui montre que les nombres les plus élevés ne reflètent pas toujours le risque le plus important. Même si les exploits Web ne sont plus la tactique de prédilection comme ils l’étaient il y a quelques années, la gestion des vulnérabilités et la protection contre les exploits restent extrêmement importantes pour la défense.
Le rapport examine également l’état de la sécurité du cloud, constatant que les relations avec des tiers et des quatrièmes parties dans le cloud tendent à faire apparaître les risques de manière inattendue, et que les mauvaises configurations du contrôle d’accès sont beaucoup plus susceptibles de produire une exposition des données que les activités malveillantes.
Les mesures d’atténuation recommandées dans le rapport sont classées de diverses manières en fonction des priorités opérationnelles des différentes organisations, mais les objectifs de contrôle tels que la sauvegarde des données, la segmentation du réseau et diverses formes de renforcement de l’environnement ont tendance à arriver en tête de liste, quelle que soit la manière dont ils sont classés. Le rapport présente également la même approche d’analyse et de visualisation de la chaîne d’attaque utilisant le framework MITRE ATT&CK® que l’équipe a lancé dans le rapport 2021.
Nous sommes ravis d’annoncer qu’un certain chercheur principal du rapport sur la protection des application présentera cette recherche lors de la conférence RSA à San Francisco. En plus d'explorer ces tendances plus en détail, nous couvrirons un large éventail de comportements d'attaque moins importants mais non moins intéressants. Le travail remarquable de RSA ne manque pas, mais si les tendances en matière de ciblage des attaquants vous sont utiles, pensez à vous arrêter au Moscone South 208 à 13h15. Pacifique le mercredi 8 juin. Plus d'informations disponibles ici . Et si vous ne pouvez pas vous rendre à San Francisco mais que vous souhaitez plus de détails ou approfondir les données, rendez-vous simplement sur F5 Labs .