Mineurs et Minions : Les violations de données ne sont pas la seule chose qui vous coûte cher

Bien sûr, une violation de données peut coûter plus cher (du moins pour le moment) et elle met certainement en lumière votre échec (vous devez le signaler), mais la sécurité ne peut pas se résumer uniquement à l’exposition des données.

De nos jours, on n'entend parler d'une violation que s'il y a eu une exposition de données. Selon la façon dont certaines personnes parlent (et écrivent), les violations n’ont d’importance que si des données sont exposées. Un rapport récent de Netwrix sur la sécurité et les risques informatiques a en effet noté que « les organisations prévoient de concentrer leurs investissements sur la sécurisation des données sensibles, car elles ne peuvent pas prévoir toutes les menaces possibles. » ( Rapport sur les risques informatiques 2017 )

Étant donné que le coût moyen d’une violation de données s’élève à plus de 3 millions de dollars, selon une étude de Ponemon (sponsorisée par IBM), cela semble être une stratégie judicieuse. Protégez les données. Après tout, cela ne coûte pas seulement en termes d’argent, cela ternit également l’image de marque et la réputation de l’entreprise et coûte souvent leur emploi à des gens.

Le problème avec une stratégie de sécurité aussi myope est qu’elle ignore complètement qu’il existe tout autant de coûts associés à d’autres violations. Parce que personne n’attaque vos défenses avec l’intention de s’éloigner une fois qu’ils l’ont fait. Les attaquants ne cherchent pas à se contenter d’accéder à votre réseau ou à vos systèmes. Nous avons largement dépassé la phase de la simple « dégradation comme rite de passage » dans la communauté des hackers. Le plus souvent, les attaquants d’aujourd’hui sont là pour l’argent.

Et même si nous savons que les informations d’identification et les données personnelles valent beaucoup d’argent sur le dark web, les données ne sont pas le seul moyen de gagner de l’argent de nos jours. Le marché très lucratif du cryptomining l’a récemment prouvé. Un blog très détaillé et long (et qui vaut la peine d'être lu) de Talos calcule qu'une seule campagne de cryptojacking pourrait générer entre 182 500 $ par an et 100 millions de dollars par an :

« Pour mettre les gains financiers en perspective, un système moyen générerait probablement environ 0,25 $ de Monero par jour, ce qui signifie qu'un adversaire qui a enrôlé 2 000 victimes (ce qui n'est pas une mince affaire) pourrait générer 500 $ par jour ou 182 500 $ par an. Talos a observé des botnets constitués de millions de systèmes infectés, ce qui, selon notre logique précédente, signifie que ces systèmes pourraient être exploités pour générer théoriquement plus de 100 millions de dollars par an. 

Théoriquement, bien sûr.

Ces chiffres sont surprenants, mais ce ne sont pas les profits générés par les mineurs qui sont nécessairement pertinents dans l’article d’aujourd’hui. C’est justement la raison principale des attaques. Après tout, quelques centaines de milliers de dollars constituent une bonne raison de rechercher des ressources gratuites. Et parce que c’est si lucratif, vous devriez être plus conscient des coûts associés aux violations qui laissent des mineurs et des serviteurs derrière vous dans votre infrastructure.

Le coût de la consommation illicite de ressources

Les coûts d’une violation de données sont bien documentés et vont des coûts de nettoyage aux dépenses de notification et d’indemnisation.  Les coûts des autres violations ne sont pas aussi bien documentés, mais existent néanmoins sous la forme de dépenses opérationnelles inutiles et de coûts d’opportunité perdus. Qu’il s’agisse de mineurs ou de minions, de processus traditionnels basés sur Linux ou de code conteneurisé, la réalité est qu’une fois déposés, ces robots étrangers et indésirables consomment illicitement des ressources qui coûtent de l’argent réel à la fin du mois (ou du trimestre, selon la fréquence à laquelle vous payez votre facture cloud).

Certains pourraient penser que ces robots consomment des ressources pour lesquelles vous auriez payé de toute façon. Je veux dire, il semble que cela puisse être vrai – vous n’utilisez que 20 % de cette instance/serveur en moyenne, mais vous payez pour 100 % quoi qu’il arrive. Alors vraiment, les robots vous coûtent-ils de réels revenus ?

Vous avez bien raison, ils le sont.

Rappelons-nous un instant le principe de mise à l’échelle automatique, l’une des raisons pour lesquelles de nombreuses organisations adoptent le cloud public. Lorsque la charge ou les performances dépassent un seuil, nous souhaitons qu'une nouvelle instance soit lancée pour répondre à la demande. Si nous avons une instance qui n'utilise que 20 % pour servir des clients légitimes et qu'un bot consomme soudainement les 80 % restants. Nous allons payer pour une deuxième instance, puis une troisième, puis une quatrième, et enfin une cinquième, pour répondre à la demande qui aurait pu être satisfaite par une seule instance si elle n’était pas utilisée de manière illicite.

Donc il y a ce coût. 

Pour ceux qui sont passionnés par l’environnement, il y a aussi l’augmentation des émissions de carbone due à une consommation accrue d’électricité. Fait fascinant, mais lorsque le calcul est inactif, il consomme moins de watts que lorsqu’il est pleinement sollicité (en particulier lorsqu’il effectue des calculs cryptographiques très complexes). Ainsi, si un mineur ou un minion travaille sans relâche, cela vous coûte en kilowattheures (s'il est sur site) et en heures d'instance (s'il est dans le cloud public), ce qui augmente votre empreinte carbone.

Consommer plus d’énergie signifie plus de chaleur, qui doit être compensée par un refroidissement supplémentaire. Il y a donc encore plus d’électricité utilisée. Et il y a les systèmes qui surveillent la température et qui en rendent compte… eh bien, vous comprenez l’idée. De nombreuses puissances de calcul auxiliaires sont utilisées pour faire fonctionner un centre de données (dans le cloud ou sur site), ce qui vous coûte des sommes de plus en plus importantes en termes d’exploitation en raison de la consommation illicite de ressources.

Comme indiqué dans le blog susmentionné de Talos, certains de ces scripts de cryptomining sont intelligents. Ils sont évasifs et peuvent empêcher vos machines de se mettre en veille, de redémarrer, de se connecter ou de réaliser toute autre activité susceptible d’interrompre leur fonctionnement. Ils maintiennent vos machines en marche 24 heures sur 24, 7 jours sur 7, et récupèrent chaque dernier élément numérique possible avant que vous n'appeliez l'exterminateur.

Il s’agit donc de coûts tangibles, ceux que l’on peut constater dans les factures de services publics et de cloud qui montent en flèche. Qu'en est-il des coûts intangibles ? Comme la perte d’un client (ou d’un client potentiel) en raison de mauvaises performances ?

Eh bien, rappelons-nous l’axiome opérationnel n°2 : à mesure que la charge augmente, les performances diminuent.

Si un mineur ou un serviteur consomme des ressources, cela augmente la charge globale sur un serveur, ce qui va diminuer les performances de l'application. Comme la gravité, c'est une loi. L’impact d’une mauvaise performance est bien documenté. Par exemple, nous savons grâce aux recherches d'AppDynamics que 8 utilisateurs sur 10 ont supprimé une application parce qu'elle fonctionnait mal. Nous savons qu’Amazon , Google et Walmart ont tous documenté l’impact que même les microsecondes ont sur les revenus, les conversions et les achats. Selon le secteur d’activité, la perte d’une application ou une légère dégradation des performances peut se traduire assez rapidement par des pertes mesurables.

Même si vous ne voulez pas faire le calcul réel (et je ne le fais certainement pas), l'idée générale parle d'elle-même : les mineurs et les serviteurs coûtent de l'argent réel aux organisations de diverses manières. Certes, l’exposition des données constitue un risque sérieux pour la sécurité et l’entreprise contre lequel il est essentiel de se défendre, mais n’ignorons pas que toute violation peut entraîner de graves conséquences. 

Selon RedLock Cloud Security Trends de mai 2018 , 25 % des organisations souffrent actuellement d'activités de cryptojacking dans leurs environnements. Tripwire a également noté que 15 millions de personnes ont été affectées par une seule opération d'extraction de Monero . eWeek a fait état d'un service public dont les ressources de calcul étaient considérablement épuisées par des opérations de cryptomining illicites.

Ces rapports sont de plus en plus fréquents, probablement dans l’espoir de mettre en lumière la gravité de ces activités. Ce qu’il faut retenir à propos des mineurs – et des serviteurs servant dans les armées de botnets – c’est qu’ils sont la preuve d’une faille dans vos défenses, dont aucune n’est nécessairement liée à des données sensibles.

Se concentrer trop étroitement sur la protection des données est un bon moyen d’ajouter votre nom à la liste croissante des entreprises qui ont payé pour faire du cryptojacking une activité aussi lucrative. L’incertitude quant à ce que les attaquants exploiteront ensuite n’est pas une bonne raison pour détourner notre attention d’une stratégie de sécurité globale et concentrer tous nos efforts sur la protection des données. Protégeons l’entreprise – et cela inclut les postes opérationnels qui peuvent ronger les résultats financiers de l’entreprise.