Grâce à notre analyse, nous avons découvert une prévalence d’angle mort commun dans les défenses
organisationnelles qui permettent aux
pirates d’obtenir un accès initial, d’avoir
un pied dans l’entreprise et de mettre
en œuvre une attaque, même avec des
solutions de sécurité avancées.
Dans de nombreux cas, l’issue d’une cyberattaque est
déterminée bien avant le début de celle-ci. Les pirates
exploitent les environnements vulnérables pour
obtenir un accès initial, surveiller et causer des dégâts
au moyen de mouvements latéraux et de chiffrement
ou d’exfiltration. Le fait d’arrêter un pirate à un stade
précoce augmente considérablement les chances de
réduire l’impact global.
Microsoft a étudié des configurations spécifiques
dans les niveaux de sécurité afin d’identifier les
failles les plus courantes dans la pratique réelle
de ces environnements. Cela nous a permis de voir
les vulnérabilités les plus courantes exploitées lors
d’attaques de ransomware exécuté par des humains,
qui ont permis aux cybercriminels d’accéder à un
réseau et d’y naviguer sans être détectés.
Les configurations de sécurité de base
doivent être activées
Les appareils d’une organisation qui ne sont
pas intégrés ou qui sont obsolètes (tant en ce
qui concerne les vulnérabilités que le statut des
agents de sécurité) constituent des points d’entrée
potentiels et des voies d’accès pour les pirates.
Nous avons constaté que, même si l’intégration
d’une solution actualisée de détection et de réponse
aux points de terminaison1 (EDR) et de plateforme
de protection des points de terminaison2 (EPP)
sur les appareils de l’entreprise constitue une
étape importante, elle ne garantit pas l’élimination
des ransomwares.
Les solutions avancées telles que EDR et EPP sont
essentielles pour détecter un pirate au début du
flux d’attaque et pour permettre une remédiation
et une protection automatiques. Cependant,
comme ces solutions avancées reposent sur une
capacité fondamentale à détecter une attaque, elles
nécessitent l’activation de configurations de sécurité
de base. En fait, nous avons observé une prévalence
de scénarios avec des solutions avancées en place
qui étaient minées par l’absence de configurations
de sécurité de base.
Les bonnes pratiques en matière de
configurations de sécurité sont un meilleur indicateur de résilience que le temps de réponse des analystes du centre des opérations de sécurité (SOC).
Sur une période de six mois, nous avons observé une
réduction de 70 % du temps nécessaire à un analyste
SOC pour consulter et traiter une alerte pertinente
chez nos clients et partenaires. Cette sensibilisation
accrue est de bon augure. Toutefois, si la visibilité
de la configuration de sécurité a amélioré les
performances des analystes SOC, la visibilité des
produits par l’intégration et la mise à jour des
appareils de l’entreprise a été un meilleur indicateur
de la réussite de la prévention
Risque lié aux appareils inconnus
Contrairement aux réseaux cloud, où les clients
savent quels actifs fonctionnent sur quels systèmes
d’exploitation, les réseaux sur site peuvent contenir
une grande variété d’appareils tels que des appareils
IoT, des ordinateurs de bureau, des serveurs et des
appareils réseau qui ne sont pas surveillés ou gérés
par l’organisation.
Le réseau d’entreprise moyen compte plus de
3 500 appareils connectés qui ne sont pas protégés
par un agent EDR et qui pourraient avoir accès aux
ressources de l’entreprise, voire à des actifs de grande
valeur. Microsoft Defender pour point de terminaison
(MDE) utilise l’inspection du réseau pour découvrir
les appareils et fournir des informations sur les
classifications des appareils connectés au réseau,
telles que le nom de l’appareil, la distribution
du système d’exploitation et le type d’appareil.
Pour les appareils qui ne sont pas pris en charge
par un agent EDR, il faut au moins être conscient de
leur existence et agir pour les protéger en évaluant
les vulnérabilités, ainsi qu’en restreignant l’accès
au réseau.
Informations exploitables
- Même les solutions avancées peuvent être compromises par l’absence de configurations de sécurité de base.
- Investissez dans les bonnes pratiques en matière de configuration du niveau de sécurité pour vous protéger contre de futures attaques. Ces paramètres de base génèrent un retour sur investissement massif en termes de capacité pour une organisation à se défendre contre les attaques.
- Intégrez tous les appareils applicables à une solution EDR.
- Veillez à mettre à jour les agents de sécurité et à assurer une protection contre la falsification pour permettre une meilleure visibilité et une protection plus complète des produits.
Laisser un commentaire