Le service Managed Detection and Response (MDR) de Kaspersky permet aux entreprises de renforcer leurs équipes de sécurité en externalisant la surveillance 24 heures sur 24 de l’infrastructure professionnelle. Selon un rapport d’analyse MDR récemment publié, le service a traité 410 000 alertes de sécurité en 2021, ce qui a provoqué le signalement de 8479 incidents aux clients. Alors qu’ils analysaient ces incidents, nos experts du SOC ont identifié les techniques d’attaque les plus courantes selon la classification MITRE ATT&CK. Ils ont calculé la proportion des incidents selon ces techniques par rapport au nombre total d’incidents et ont nommé les trois qui sont les plus populaires.
User Execution
Cette catégorie inclut tous les incidents qui reposent sur les actions de l’utilisateur au sein de l’infrastructure. C’est notamment le cas lorsque les cybercriminels obligent l’employé à cliquer sur un lien malveillant ou à ouvrir la pièce jointe d’un message. Ce groupe inclut également les incidents au cours desquels l’utilisateur trompé permet aux cybercriminels d’accéder à distance aux ressources de l’entreprise.
Spearphishing Attachment
Selon la classification MITRE ATT&CK, la méthode Spearphishing Attachment implique l’envoi d’un message avec un fichier joint malveillant. Le plus souvent, les cybercriminels utilisent aussi l’ingénierie sociale et l’exécution de l’utilisateur pour lancer ces attaques. Les fichiers exécutables, les documents MS Office, les PDF et les archives sont les charges virales les plus courantes.
Exploitation of Remote Services
La catégorie Exploitation of Remote Services inclut les incidents au cours desquels les cybercriminels se servent de services vulnérables pour accéder aux systèmes internes du réseau d’une entreprise. En général, cette méthode est utilisée pour effectuer des mouvements latéraux au sein de l’infrastructure. Les cybercriminels s’en prennent souvent aux serveurs, mais ils décident parfois d’exploiter les vulnérabilités d’autres terminaux, dont les postes de travail.
Comment protéger votre infrastructure face aux méthodes les plus souvent utilisées par les cybercriminels
Le site MITRE ATT&CK énumère les méthodes les plus efficaces pour lutter contre chaque technique d’attaque.
- Pour éviter automatiquement qu’un employé ne participe involontairement à une attaque qui voudrait s’en prendre à l’infrastructure de votre entreprise, nous vous conseillons d’installer des solutions de sécurité capables de contrôler les applications, de bloquer les attaques du réseau, de vérifier la réputation des sites et d’analyser les fichiers téléchargés. Il est aussi important de sensibiliser les employés à la sécurité et de leur expliquer les tactiques et les méthodes utilisées par les adversaires modernes.
- Les mêmes mécanismes de protection sont efficaces contre les pièces jointes malveillantes des messages ciblés. Nous vous invitons à utiliser les technologies SPF, DKIM et DMARC pour ajouter un autre niveau de protection au système de messagerie électronique de votre entreprise.
- Les technologies d’isolement des applications fonctionnent bien contre la catégorie Exploitation of Remote Services. Pourtant, certaines étapes devraient être prioritaires. Il est conseillé de supprimer ou de désactiver tous les services à distance, segments de réseaux et systèmes non utilisés, et de réduire le niveau d’accès et les autorisations des comptes. Il est également nécessaire d’installer dès que possible les mises à jour de sécurité des systèmes critiques, et d’utiliser des solutions de sécurité ayant des capacités de détection comportementale. De plus, il convient d’analyser régulièrement le réseau à la recherche d’éventuels services vulnérables et d’avoir desdonnées de Threat Intelligence à jour.
De façon générale, pour protéger l’infrastructure de votre entreprise contre les attaques complexes, vous devez compter sur l’aide d’experts externes, capables de protéger votre infrastructure, d’enquêter sur les alertes de sécurité, et de vous avertir lorsqu’ils détectent une activité dangereuse et de vous dire ce que vous devez faire.