Rapport mondial Incident Response Analyst pour l’année 2019
Kaspersky vient de publier les résultats de son rapport mondial Incident Response Analyst pour l’année 2019. Un rapport qui dévoile que l’année dernière, près d’un tiers (30%) des cyberattaques, sur lesquelles a enquêté l’équipe Global Emergency Response de Kaspersky, ont impliqué des logiciels administratifs et de gestion authentifiés. Ce chiffre est légèrement inférieur en Europe. Ce mode opératoire offre aux cyber-attaquants l’avantage de pouvoir rester plus longtemps invisibles sur le réseau des entreprises touchées.
L’analyse de Kaspersky des données issues des réponses aux incidents de sécurité a montré qu’au niveau mondial, 18 solutions authentifiées ont été utilisées en 2019 par des attaquants à des fins malveillantes.
En général, les logiciels de monitoring et de gestion aident les administrateurs informatique et réseau à accomplir leurs tâches quotidiennes, telles que le dépannage et l’assistance technique aux employés. Des logiciels utilisés de façon légitime, mais qui peuvent voir leur utilisation détournée par des pirates informatiques lors d’attaques visant l’infrastructure d’une entreprise. Grâce à ces outils légitimes, les cyber-attaquants peuvent contourner les contrôles de sécurité visant à détecter les logiciels malveillants, et ainsi lancer l’exécution de programmes sur les différents terminaux et accéder aux informations sensibles de l’entreprise.
Cependant, les experts de Kaspersky notent que, dans certaines situations, les actions malveillantes menées par le biais de logiciels légitimes sont rapidement découvertes. Ils sont en effet souvent utilisés dans les attaques par ransomwares, pour lesquelles les dommages sont clairement visibles. Ainsi, pour les attaques de courte durée, la durée médiane est d’un jour.
Afin de minimiser les risques que des logiciels de gestion soient utilisés pour pénétrer dans l’infrastructure de l’établissement, Kaspersky recommande une série de mesures telles que la restriction d’accès aux outils de gestion provenant d’adresses IP externes, l’application d’une politique stricte en matière de mots de passe pour tous les systèmes informatiques avec la mise en en place d’un système d’authentification multi-facteurs et l’ouverture des droits administrateurs exclusivement aux collaborateurs qui en ont besoin pour exécuter leurs missions.
