L’Open Security comme rempart contre les cybermenaces

Dans l’édition 2023 de son rapport intitulé « Elastic Global Threat Report », la société Elastic analyse la progression actuelle des ransomwares et leur étendue. Elle met en avant le fait que plus de la moitié des infections observées concernent des systèmes Linux et que les techniques d’accès aux informations d’identification (credentials) sont devenues un élément essentiel du processus d’intrusion dans le cloud.

Réalisant un focus particulier sur les logiciels malveillants (malware), Elastic met en exergue que la majorité d’entre eux se compose d’un petit nombre de familles de ransomwares très répandues et d’outils commerciaux prêts à l’emploi (Commercial off-the-shelf / COTS). « Les communautés liées à la menace, motivées par les gains financiers, adoptent ou offrent des capacités de logiciels malveillants en tant que service (Malware-as-a-service / MaaS). Par conséquent, les entreprises devraient investir massivement dans le développement de fonctions de sécurité ayant une large visibilité sur les comportements de bas niveau afin de mettre au jour des menaces encore non découvertes », analysent les auteurs du rapport.

Parmi les autres enseignements présentés dans l’étude, Elastic met en avant que BlackCat, Conti, Hive, Sodinokibi et Stop sont les familles de rançongiciels les plus répandues, représentant environ 81% de l’activité. Quant aux capacités des logiciels malveillants COTS, comme Metasploit et Cobalt Strike, elles représentent 5,7% de tous les événements de signature. Sous Windows, ces familles représentent environ 68% des tentatives d’infection. Enfin, environ 91% des signatures de logiciels malveillants proviennent de terminaux Linux, les terminaux Windows ne représentant que 6% environ.

Les équipements périphériques, solution de repli des attaquants

Les groupes cybercriminels les plus sophistiqués tentent d’échapper aux mesures de cybersécurité en se repliant sur les équipements périphériques, les appliances et autres plateformes où leur visibilité est plus faible. Le rapport souligne aussi la nécessité, pour les entreprises, d’évaluer la solidité et l’inviolabilité des capteurs de sécurité sur leurs équipements périphériques (endpoints) et d’envisager des projets de surveillance pour repérer les pilotes de périphériques vulnérables utilisés pour désactiver les dispositifs de cybersécurité. Les terminaux Windows représentent la cible principale des attaquants avec 94 % de toutes les alertes de comportement des terminaux. Quant aux terminaux fonctionnant avec macOS, ils ne représentent que 3%.

Alors que les entreprises migrent de plus en plus de ressources on-premise vers des environnements hybrides ou entièrement fondés sur le cloud, les acteurs de la menace profitent de mauvaises configurations, de contrôles d’accès laxistes, d’informations d’identification non sécurisées et de l’absence de modèles fonctionnels liés au principe du moindre privilège (Principle of least privilege / PoLP).

« Les entreprises peuvent réduire considérablement le risque de compromission en mettant en œuvre les fonctions de sécurité que leurs fournisseurs de cloud prennent déjà en charge et en monitorant les tentatives courantes liées aux credentials », commentent les auteurs du rapport.

Elastic a observé que 53% des événements d’accès aux informations d’identification étaient liés à des comptes Microsoft Azure légitimes compromis. Microsoft 365 a par ailleurs connu un taux élevé (86%) de signaux d’accès aux informations d’identification. Enfin, 85% des signaux de détection de menaces de Google Cloud étaient liés à des techniques d’évasion de la défense (techniques visant à ne pas être détecté).

L’open code comme facteur de résilience

« Le paysage des menaces est aujourd’hui véritablement sans limites, les attaquants se transformant en entreprises criminelles axées sur la monétisation de leurs stratégies offensives. L’open source, les logiciels malveillants de base et l’utilisation de l’IA ont abaissé la barrière à l’entrée pour les attaquants », déclare Jake King, responsable de l’activité Security Intelligence et directeur de l’ingénierie chez Elastic.

Pour contrer l’ensemble de ces menaces, Elastic reste convaincue que seule une démarche d’intelligence collective est efficace. Cette stratégie d’open security se décline selon deux axes principaux. Le premier concerne les règles de détection des attaques. « Nous avons décidé de les mettre en mode public. Les clients peuvent utiliser ces règles, mais aussi publier les leurs. Nous nous retrouvons de ce fait avec des règles qui ne sont pas uniquement créées et pensées par un éditeur, Elastic en l’occurrence, mais où chacun peut contribuer à l’élaboration de l’architecture, dans une démarche de collaboration et de communauté. Les règles répondent ainsi à des besoins réellement exprimés par les entreprises et elles sont vraiment utilisées sur le terrain », détaille Yannick Fhima, Head of Solutions Architecture South EMEA chez Elastic.

Le deuxième axe de la stratégie d’open security prônée par Elastic : jouer la carte de l’open code. « La plupart des éditeurs proposent leurs solutions en mode ‘black box’. Cela veut dire que vous ne savez pas quel code est utilisé derrière leurs logiciels et que vous ne connaissez pas les failles sécuritaires de ces produits, hormis lorsque des CVE (Common Vulnerabilities and Exposures) ou des failles sont publiées. Chez nous, c’est l’inverse. Nous sommes dans une démarche d’open source et d’open code », ajoute Yannick Fhima.

L’open code est la possibilité, pour toute entreprise, d’avoir accès au code des solutions Elastic. « Notre code est ouvert, il est lisible par tout le monde. Tout data scientist peut, s’il en a la capacité et la volonté, lire comment Elastic implémente le machine learning et la sécurité dans ses outils. Chez nous, il n’y a pas de vice caché. Nos clients sont totalement avertis de ce qu’ils implémentent, ils peuvent auditer et tester le code librement, sans devoir lancer des audits avancés et tenter de casser le produit pour voir où se situe le point de rupture », conclut Yannick Fhima.