Les acteurs menaçants ont besoin de moins de temps pour les prises de contrôle de réseau
La société de sécurité CrowdStrike a récemment publié un nouveau rapport intéressant sur la « chasse aux menaces » qui met en lumière une tendance inquiétante parmi les acteurs de la menace. Le rapport montre que les pirates informatiques ont besoin de moins de temps pour passer de la violation initiale et du craquage d'un système sur un réseau ouvert à un accès complet et à un déplacement latéral sur l'ensemble du réseau.
CrowdStrike a utilisé les données collectées à partir de près de 250 000 terminaux utilisés par les clients de l'entreprise et les a utilisées dans son rapport. Les données montrent qu'en moyenne les acteurs de la menace ont eu besoin d'environ une heure et demie pour passer de l'infiltration initiale au mouvement latéral sur le réseau d'une victime.
Le mouvement latéral, par définition, est le point auquel l'acteur de la menace a réussi à déployer des contre-mesures pour bloquer la détection et est capable de se déplacer entre différentes machines hôtes sur un réseau, ayant accès à leurs systèmes de fichiers et pouvant y déployer des logiciels malveillants supplémentaires. , ainsi qu'en exfiltrer les données.
Cette définition simplifiée à l'extrême montre clairement que l'équipe de sécurité informatique d'une victime aura beaucoup plus de problèmes face à un acteur malveillant qui a réussi à sécuriser les mouvements latéraux sur le réseau.
Les pirates informatiques qui sont passés d'une brèche initiale à un mouvement latéral sont capables de déployer des ransomwares sur le réseau de la victime, ainsi que d'utiliser des outils malveillants supplémentaires pour contrecarrer la détection. Tout cela montre à quel point il est vital de pouvoir contenir la brèche initiale et d'agir le plus rapidement possible pour empêcher les pirates de s'emparer d'une plus grande partie du réseau.
Le rapport de CrowdStrike montre également que plus d'un tiers des attaques qu'il a suivies ont vu les pirates passer d'une brèche initiale à un mouvement latéral en moins d'une demi-heure. Cela signifie une pression immense sur les équipes de sécurité pour contenir les violations et empêcher les attaquants d'accéder davantage.
S'il est vrai que les acteurs de la menace devront généralement effectuer une reconnaissance précoce sur un réseau et rechercher des points faibles supplémentaires, le simple fait qu'un groupe de pirates puisse passer d'un accès initial au réseau à un accès complet et déployer pratiquement tous les logiciels malveillants supplémentaires qu'ils vouloir est plus qu'un peu préoccupant.