Discussion :

[Sandra Coret]

71 % des utilisateurs d'Office 365 subissent des détournements de comptes malveillants, en moyenne sept fois au cours de l'année dernière, d'après Une nouvelle étude de Vectra AI, société de détection et de réponse aux réseaux

Une nouvelle étude de la société de détection et de réponse aux réseaux Vectra AI montre que 88 % des entreprises ont accéléré leurs projets de cloud et de transformation numérique grâce à COVID-19. Mais elle révèle également que 71 % des déploiements de Microsoft Office 365 ont subi une prise de contrôle du compte d'un utilisateur légitime, non pas une seule fois, mais en moyenne sept fois au cours de l'année dernière.

Il est inquiétant de constater que seul un professionnel de la sécurité sur trois pense pouvoir identifier et arrêter immédiatement une attaque par prise de contrôle de compte, la majorité d'entre eux s'attendant à ce qu'il faille des jours, voire des semaines, pour intercepter une telle violation.

Tim Wade, directeur technique de l'équipe CTO de Vectra, déclare : "Nous constatons régulièrement que les attaques basées sur l'identité sont utilisées pour contourner les défenses traditionnelles du périmètre, comme l'authentification multifactorielle (MFA). Les prises de contrôle de comptes remplacent le phishing comme vecteur d'attaque le plus courant et les défenses MFA sont des ralentisseurs et non des champs de force. Les organisations doivent prendre ce problème au sérieux et prévoir de détecter et de contenir la compromission des comptes avant qu'une perturbation matérielle de leurs activités ne se produise - un accès malveillant, même pendant une courte période, peut causer des dommages considérables."

Les équipes de sécurité ont une grande confiance dans l'efficacité des mesures de sécurité de leur propre entreprise. Près de quatre personnes sur cinq affirment avoir une bonne ou très bonne visibilité des attaques qui contournent les défenses périmétriques telles que les pare-feu.

Cependant, il existe un contraste intéressant entre les opinions des cadres et celles des praticiens tels que les analystes SOC, les cadres faisant preuve d'une plus grande confiance dans leurs capacités défensives. Dans l'ensemble, les principales préoccupations en matière de sécurité citées par les clients de Microsoft Office365 sont le risque de compromission des données conservées dans le cloud, le risque de prise de contrôle des comptes et la capacité des pirates à utiliser des attaques de type "living-of-the-land" pour cacher leurs traces.

"La tendance des dirigeants à être beaucoup plus confiants que ceux qui travaillent au front suggère qu'il y a un certain niveau d'auto-illusion", ajoute M. Wade. "Peut-être est-ce parce que les mesures partagées avec la direction se concentrent souvent sur le volume d'attaques stoppées plutôt que sur la gravité de l'attaque ou le nombre d'enquêtes qui aboutissent à une conclusion ferme. Quelle que soit la raison, il est important de ne pas se reposer sur ses lauriers et de rester constamment vigilant face aux nouveaux types d'attaques."

Source : Vectra

Et vous ?

Que pensez-vous de ce rapport ?
Le niveau de sécurité au sein de votre entreprise permet-il de détecter et de stopper immédiatement ce type d'attaque ?

Voir aussi :

Microsoft 365 : modification du score de productivité introduit pour le suivi des employés de l'ère du tout-numérique liée à la covid-19, Microsoft répond à des préoccupations liées à la vie privée

Microsoft 365 introduit un score de productivité des employés de l'ère du tout-numérique imposée par le coronavirus, l'outil en disponibilité générale est controversé comme ceux d'autres éditeurs

[Steinvikel]

Une solution très simple permettant de bloquer une part des vols de comptes, serait de pouvoir enregistrer une liste d'IP valide pour les services externalisés. Ainsi donc, il faudrait que se soit une machine de l'infrastructure qui opère toutes les actions malveillantes, plutôt qu'une machine lambda sur internet possédant les info de connexion.

A ma connaissance, ce paramètre n'est actuellement pas accessible sur la plateforme 365 (d'y préciser une liste blanche d'IP publiques).

[barpasc]

filtre par IP? Comment filtrer pour les connexions cellulaires par protocole NAT?