Les cyberattaquants passent 11 jours dans un réseau avant d'être détectés, période durant laquelle ils sont libres de mener bon nombre d'activités malveillantes, selon des données de Sophos

D'après les données de Sophos, la durée moyenne de séjour des cybercriminels avant détection est de 11 jours ou 256 heures. Il s'agit d'une période pendant laquelle ils sont libres de mener des activités malveillantes, telles que le déplacement latéral, la reconnaissance, le transfert d'informations d'identification, l'exfiltration de données, etc.

La société a publié un "Active Adversary Playbook" détaillant les comportements des attaquants et les outils, techniques et procédures (TTP) que les chasseurs de menaces et les intervenants de Sophos ont pu observer dans la nature en 2020.

Parmi les autres résultats, 90 % des attaques observées impliquent l'utilisation du protocole RDP (Remote Desktop Protocol) - et dans 69 % des cas, les attaquants ont utilisé le RDP pour un mouvement latéral interne. Alors que les mesures de sécurité pour le RDP, telles que les VPN et l'authentification multifactorielle, ont tendance à se concentrer sur la protection de l'accès externe, elles ne fonctionnent pas si l'attaquant est déjà à l'intérieur du réseau.

Les ransomwares étaient impliqués dans 81 % des attaques étudiées par Sophos. La diffusion d'un ransomware est souvent le moment où une attaque devient visible pour une équipe de sécurité informatique.

Nom : sophos.png
Affichages : 425
Taille : 102,6 Ko

"Le paysage des menaces devient de plus en plus dense et complexe, avec des attaques lancées par des adversaires disposant d'un large éventail de compétences et de ressources, des script kiddies aux groupes de menaces soutenus par des États-nations. Cela peut rendre la vie difficile aux défenseurs", explique John Shier, conseiller principal en sécurité chez Sophos. "Au cours de l'année dernière, nos intervenants ont aidé à neutraliser des attaques lancées par plus de 37 groupes d'attaque, utilisant plus de 400 outils différents. Nombre de ces outils sont également utilisés par les administrateurs informatiques et les professionnels de la sécurité dans leurs tâches quotidiennes et il n'est pas toujours facile de faire la différence entre une activité bénigne et une activité malveillante."

Parmi les autres sujets abordés dans le guide, citons les tactiques et les techniques les plus susceptibles de signaler une menace active et de justifier une enquête plus approfondie, les premiers signes d'attaque, les étapes, les types de menaces et les artefacts malveillants les plus répandus, ainsi que les groupes d'adversaires les plus répandus.

Source : Sophos

Et vous ?

Que pensez-vous de ce rapport ?
Selon votre expérience, est-il pertinent ou pas ?
Votre organisation est-elle équipée pour détecter les menaces plus rapidement ?

Voir aussi :

Deux tiers des RSSI dans le monde ne se sentent pas prêts à gérer une cyberattaque, considérant le facteur humain comme la principale vulnérabilité, selon un rapport de Proofpoint

Une mauvaise collaboration entre les équipes de la sécurité et les équipes des réseaux nuit aux projets de transformation numérique, selon un nouveau rapport de Netskope