Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Le temps d'évasion des attaquants diminue à nouveau, soulignant le besoin d'automatisation

Republié par Platon
Republié par Platon

Date :

Vues: 66

Les attaquants sont de plus en plus rapides. De nouvelles recherches révèlent qu'ils ont gagné quelques minutes de plus sur le temps dont ils ont besoin pour passer de l'accès initial à un système à leur tentative d'attaquer d'autres appareils sur le même réseau.

CrowdStrike trouve l'intrusion moyenne requise 79 minutes après la compromission initiale avant de lancer une attaque sur d'autres systèmes sur un réseau. C'est en baisse par rapport aux 84 minutes de 2022. CrowdStrike's Rapport de chasse aux menaces 2023, publié mardi, révèle également que le temps le plus rapide était de sept minutes entre l'accès initial et les tentatives d'extension de la compromission, sur la base de plus de 85,000 2022 incidents traités en XNUMX.

L'objectif principal d'un attaquant est de se déplacer vers d'autres systèmes et d'établir une présence sur le réseau, de sorte que même si les intervenants en cas d'incident mettent le système d'origine en quarantaine, l'attaquant peut toujours revenir, explique Param Singh, vice-président du service de sécurité OverWatch de CrowdStrike. De plus, les attaquants veulent accéder à d'autres systèmes via des informations d'identification d'utilisateur légitimes, dit-il.

"S'ils deviennent le contrôleur de domaine, la partie est terminée et ils ont accès à tout", déclare Singh. "Mais s'ils ne peuvent pas devenir administrateur de domaine, ils s'en prendront aux personnes clés qui ont un meilleur accès aux actifs [de valeur]… et essaieront d'élever leurs privilèges à ces utilisateurs."

Le temps d'évasion est une mesure de l'agilité d'un attaquant lorsqu'il compromet les réseaux d'entreprise. Une autre mesure utilisée par les défenseurs est le temps qu'il faut entre la compromission initiale et la détection de l'attaquant, connu sous le nom de temps de séjour, qui a atteint un minimum de 16 jours en 2022, selon la société de réponse aux incidents Mandiant's. rapport annuel M-Trends. Ensemble, les deux métriques suggèrent que la plupart des attaquants profitent rapidement d'un compromis et ont carte blanche pendant plus de deux semaines avant d'être détectés.

Les intrusions interactives sont désormais la norme

Les attaquants ont poursuivi leur transition vers les intrusions interactives, qui ont augmenté de 40 % au deuxième trimestre 2023, par rapport au même trimestre il y a un an, et représentent plus de la moitié de tous les incidents, selon CrowdStrike.

La majorité des intrusions interactives (62 %) impliquaient l'abus d'identités légitimes et d'informations de compte. La collecte d'informations d'identité a également décollé, avec une augmentation de 160 % des efforts pour "collecter des clés secrètes et d'autres éléments d'identification", tandis que la collecte d'informations Kerberos à partir de systèmes Windows pour un craquage ultérieur, une technique connue sous le nom de Kerberoasting, a augmenté de près de 600 %. Rapport CrowdStrike Threat Hunting déclaré.

Les attaquants analysent également les référentiels où les entreprises publient accidentellement du matériel d'identité. En novembre 2022, une organisation a accidentellement poussé les informations d'identification de la clé d'accès de son compte racine vers GitHub, suscitant une réponse rapide des attaquants, a déclaré CrowdStrike.

"En quelques secondes, des scanners automatisés et plusieurs acteurs de la menace ont tenté d'utiliser les informations d'identification compromises", indique le rapport. "La rapidité avec laquelle cet abus a été initié suggère que plusieurs acteurs de la menace - dans le but de cibler les environnements cloud - maintiennent des outils automatisés pour surveiller les services tels que GitHub pour détecter les fuites d'informations d'identification cloud."

Une fois sur un système, les attaquants utilisent les propres utilitaires de la machine - ou téléchargent des outils légitimes - pour échapper à l'attention. Soi-disant "vivre de la terre” les techniques empêchent la détection de logiciels malveillants plus évidents. Sans surprise, les adversaires ont triplé leur utilisation d'outils légitimes de gestion et de surveillance à distance (RMM), tels que AnyDesk, ConnectWise et TeamViewer, selon CrowdStrike.

Les attaquants continuent de se concentrer sur le cloud

Alors que les entreprises ont adopté le cloud pour une grande partie de leur infrastructure opérationnelle – en particulier après le début de la pandémie de coronavirus – les attaquants ont suivi. CrowdStrike a observé des attaques plus « cloud-conscientes », l'exploitation du cloud ayant presque doublé (jusqu'à 95 %) en 2022.

Souvent, les attaques se concentrent sur Linux, car les charges de travail les plus courantes dans le cloud sont les conteneurs Linux ou les machines virtuelles. L'outil d'escalade de privilèges LinPEAS a été utilisé dans trois fois plus d'intrusions que le deuxième outil le plus couramment utilisé, a déclaré CrowdStrike.

La tendance ne fera que s'accélérer, déclare Singh de CrowdStrike.

"Nous constatons que les acteurs de la menace deviennent de plus en plus conscients du cloud - ils comprennent l'environnement du cloud et ils comprennent les erreurs de configuration généralement observées dans le cloud", a-t-il déclaré. "Mais l'autre chose que nous voyons est… l'acteur de la menace entrant dans une machine sur site, puis utilisant les informations d'identification et tout pour passer au cloud… et causer beaucoup de dégâts."

Par ailleurs, CrowdStrike a annoncé son intention de combiner ses équipes de renseignement sur les menaces et de chasse aux menaces en une seule entité, le groupe Counter Adversary Operations, a déclaré la société dans un communiqué de presse en Août 8.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.