Dans son étude sur les risques liés aux incidents de ransomware, publiée récemment et financée en partie par l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA), l'Institut Cyentia a examiné plus de 14 000 incidents de sécurité récents afin de mieux comprendre les tendances en matière d'attaques de ransomware.
Au cours des quatre dernières années, les ransomwares sont devenus l'un des principaux problèmes du secteur de la sécurité. Comme l'indique Cyentia dans son rapport, "peu de cybermenaces ont inspiré plus de peur, d'incertitude et de doute que les ransomwares ces dernières années". Les groupes de ransomware étant de plus en plus organisés et sophistiqués, les attaques généralisées visant les secteurs de la santé, de l'industrie et de l'éducation ont fait la une des journaux. Les campagnes de ransomware telles que TellYouthePass, MOVEit, Deadbolt et ESXiArgs font partie des nombreuses attaques récentes qui ont marqué l'actualité.
Les ransomwares ont également attiré l'attention des gouvernements, qui observent que des acteurs affiliés à des États-nations se tournent vers les ransomwares pour réaliser des objectifs parrainés par l'État. Par exemple, dans son avis conjoint sur la cybersécurité en Corée du Nord, le FBI a récemment confirmé que des acteurs nord-coréens parrainés par l'État utilisaient des campagnes de ransomware ciblant des organismes de santé américains pour financer leurs activités de cyberespionnage.
Source : Cyentia Institute Ransomware Risk Incidents Study : Cyentia Institute Ransomware Risk Incidents Study (étude sur les incidents liés au risque de ransomware)
Le nouveau rapport de Cyentia quantifie ce que les gros titres ont indiqué : les attaques par ransomware augmentent, à la fois en volume et en pourcentage de tous les incidents de sécurité. Entre 2019 et 2023, les ransomwares ont été la deuxième cyberattaque la plus fréquemment déployée dans le monde, représentant 30 % de tous les incidents signalés publiquement. Il faut savoir qu'en 2015, seulement 1 % des incidents signalés publiquement étaient attribués à des ransomwares.
En termes d'impact financier, Cyentia constate également qu'aucun autre type d'incident de sécurité ne rivalise avec l'ampleur des pertes liées aux ransomwares. Au cours des cinq dernières années, les pertes financières liées aux attaques de ransomware se sont élevées à plus de 270 milliards de dollars.
Les organisations et les gouvernements ont de bonnes raisons de s'inquiéter de l'augmentation des risques et de l'impact des ransomwares. Cependant, l'analyse de Cyentia sur la façon dont les groupes de ransomware obtiennent un accès initial aux réseaux met en lumière ce que les organisations peuvent faire pour prendre des mesures proactives contre ces attaques.
Les biens exposés au public sont les principaux points d'entrée
Cyentia constate que les actifs exploités, en contact avec le public, sont le premier vecteur d'accès aux ransomwares, entraînant des pertes nettement plus élevées que tout autre vecteur d'accès initial (35,3 millions de dollars de pertes typiques dues à l'exploitation d'une application en contact avec le public contre 24,7 millions de dollars de pertes typiques dues à l'hameçonnage).
Source : Cyentia Institute Ransomware Incident Risk Incidents Study (étude sur les risques d'incidents liés aux ransomwares)
Il est clair que les groupes de ransomwares considèrent les actifs vulnérables connectés à Internet comme des fruits à portée de main et qu'ils les ciblent de plus en plus pour accéder aux réseaux d'entreprise. Les actifs Internet vulnérables et mal gérés attirent les malfaiteurs parce qu'ils peuvent être facilement trouvés en ligne et directement attaqués. En outre, nombre de ces actifs échappent aux équipes de sécurité - Censys estime que jusqu'à 80 % des surfaces d'attaque externes des entreprises sont inconnues des équipes informatiques et de sécurité.
L'établissement de priorités : Un défi majeur pour les équipes de sécurité
L'évolution de l'infrastructure numérique ayant accru et diversifié les surfaces d'attaque au cours des dernières années, de nombreuses organisations sont confrontées à un nombre important d'actifs qu'il convient de patcher et de classer par ordre de priorité.
Les équipes de sécurité, quant à elles, sont mises au défi de remédier rapidement à ces vulnérabilités avant que les attaquants ne passent à l'action. Après l'annonce d'une vulnérabilité, les équipes ne disposent généralement que d'une petite fenêtre de temps pour corriger les actifs affectés avant d'être touchées par une attaque. Et sans une visibilité complète et précise de la surface d'attaque, les équipes courent également le risque de ne pas voir les actifs exposés ou de ne pas donner la priorité aux vulnérabilités les plus critiques.
C'est pourquoi une stratégie de défense efficace contre les ransomwares doit s'attacher à prendre des mesures immédiates pour remédier aux vulnérabilités que les groupes de ransomwares exploiteront.
Se défendre contre les ransomwares avec Censys Gestion de la surface d'attaque
Censys La gestion de la surface d'attaque aide les organisations à prendre des mesures immédiates en fournissant la visibilité la plus complète, la plus précise et la plus récente sur leurs surfaces d'attaque. Cela signifie que les équipes de sécurité peuvent rapidement identifier les actifs de leur surface d'attaque qui sont affectés par les vulnérabilités que les attaquants vont cibler.
Contrairement à d'autres solutions ASM, Censys est alimenté par des renseignements Internet exclusifs qui sont inégalés en termes de profondeur, d'étendue et de précision. Aucune autre solution ASM n'offre la même vision de l'infrastructure Internet mondiale. C'est cette vision qui permet à Censys de découvrir 65 % de surfaces d'attaque supplémentaires par rapport à ses concurrents.
Censys ASM aide spécifiquement les équipes de sécurité à se défendre contre les ransomwares en fournissant :
Découverte continue des actifs
La défense contre les ransomwares commence par la découverte continue des ressources. Censys ASM commence par des graines qui servent d'entrées pour découvrir et attribuer automatiquement les ressources publiques sur la surface d'attaque d'une organisation, y compris les hôtes, les services, les sites Web, les certificats et les domaines. Contrairement à toute autre solution ASM sur le marché, Censys ASM trouve de nouveaux nœuds sur Internet en moins d'une heure, offrant aux utilisateurs la découverte de la surface d'attaque la plus fraîche et la plus actualisée sur Internet.
Censys s'intègre également avec les fournisseurs de services en nuage et ingère de nouveaux actifs jusqu'à 6 fois par jour afin d'améliorer la visibilité des actifs en nuage. CensysLa solution de découverte continue de graines recherche quotidiennement de nouvelles graines et avertit les équipes de sécurité lorsqu'une nouvelle filiale est acquise, souvent avant qu'elles n'en soient informées par l'entreprise. En outre, Censys indexe plus de 11 milliards de certificats x.509 pour un pivotement complet vers et à travers les certificats, de sorte que les utilisateurs peuvent découvrir les noms et les adresses IP répertoriés dans les enregistrements DNS A associés.
Inventaire complet des actifs
Censys construit un inventaire complet de tous les actifs publics d'une organisation, aidant les équipes de sécurité à découvrir les actifs non gérés souvent introduits par les déploiements dans le nuage et Shadow IT. Les utilisateurs de Censys contrôlent leur inventaire et sont habilités à effectuer des recherches dans l'inventaire à travers plus de 2000 champs, y compris 65K ports et 5,1Bn services. Censys détecte également les services sur les ports non standard à l'aide de la détection automatique de protocole pour aider les équipes à trouver les services mis à disposition par les ransomwares qui peuvent être intentionnellement cachés. Les équipes peuvent également gérer de manière proactive leur surface d'attaque en exploitant les requêtes de recherche d'inventaire et les alertes pour découvrir les actifs non gérés avant que les groupes de ransomware ne le fassent.
Priorisation des risques
Censys ASM utilise des données d'inventaire et d'analyse riches pour identifier plus de 500 types de risques différents, de l'exposition des bases de données aux vulnérabilités logicielles en passant par les mauvaises configurations des certificats TLS/SSL et les en-têtes des applications Web. Censys permet également d'identifier plus de 11 000 produits uniques provenant de 1 000 fournisseurs sur la surface d'attaque d'une organisation afin de découvrir les applications Web et les logiciels non gérés avant que les attaquants ne le fassent. L'équipe de recherche de Censys complète en permanence cette liste d'empreintes digitales et suit activement les menaces émergentes afin d'aider les équipes de sécurité à réduire leur temps de réponse pour découvrir et remédier aux actifs présentant des vulnérabilités zero-days et des vulnérabilités exploitées connues. Censys risks peut également être utilisé pour mettre en correspondance les TTP des groupes de ransomware avec des faiblesses spécifiques, de sorte que les équipes de sécurité puissent remédier aux actifs exposés avant que les groupes de ransomware ne les attaquent.
Réponse rapide
Le programme de réponse rapide Censys permet aux utilisateurs de Censys ASM de prendre des mesures immédiates en réponse à de nouvelles vulnérabilités. Dans les 24 à 72 heures suivant la publication d'une vulnérabilité de type "zero-day" ayant un score CVSS de 9 ou 10 et constituant une RCE ou une escalade de privilèges - qui sont des vulnérabilités généralement exploitées pour les ransomwares - Censys prend l'empreinte des versions logicielles spécifiques et affectées afin d'appréhender rapidement la portée de la vulnérabilité. Les efforts de réponse rapide aux ransomwares donnent la priorité à l'analyse des vulnérabilités dans les appareils et logiciels de pointe qui sont des cibles connues des ransomwares. Suite à l'analyse de Censys, les utilisateurs de Censys ASM sont directement informés dans leur espace de travail ASM ou par e-mail de l'impact de la vulnérabilité zero-day sur les actifs de leur surface d'attaque, afin qu'ils puissent commencer à remédier rapidement à la situation. L'équipe de recherche Censys publie également des articles de réponse rapide approfondis qui décrivent plus en détail la nature de la vulnérabilité zéro jour, son importance pour les organisations et l'impact observé. Parmi les exemples de rapports de réponse rapide de l'équipe sur les vulnérabilités exploitées par les groupes de ransomware, citons TellYouthePass, MOVEit, Deadbolt et ESXiArgs.
Censys La gestion de la surface d'attaque permet aux entreprises de passer à gauche, en leur offrant la visibilité nécessaire pour prendre des mesures immédiates et identifier, hiérarchiser et corriger les vulnérabilités que les groupes de ransomware exploiteront. Censys L'ASM remplace les anciens inventaires ponctuels des actifs par une découverte continue, ainsi que par un inventaire complet des actifs que les équipes de sécurité peuvent contrôler. Avec Censys ASM, les équipes de sécurité bénéficient de surfaces d'attaque mises à jour quotidiennement, ainsi que de la possibilité d'exploiter les rescans pour valider objectivement la remédiation à la demande. L'intelligence Internet de pointe qui alimente Censys ASM donne aux équipes de sécurité l'assurance qu'elles disposent de la vue la plus précise et la plus à jour de tout ce qu'elles possèdent.
La défense proactive commence avec Censys ASM
Le rapport de l'Institut Cynetia sur les tactiques de ransomware met en lumière une opportunité critique pour les organisations de toutes tailles et de tous secteurs d'activité de réduire leur risque de ransomware. En priorisant et en corrigeant efficacement les vulnérabilités avec Censys ASM, les équipes de sécurité peuvent prendre des mesures significatives et mesurables pour gérer leurs actifs exposés et en contact avec le public. En retour, elles peuvent limiter la probabilité d'une attaque réussie par ransomware - et aider leur organisation à ne pas faire la une des journaux.
Censys ASM
Vous souhaitez en savoir plus sur la façon dont Censys' vue inégalée de l'infrastructure Internet mondiale a été utilisée pour se défendre contre les ransomwares ? La même intelligence Internet qui aide les clients de Censys ASM à identifier les risques sur leur surface d'attaque permet également à l'équipe de recherche de Censys d'observer et d'enquêter sur les campagnes de ransomware au fur et à mesure qu'elles se déroulent dans le monde. Les rapports détaillés de notre équipe sur les campagnes de ransomware ESXiArgs et Deadbolt ne sont que quelques-uns des nombreux articles de recherche qui illustrent la puissance de l'intelligence Internet de Censys .