Un laboratoire de recherche vient de rendre public les résultats de son enquête sur la prolifération des attaques et la capacité des entreprises et organismes à remédier aux vulnérabilités dans leurs logiciels et réseaux. Ses chercheurs ont analysé de Janvier 2014 à Septembre 2015 la situation dans 50.000 organisations, 250 millions de vulnérabilités et plus d’un milliard d’événements d’intrusions.
La principale constatation est que les entreprises laissent régulièrement trop longtemps les vulnérabilités sans remédiation malgré la mise à disposition des patchs permettant ainsi aux pirates l’exploitation à l’aise de ces vulnérabilités.
Contrairement aux logiciels malveillants du type APT (Advanced Persistent Threat) qui sont développés par les Etats-nations, largement médiatisés et utilisés pour des attaques ciblées à des fins de cyber espionnage ou de cyber sabotage, les attaques non ciblées exploitant les vulnérabilités courantes constituent un défi complètement différent.
Plutôt que de cibler une entreprise particulière, les attaquants tentent d’exfiltrer indifféremment à partir des réseaux autant que possible de données importantes en utilisant des outils et des techniques entièrement automatisées en exploitant des vulnérabilités courantes.
Selon ces chercheurs, ces attaques automatisées restent la menace la plus importante quelque soit la taille de l’entreprise ou organisme car possédant toujours des données importantes que les pirates veulent s’approprier alors que les équipes de sécurité sont toujours en retard car ne disposant pas des outils nécessaires pour suivre le rythme des pirates.
Un rapport récent de Microsoft (Mai 2016) établit une distinction entre quatre différents types de vulnérabilités:
- les vulnérabilités du système d’exploitation de base ;
- les vulnérabilités des applications du système d’exploitation ;
- les vulnérabilités du navigateur web (Browser) ;
- Les vulnérabilités des applications.
Principales conclusions:
- Les attaques automatisées sont en hausse: Il y a eu plus de 1,2 milliards d’exploits réussis depuis le début de 2015 à ce jour comparativement aux 220 millions d’exploits réussis en en 2013 et 2014 combinés, soit une augmentation de 445%.
- La remédiation aux vulnérabilités dans le cadre des opérations d’assainissement des réseaux prend trop de temps: Malgré les meilleures intentions, les entreprises et organismes prennent une moyenne de 120 jours pour remédier aux vulnérabilités trouvées, mais la plus part les laissent sans remédiation y compris les vulnérabilités critiques.
- L’exploitation d’une vulnérabilité est presque garantie: La probabilité qu’une vulnérabilité soit exploitée se situe entre 40 et 60 jours, soit bien avant le temps moyen de réaction par une entreprise ou organisme pour une remédier à une vulnérabilité découverte.
- La facilité et la rapidité avec laquelle les pirates exploitent les vulnérabilités suggèrent de ne pas compter uniquement sur des techniques manuelles pour contrer les attaques automatisées, mais recourir aussi aux méthodes automatisées qui exploitent des modèles et des algorithmes pour hiérarchiser et prioriser les mesures correctives en fonction du risque réel. Remédier aux vulnérabilités manuellement n’est plus possible dans la« nouvelle situation de normalité ».