Pour les équipes de sécurité, mieux cerner ces risques d’exposition, c’est réduire la surface d’attaque et assurer une sécurité proactive de leur entreprise. Les conclusions de ce rapport font le point sur les ressources exposées à Internet, à partir de données recensées par Cortex Xpanse sur une période de 12 mois.
Détectez et éliminez les expositions inconnues
Xpanse est une plateforme de gestion active de la surface d’attaque qui aide les entreprises à identifier et à sécuriser automatiquement les ressources exposées à Internet. Grâce à Xpanse, les équipes IT détectent régulièrement entre 30 et 40 % de ressources en plus que dans leur inventaire.
Bases de données peu protégées, vulnérables aux compromissions. Ex. : instances MongoDB ouvertes, serveurs MySQL non sécurisés, etc.
Systèmes de transfert de fichiers mal sécurisés, sujets aux compromissions. Ex. : FTP non chiffré, Telnet non sécurisé, etc.
Paramètres réseau mal définis, exposés à des accès non autorisés. Ex. : pages administrateur de pare-feu, mauvaise configuration des VPN, etc.
faux
Points d’accès à distance non sécurisés, laissant la porte ouverte à des intrusions malveillantes. Ex. : Ports RDP ouverts, authentification SSH faible, etc.
faux
Systèmes de gestion des infrastructures, potentiellement vulnérables aux cyberattaques. Ex. : systèmes CVC vulnérables, etc.
0 problème(s) corrigé(s) automatiquement. 5 problèmes en attente d’instruction.
Pour mesurer le caractère dynamique des environnements IT, nous avons analysé la répartition des services nouveaux et existants sur les différentes plateformes cloud utilisées par une entreprise sur une période de six mois.
En moyenne, plus de 20 % des services cloud accessibles à l’Internet public changent d’un mois sur l’autre. Sans une visibilité en continu, les erreurs de configuration passent inaperçues et le Shadow IT prolifère au sein de l’entreprise.
20%
de l’infrastructure cloud critique change d’un mois sur l’autre
45%
des nouveaux risques détectés chaque mois découlent de cette fluctuation
Les entreprises doivent surveiller de près leur surface d’attaque, car celle-ci change constamment. Sans visibilité en continu, elles s’exposent à des vulnérabilités inconnues que les attaquants peuvent exploiter.”
Matt Kraning, CTO, Cortex Xpanse
L’équipe Unit 42® a analysé les données CTI associées à 30 CVE (Common Vulnerabilities and Exposures) pour déterminer la vitesse à laquelle elles sont exploitées par les acteurs malveillants.
C’est le cas pour trois des 30 vulnérabilités recensées. Le délai s’allonge à 12 semaines après publication pour 19 d’entre elles, mettant en lumière le risque lié aux programmes de patching incomplets et hétérogènes.
3/30
expositions liées à des CVE
ont été ciblées dans la semaine
suivant leur publication
19/30
expositions liées à des CVE
ont été ciblées dans les 12 semaines après leur publication
N’oublions pas qu’une CVE dont on ne parle plus n’en présente pas moins d’intérêt pour des assaillants potentiels. C’est pourquoi les entreprises doivent constamment détecter et corriger la moindre exposition pour réduire leur surface d’attaque.”
Greg Heon, Directeur senior des produits, Cortex Xpanse
L’équipe Unit 42 a analysé 15 vulnérabilités RCE (Remote Code Execution) exploitées activement par des acteurs du ransomware. Ces CVE ont été sélectionnées à partir de données CTI sur les groupes incriminés et leur exploitation active dans un délai de 12 mois après publication.
Les cybermalfaiteurs ont ciblé trois de ces vulnérabilités RCE critiques quelques heures seulement après leur publication, tandis que six autres vulnérabilités ont été exploitées en l’espace de huit semaines.
3/15
expositions liées à des CVE
ont été ciblées quelques heures
après leur publication
6/15
expositions liées à des CVE
ont été ciblées dans les huit semaines
après leur publication
Les professionnels de la cyberdéfense doivent s’appuyer sur des outils de remédiation automatisés pour détecter et corriger les vulnérabilités critiques de leur surface d’attaque avant que les attaquants ne les trouvent.”
Marshall Kuypers, Directeur du déploiement technique, Cortex Xpanse
Selon le rapport Unit 42 sur la réponse à incident 2022, les techniques de force brute comptent pour 20 % des attaques par ransomware réussies. Des avis récents publiés par les agences américaines CISA et NSA confirment la tendance : le RDP représente un vecteur d’attaque extrêmement prisé des cybercriminels.
En l’espace d’un seul mois, 85 % des entreprises observées ont eu au moins une instance RDP accessible à Internet. Dans les plus de 600 cas de réponse à incident recensés dans l’édition 2022 du rapport Unit 42, 50 % des entreprises ciblées ne disposaient pas d’un contrôle d’authentification multifacteur sur leurs systèmes exposés à Internet.
85%
des entreprises observées ont eu au moins une instance RDP accessible à Internet en l’espace d’un mois
Le RDP est facile à compromettre par force brute. C’est pourquoi les entreprises doivent identifier et éliminer les expositions du RDP dans leur environnement. Si vous devez recourir au RDP, son usage doit s’accompagner d’une authentification multifacteur et d’autres contrôles de sécurité.”
Ross Worden, Directeur conseil senior, Unit 42
Partout dans le monde, des entreprises commettent des erreurs de configuration et autres fautes accidentelles qui ouvrent la porte aux compromissions via Internet.
Prise de contrôle de frameworks web, services d’accès à distance, infrastructure IT et de sécurité… à eux seuls, ces trois éléments représentent 60 % de toutes les ressources exposées sur la surface d’attaque à l’échelle mondiale. D’où l’importance de corriger et d’éliminer ces expositions au quotidien pour non seulement mieux maîtriser, mais aussi réduire leur surface d’attaque.
23%
de toutes les expositions découlent de prises de contrôle de frameworks web qui permettent aux attaquants de rechercher et de cibler activement les sites Internet comportant des logiciels vulnérables.
20%
de toutes les expositions sont imputables à des services d’accès à distance, particulièrement vulnérables aux attaques par force brute.
L’exposition de l’infrastructure IT et de sécurité présente un risque considérable pour l’entreprise. Les attaquants ciblent ces systèmes pour s’infiltrer, mais aussi pour compromettre, voire désactiver vos contrôles de sécurité. La visibilité en continu et l’automatisation peuvent vous aider à éliminer ce type d’exposition.”
Dominique Kilman, Directrice conseil, Unit 42
Découvrez comment chaque secteur d’activité est aux prises avec ses propres types d’exposition à travers le globe. Téléchargez le tout dernier rapport ASM.
