Au cours du premier semestre 2023, Barracuda Managed XDR a collecté près d'un trillion d'événements informatiques de clients, parmi lesquels il a détecté et neutralisé des milliers d'incidents à haut risque.
Au cours de ces six mois, les incidents à haut risque les plus largement rencontrés - des menaces qui nécessitent une action défensive immédiate - impliquaient une sorte d'abus d'identité. Ces types d'attaques sont devenus de plus en plus sophistiqués au fil du temps, mais ils ont été repérés et bloqués par la plateforme Managed XDR à l'aide d'un profilage des comptes basé sur l'IA.
Dans un contexte professionnel, chacun a un profil numérique distinctif en termes de comment, où et quand il travaille. Si un événement informatique sort de ces périmètres de modèles, un drapeau rouge s'allume - et même lorsque les attaques sont si subtiles et sournoises qu'il faut un analyste SOC expert pour confirmer l'intention malveillante, la détection basée sur l'IA veille à ce que cela se produise.
De l'événement quotidien à l'action urgente
Entre janvier et juillet 2023, la plateforme Managed XDR de Barracuda a collecté 950 milliards d'événements informatiques à partir des outils de sécurité réseau, cloud, email, endpoint et serveurs intégrés des clients.
Ces quelque mille milliards d'événements englobent tout, depuis les connexions (réussies ou non), les connexions réseau et les flux de trafic, jusqu'aux messages électroniques et aux pièces jointes, aux fichiers créés et enregistrés, aux processus des applications et des appareils, aux modifications de la configuration et du registre, ainsi qu'à tout avertissement spécifique en matière de sécurité.
0,1 % de ces événements (985 000) ont été qualifiés d'« alarmes », c'est-à-dire d'activités susceptibles d'être malveillantes et nécessitant un examen plus approfondi.
Parmi ces événements, 1 sur 10 (9,7 %) a été signalé au client pour vérification, tandis que 2,7 % ont été classés comme présentant un risque élevé et transmis à un analyste SOC pour une analyse plus approfondie. 6 000 ont nécessité une action défensive immédiate pour contenir et neutraliser la menace.
Les attaques à haut risque les plus fréquemment détectées
Les trois détections à haut risque les plus fréquentes par Managed XDR et étudiées par les analystes SOC au cours des six premiers mois de 2023 sont les suivantes :
Ces événements se produisent lorsqu'une détection montre qu'un utilisateur tente de se connecter à un compte cloud à partir de deux emplacements géographiquement différents en succession rapide - la distance entre eux étant impossible à couvrir dans le temps entre les connexions. Bien que cela puisse signifier que l'utilisateur utilise un VPN pour l'une des sessions, il s'agit souvent d'un signe qu'un pirate a accédé au compte de l'utilisateur. Les connexions de voyage impossibles doivent toujours faire l'objet d'une enquête.
La détection des déplacements impossibles de Barracuda XDR pour les comptes Microsoft 365 a permis de détecter et de bloquer des centaines de tentatives d'attaques de type BEC (Business Email Compromission) entre janvier et juillet.
Lors d'un incident examiné par l'équipe SOC, un utilisateur s'est connecté à son compte Microsoft 365 depuis la Californie, puis 13 minutes plus tard depuis la Virginie. Pour y parvenir physiquement, il aurait dû se déplacer à une vitesse supérieure à 10 000 miles par heure. L'IP utilisée pour se connecter depuis la Virginie n'était pas associée à une adresse VPN connue, et l'utilisateur ne se connectait normalement pas depuis cet endroit. L'équipe a informé le client qui a confirmé qu'il s'agissait d'une connexion non autorisée, a immédiatement réinitialisé ses mots de passe et a déconnecté l'utilisateur malhonnête de tous les comptes actifs.
2. « Détections d'anomalies
Ces détections identifient une activité inhabituelle ou inattendue dans le compte d'un utilisateur. Il peut s'agir d'éléments tels que des temps de connexion rares ou uniques, des schémas d'accès aux fichiers inhabituels ou la création excessive de comptes pour un utilisateur individuel ou une organisation. Ces détections peuvent être le signe de divers problèmes, notamment des infections par des logiciels malveillants, des attaques par hameçonnage et des menaces internes. Si vous constatez une détection de type anomalie, vous devez enquêter sur le compte pour déterminer la cause de l'anomalie.
Barracuda Managed XDR dispose d'une ligne de base de détection Windows « rare hour for user » qui reconnaît les modèles de connexion d'un utilisateur particulier et signale lorsque cet utilisateur se connecte à une heure inhabituelle. L'équipe SOC a émis plus de 400 alertes pour ce type d'activité depuis janvier 2023.
3. Communication avec des artefacts malveillants connus
Ces détections permettent d'identifier les communications avec des adresses IP, des domaines ou des fichiers marqués d'un drapeau rouge ou connus pour être malveillants. Cela peut être le signe d'une infection par un logiciel malveillant ou d'une attaque par hameçonnage. Si vous voyez une communication avec un artefact malveillant ou suspect connu, vous devez immédiatement mettre l'ordinateur en quarantaine et enquêter sur l'infection.
L'IA entre les mains des attaquants
Si ce qui précède montre comment l'IA peut considérablement renforcer la sécurité, elle peut également être utilisée à des fins malveillantes par les attaquants.
Par exemple, les outils de langage génératif de l'IA peuvent créer des courriels très convaincants qui imitent étroitement le style d'une entreprise légitime, ce qui rend beaucoup plus difficile pour les individus de discerner si un courriel est légitime ou s'il s'agit d'un hameçonnage, d'une prise de contrôle de compte ou d'une tentative d'escroquerie.
Les outils d'IA sont également susceptibles d'être utilisés par les attaquants pour automatiser et émuler dynamiquement les comportements adverses, rendant ainsi leurs attaques plus efficaces et plus difficiles à détecter.
Par exemple, les utilitaires de ligne de commande alimentés par l'IA peuvent s'adapter rapidement aux changements dans les défenses d'une cible, identifier les vulnérabilités, ou même tirer des leçons des tentatives précédentes qui ont échoué afin d'améliorer les attaques ultérieures. Un premier exemple de ce type d'outil est le « WormGPT », qui fait déjà l'objet d'une publicité sur un forum clandestin et peut être utilisé par des acteurs de la menace pour automatiser la génération de scripts et de commandes malveillants et les adapter dynamiquement à chaque cible spécifique.
Sécurité pour un paysage de menaces en évolution rapide
Alors que l'IA continue de progresser, les organisations doivent être conscientes des risques et prendre des mesures pour les atténuer.
Cela devrait impliquer des mesures d'authentification robustes, telles que l'authentification multifactorielle au minimum, mais idéalement passer à des approches de confiance zéro, et une formation continue des employés, en particulier en ce qui concerne les attaques de phishing.
Les équipes de sécurité informatique et leurs fournisseurs de sécurité externes devraient essayer de rester informés des dernières menaces alimentées par l'IA et d'adapter leur posture de sécurité. Mais il est tout aussi important de ne pas oublier les principes de base - s'assurer que les systèmes et les logiciels sont maintenus à jour et que l'on dispose d'une visibilité totale de l'environnement informatique.
Si cela vous semble complexe et exigeant en termes de ressources, ne vous inquiétez pas. L'industrie adopte de plus en plus une approche axée sur les services et les plateformes de sécurité intégrée. D'excellentes options sont désormais disponibles en matière d'assistance gérée, de XDR et de SOC-as-a-service 24 heures sur 24 (7 jours sur 7) pour surveiller, détecter et répondre aux cybermenaces à toute heure du jour ou de la nuit, afin d'assurer en permanence votre sécurité et celle de vos actifs.
Les résultats sont basés sur les données de détection de Barracuda Managed XDR, une plateforme de visibilité, de détection et de réponse étendue (XDR), soutenue par un centre d'opérations de sécurité (SOC) 24×7 qui fournit aux clients des services de détection, d'analyse, de réponse aux incidents et d'atténuation des menaces, pilotés par l'homme et l'IA, 24 heures sur 24.
Par Merium Khalid
Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.
Retour