Dans le contexte actuel de cyberattaques étendues, les nouvelles technologies offrent de nouvelles opportunités aux entreprises comme aux acteurs malveillants. Ces derniers peuvent utiliser les mêmes systèmes d'intelligence artificielle (IA) et modèles de langage à grande échelle (MLGE) que les entreprises, souvent de manière identique. Dans les deux cas, ces technologies permettent de gagner du temps sur les tâches manuelles répétitives. Par exemple, les organisations peuvent utiliser des MLGE, tels que ChatGPT, pour rédiger leur documentation plus rapidement. De même, les acteurs malveillants exploitent ces technologies pour concevoir des courriels d'hameçonnage plus réalistes et convaincants.
Alors que les acteurs malveillants avaient traditionnellement besoin de compétences techniques pointues, les nouvelles technologies réduisent l'écart de compétences requis par la criminalité, permettant ainsi à des cybercriminels moins expérimentés techniquement de mener des attaques. Pour s'orienter dans le paysage actuel des cybermenaces, les experts en sécurité offensive et défensive doivent comprendre comment les acteurs malveillants utilisent aujourd'hui de nouveaux modèles économiques clandestins pour déployer des attaques plus efficacement.
Pour visionner le webinaire complet, consultez Naviguer dans le paysage des cybermenaces.
La réalité des opérations modernes de certification
L'industrie de la cybersécurité se concentre souvent sur les attaques sophistiquées, laissant supposer qu'elles proviennent majoritairement d'États, de failles zero-day, de rétro-ingénierie ou d'autres méthodes exigeant des compétences pointues. Or, les tests d'intrusion modernes consistent à analyser les opérations d'authentification actuelles. L'examen des études publiques révèle que les attaques ayant entraîné une violation de données suivent souvent un ordre d'opérations commençant par des méthodes ne nécessitant que peu de compétences techniques.
Alors que la cybercriminalité moderne se professionnalise, les attaquants adoptent des méthodes plus pragmatiques, cherchant des moyens simples de compromettre les systèmes et réseaux d'entreprise. Les adversaires anticipent davantage leurs attaques, en intégrant plus qu'auparavant des phases de reconnaissance en amont. Un nombre infime d'informations leur suffit pour compromettre les ressources critiques d'une organisation, pourvu qu'ils disposent des éléments nécessaires. bien L'accès rapide et facile aux informations est essentiel. La prolifération des infrastructures cloud modifie le paysage de la journalisation, d'autant plus que les organisations multiplient les applications connectées à Internet, ce qui accroît les vecteurs d'attaque. Parallèlement, l'ajout de nouveaux domaines et sous-domaines entraîne souvent une perte de suivi des ressources et des audits de sécurité, voire leur absence.
Les différents niveaux de méthodes d'attaque
Une bonne façon de se représenter ces différentes opérations est de les comparer à la progression de niveau dans un jeu vidéo.
Dans un jeu vidéo, les joueurs commencent par maîtriser les compétences les plus simples, puis progressent dans le jeu, « montant de niveau » à mesure qu'ils acquièrent de nouvelles capacités. Les attaquants fonctionnent de manière similaire : les activités les plus faciles à accomplir leur offrent un meilleur retour sur investissement. En adoptant une logique commerciale, consacrer moins de temps à une attaque signifie que les acteurs malveillants gagnent plus d'argent par heure grâce à cette activité illicite.
Au vu des niveaux, cette mentalité financière axée sur le « retour sur investissement » paraît plus logique.
- Au niveau 1, les cybercriminels utilisent des identifiants divulgués et disponibles sur Internet, notamment sur Pastebin, les réseaux de torrents, les sites de hachage ou GitHub. Bien que ces identifiants ne soient pas toujours à jour, leur obtention ne nécessite que peu de temps et de ressources financières.
- Au niveau 2, les attaquants commencent à utiliser les forums du dark web.
- Le niveau 3 les amène au Ransomware en tant que service (RaaS) écosystème pendant
Ces méthodes d'attaque à faible barrière à l'entrée restent la norme jusqu'aux niveaux 7 à 9. À ces niveaux plus élevés, les États-nations et les attaquants sophistiqués commencent à consacrer du temps et des ressources financières à identifier de nouvelles attaques zero-day ou à se livrer à de l'espionnage industriel.
Identifier les tendances
De plus, de nombreuses menaces persistantes avancées (APT), telles que les menaces sophistiquées groupes de Rançongicielss, commencez par ces stratégies à faibles ressources pour deux raisons principales.
Premièrement, la documentation des journaux ne permet souvent pas d'identifier ces premières méthodes d'attaque. Une organisation peut consigner toutes les activités sur site et dans le cloud, mais les acteurs malveillants peuvent facilement échapper à la détection en téléchargeant des journaux volés depuis Telegram pour utiliser les identifiants d'authentification unique (SSO) d'un employé. Les journaux d'événements et système ne documentent souvent pas les méthodes d'attaque de niveau 1 à 4, ce qui signifie que les outils de gestion des incidents et des événements de sécurité (SIEM) ne parviennent pas à les détecter.
Deuxièmement, ces méthodes d'attaque sont extrêmement simples. Un adolescent ayant accès à un tutoriel YouTube peut facilement dérober des identifiants Telegram, ce qui signifie que la barrière à l'entrée pour la cybercriminalité a considérablement diminué.
Percer le bruit
Les organisations dépendent des journaux générés par leur infrastructure informatique. Or, les technologies cloud, comme les portails hébergés dans le cloud, produisent d'importants volumes de journaux, même pour une organisation standard de taille moyenne. Ce flux de données augmente le nombre de fausses alertes, ce qui accroît la surcharge des analystes de sécurité.
Comment les agresseurs peuvent se cacher
Si des attaquants achètent un jeton web ou des cookies auprès d'un groupe Telegram, la détection se fait généralement au niveau du système ou du navigateur, où une règle de corrélation a été configurée pour détecter un changement de localisation au cours de la même session. Pour détecter ces attaques, les organisations doivent créer des règles spécifiques en fonction des cas d'utilisation, ce qui peut s'avérer long et coûteux.
Bien que les systèmes de détection puissent identifier une attaque massive par usurpation d'identité, les acteurs malveillants peuvent facilement y intégrer une attaque par bourrage d'identifiants ou par pulvérisation de mots de passe, de manière à se dissimuler dans les statistiques de trafic Internet habituelles. Certaines grandes organisations peuvent ne pas être équipées de systèmes d'alerte à ce niveau de sophistication, tandis que certaines équipes plus petites peuvent disposer de ces capacités.
Réduire le pouvoir des cookies
Bien qu'une organisation puisse détecter les acteurs malveillants utilisant des identifiants volés, il lui est beaucoup plus difficile d'identifier les cybercriminels injectant des cookies dans un navigateur. Conscients de cette possibilité d'échapper à la détection, les cybercriminels achètent de plus en plus ces journaux de vol de données sur le dark web ou des chaînes Telegram illicites.
Le problème pour les attaquants réside dans le fait que la collecte et la mise en ligne de ces journaux de vol de données sur le marché cybercriminel prennent au moins 24 heures. Pour atténuer les risques, les organisations peuvent mettre en place une actualisation complète des cookies toutes les 24 heures. Cependant, cette protection engendre une frustration et une charge de travail accrues pour les utilisateurs finaux, qui doivent désormais se connecter et s'authentifier à plusieurs facteurs quotidiennement.
Les spécialistes de la sécurité verront probablement apparaître de nouvelles solutions répondant au besoin des utilisateurs de poursuivre leur session tout en atténuant ces risques. Par exemple, Google a récemment annoncé une nouvelle fonctionnalité visant à lier les sessions d'authentification à l'appareil de l'utilisateur, dans l'espoir de perturber le secteur des logiciels malveillants de vol de cookies.
Automatisation des opérations d'identification
Le cycle de vie d'une attaque par vol de cookies sur 24 heures comprend généralement les processus suivants :
- Distribution de logiciels malveillants
- Installation d'un logiciel malveillant voleur d'informations sur un terminal
- Extraction de données
- Envoi des identifiants volés à un serveur de commande et de contrôle (C2).
- Alimenter un serveur avec des données, comme les cookies de session ou les identifiants du navigateur.
- Le téléchargement et la vente des données sur le dark web ou sur une chaîne Telegram illicite
Cependant, les acteurs malveillants automatisent de plus en plus certaines de ces tâches, comme l'utilisation de l'API Telegram pour alimenter leurs chaînes.
De plus, cette automatisation signifie que les opérations cybercriminelles collectent, vendent et redistribuent fréquemment les identifiants. Les acteurs malveillants peuvent payer pour un accès anticipé à ces identifiants, mais une fois les données publiques, elles touchent souvent un public plus large. Grâce à cet accès facilité, les cybercriminels utilisent des scripts pour extraire les identifiants et automatiser leurs attaques.
Courtiers d'accès initial dans la chaîne d'approvisionnement des cybermenaces
Courtiers d'accès initial (IAB) Il s'agit de groupes de cybercriminels qui monnayent l'accès aux réseaux d'entreprises, notamment à leurs propres réseaux, auprès de groupes affiliés à des sociétés de Rançongiciels et d'autres organisations susceptibles d'en être intéressées. Après avoir obtenu un accès initial, ils le revendent aux enchères sur trois plateformes principales :
- Exploiter
- XSS
- Rampe
Ce sous-groupe de cybercriminels achète souvent des journaux de vol de données en grande quantité afin d'identifier ceux qui disposent d'un accès aux entreprises. Concrètement, les IAB (Integrated Accountability Business) effectuent un travail de vérification préalable pour d'autres cybercriminels, en analysant les données des journaux de vol de données et en vendant les instructions pour mener l'attaque.
Dans le contexte actuel des menaces, la gestion et la vente d'identifiants sont devenues indissociables. Ces attaques sont moins sophistiquées et souvent dépourvues de système de commande et de contrôle structuré. Face à cette nouvelle sophistication, les équipes de sécurité offensive doivent s'inspirer des adversaires pour mettre en œuvre des mécanismes de détection efficaces.
Un navigateur et un rêve
Les applications SaaS (Software-as-a-Service) modernisent la surface d'attaque et modifient les méthodes employées par les cybercriminels pour attaquer les organisations. Comme les journaux d'activité ne permettent souvent pas d'enregistrer ces méthodes d'attaque, les équipes de sécurité doivent adapter leurs stratégies de surveillance et de détection.
Par exemple, les tests d'intrusion traditionnels visaient à obtenir un accès administrateur de domaine. Cependant, cette approche est susceptible d'être détectée. Les attaquants modernes contournent les mesures de sécurité renforcées d'une organisation, obtenant un accès initial au VPN et au réseau interne afin de rester indétectés.
Dans le cadre de leurs efforts pour atténuer les risques de manière proactive, les équipes de sécurité doivent prendre en compte les différentes manières dont les cybercriminels peuvent exploiter les nouvelles technologies.
Applications SaaS
En 2023, Recherche sur les fusées éclairantes Les résultats ont montré qu'au moins 1.91 % des journaux de vol d'identifiants contenaient des informations d'identification d'entreprise divulguées pour des applications professionnelles courantes, telles que Salesforce, Hubspot, AWS, Google Cloud Platform, Okta et DocuSign. De plus, plus de 200 000 journaux de vol d'identifiants contenaient des informations d'accès à des identifiants OpenAI, soit 1 % de l'ensemble des données analysées.
Pour les équipes de sécurité offensive, les outils de cartographie mentale d'infrastructure, comme Miro, peuvent entraîner des fuites de données lorsque les utilisateurs ajoutent des identifiants aux graphiques contenant des schémas de réseau. Ces plateformes SaaS offrent des outils utiles, mais présentent souvent des risques de sécurité supplémentaires, tels que :
- Absence de journalisation robuste
- Des coûts supplémentaires sont à prévoir pour l'activation de l'authentification à deux facteurs ou de l'authentification unique (SSO).
Modèles d'IA
De nombreuses entreprises entraînent leurs modèles en interne, généralement à l'aide de logiciels libres. Ces applications web se connectent au réseau local, mais elles manquent souvent d'authentification, ce qui expose les données internes utilisées pour l'entraînement de l'IA à des risques.
Applications d'IA
Lors du déploiement d'applications d'IA, les organisations peuvent rencontrer des difficultés de configuration. Par exemple, certaines utilisent le stockage blob ou des compartiments pour gérer l'historique des interactions des utilisateurs et les données de réponse indexables par les moteurs de recherche. Ces pratiques peuvent exposer des identifiants, à l'instar des fuites de données classiques des applications web. Ainsi, des développeurs peuvent saisir des informations confidentielles dans des applications d'assistance au codage, exposant des jetons d'API ou des identifiants.
Exposition des données au-delà des identifiants
À mesure que les entreprises adoptent des services fournis dans le cloud, elles doivent prendre en compte les fuites de données supplémentaires susceptibles d'affecter leur sécurité globale.
Le problème des outils de collaboration
Avec l'adoption croissante des outils de collaboration natifs du cloud par les entreprises, les fuites de données d'entreprise deviennent un enjeu majeur de cybersécurité. Par exemple, il arrive fréquemment que des utilisateurs internes partagent des informations via des partages de fichiers mal configurés sur des ressources web, comme les répertoires SharePoint ou Google Drive. Une fois le fichier partagé avec toute personne disposant du lien, Google et d'autres moteurs de recherche peuvent l'indexer.
Les acteurs malveillants peuvent effectuer une recherche sur :
- Domaine: nom_de_l'entreprise.com
- Type de fichier: PDF, tableur, XLSX
Si le moteur de recherche a indexé le domaine, il peut renvoyer des documents qui devraient normalement rester privés. Les plateformes collaboratives comme Google Docs et SharePoint utilisent l'infrastructure en tant que service (IaaS) de l'entreprise pour héberger le contenu, mais elles présentent également des risques car les utilisateurs peuvent contrôler les paramètres de partage, ce qui peut entraîner des fuites de données accidentelles.
Pour atténuer les risques, les organisations devraient désactiver le partage public des liens, exigeant des utilisateurs qu'ils partagent les fichiers avec une identité spécifique afin de préserver la sécurité et la confidentialité des données.
Le problème des dépôts open source
Les acteurs malveillants ciblent de plus en plus les bibliothèques et les dépôts de code publics. Avec l'adoption de l'infrastructure en tant que code (IaC) par les entreprises, les fuites de données dépassent le cadre de la surveillance de sécurité classique.
Par exemple, les attaquants peuvent analyser ces bibliothèques open source pour identifier les fuites de données telles que :
- Secrets codés en dur: Clés API ou mots de passe inclus dans le code source
- Code propriétaire: du code personnalisé a été accidentellement téléchargé sur la place de marché Docker
- Fichiers: documents ou feuilles de calcul exposés sur un serveur Jenkins
L'avenir de l'IA
À mesure que l'IA continue de mûrir, les spécialistes de la sécurité devront comprendre les cas d'utilisation pertinents et les risques que cette technologie engendre.
Breaking Bad
Les spécialistes de la sécurité offensive s'emploient activement à contourner les modèles de sécurité actuels, et y parviennent. De plus, bien que peu d'articles de presse en témoignent, les attaquants semblent utiliser l'IA avec efficacité. En voici quelques exemples :
- Utilisation d'un logiciel de clonage vocal pour commettre une fraude
- Vente de modèles avec ChatGPT complet et interfaces de chatbot sophistiquées
- Analyser plus rapidement les données des voleurs d'informations pour les appliquer plus efficacement aux campagnes
- Rédiger des courriels d'hameçonnage plus réalistes et convaincants
L'IA au cœur du débat
Pour chaque cas d'utilisation criminelle de l'IA, il existe une opportunité pour les défenseurs. L'IA peut considérablement renforcer différents aspects du programme de sécurité d'une organisation en :
- Fournir un exemple de code et expliquer une vulnérabilité
- Création de scanners permettant d'identifier les problèmes
- Générer la documentation et les guides de développement
À propos de Flare
La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source.
Vous souhaitez en savoir plus sur la surveillance des menaces pertinentes avec Flare ? Consultez notre essai gratuit.
