Skip to main content
Connexion
Démarrer un essai gratuitContacter le service commercial

Le Rapport 2024 sur les menaces mondiales d'Elastic : prévisions et recommandations

Par

Santosh Krishnan

158175_-_Blog_header_image_Prancheta_1-05_(1).jpg

Hier, Elastic Security Labs a présenté le Rapport 2024 sur les menaces mondiales d'Elastic, une analyse détaillée reposant sur plus d'un milliard de points de données issues de la télémétrie unique d'Elastic. L'étude décrypte les méthodes, techniques et tendances des cybercriminels du point de vue défensif — apportant aux équipes de sécurité des perspectives stratégiques pour optimiser et consolider leur dispositif de sécurité. 

Les conclusions de ce rapport reposent sur la télémétrie anonymisée et sécurisée d'Elastic, enrichie de données publiques et tierces transmises volontairement. Nos experts d' Elastic Security Labs ont procédé à une analyse rigoureuse de ces données pour en dégager des enseignements concrets, destinés à nos clients, partenaires et l'ensemble de l'écosystème de la sécurité.

Principales recommandations et prévisions

Cette année, Elastic Security Labs a observé l'évolution des acteurs malveillants, notamment l'augmentation des attaques visant l'accès aux informations d'identification et la manipulation continue d'outils de sécurité offensifs. Voici quelques-unes des principales prévisions et recommandations fournies dans ce rapport.  

L'écosystème des courtiers d'accès et des logiciels voleurs d'informations accentuera les conséquences de l'exposition des identifiants

Les chercheurs ont relevé, lors de plusieurs cyberattaques d'envergure cette année, que les cybercriminels utilisaient des identifiants subtilisés au sein même de l'infrastructure des victimes. Dans la majorité de ces cas, l'environnement contenait également des preuves de voleurs d'informations antérieurs ou d'éléments de portes dérobées. Identifier les identifiants compromis peut s'avérer très complexe après un certain temps.

Recommandation : Renouvelez systématiquement les identifiants exposés et mettez en place des protocoles de réinitialisation des comptes. L'analyse comportementale UEBA représente l'une des technologies clés pour repérer les comptes compromis. La surveillance des comptes ciblés par les attaques par force brute (particulièrement répandues dans le cloud) reste cruciale lorsque les preuves ont disparu ou ont été supprimées.

L'analyse télémétrique indique une gestion trop permissive des ressources des fournisseurs cloud (CSP) par les équipes de sécurité, augmentant le risque de compromission future des données

Notre analyse démontre une configuration inadéquate systématique des paramètres de sécurité cloud à travers l'ensemble des plateformes hyperscale. D'une manière ou d'une autre, les utilisateurs ont mal configuré les mêmes fonctionnalités de tous les fournisseurs de services cloud :

  • les politiques d'accès permissives autorisaient les connexions de n'importe où ;

  • les politiques de stockage permissives autorisaient les opérations sur les fichiers à partir de comptes de toutes sortes ;

  • les politiques de traitement des données ou les exigences en matière de chiffrement insuffisantes ;

Les entreprises qui cherchent à trouver un équilibre entre la facilité d'utilisation et les frais généraux liés à la sécurisation des ressources critiques peuvent avoir du mal à donner la priorité à une posture agressive ou à le faire de manière cohérente. Dans de nombreux cas, les audits et les conseils sont bien compris et largement disponibles sans frais.

Recommandation : Les équipes de sécurité gagneraient à utiliser le référentiel CIS (Center for Internet Security) pour identifier les points d'attention prioritaires dans leur environnement. Une fois atteint le score maximal de 100 selon les critères CIS, assurez-vous que votre équipe de cybersécurité maîtrise les principales techniques d'intrusion en environnement cloud. La surveillance depuis cette base de référence optimisera la détection des menaces tout en renforçant la résilience face aux menaces émergentes.

Les utilisateurs malveillants vont redoubler d'efforts en matière d'évasion de défense, en particulier en ce qui concerne les techniques qui entravent la visibilité des capteurs

Les signaux d'évasion de défense les plus courants ont été observés sur les systèmes Windows et impliquent généralement un trio de techniques : L'injection de processus, l'exécution de mandataires binaires du système et l'affaiblissement des défenses. Ensemble, ces trois techniques peuvent être utilisées pour prendre pied avec des privilèges suffisants pour altérer ou masquer les instruments avant que les données ne soient envoyées vers un référentiel de données.

Recommandation : Face à cette méthodologie complexe, aucune solution unique ne suffit. Les équipes de sécurité doivent néanmoins surveiller l'évolution de la visibilité des points de terminaison, les proxies binaires intégrés et les traces d'injection de processus. Une surveillance efficiente requiert cependant le déploiement préventif d'agents interactifs sur les points de terminaison, avant toute activité malveillante, leur efficacité étant conditionnée par leur bonne configuration. Les chercheurs ont souvent observé des situations où l'absence d'activation des protections sous licence par les administrateurs a engendré des conséquences préjudiciables.

Gardez une longueur d'avance sur les attaques grâce au Rapport 2024 sur les menaces mondiales d'Elastic

Ces prévisions ne donnent qu'un bref aperçu des menaces, des attaquants et des défenses que nous prévoyons d'observer au cours de l'année à venir. Pour consulter les autres prévisions et obtenir une vue d'ensemble détaillée du paysage de la sécurité, vous pouvez accéder à l'intégralité du Rapport 2024 d'Elastic sur les menaces mondiales.

La publication et la date de publication de toute fonctionnalité ou fonction décrite dans le présent article restent à la seule discrétion d'Elastic. Toute fonctionnalité ou fonction qui n'est actuellement pas disponible peut ne pas être livrée à temps ou ne pas être livrée du tout.

Sign up for Elastic Cloud free trial

Spin up a fully loaded deployment on the cloud provider you choose. As the company behind Elasticsearch, we bring our features and support to your Elastic clusters in the cloud.

Start free trial