Sécurité Long Reads: Cyber initiés révèlent ce qui est à venir en 2021

Tout change, mais rien ne change

Pour Tom Kellerman de VMware Carbon Black, même si nous regardons vers l’avenir à partir d’une position que personne n’aurait pu prédire cette fois en 2019, fondamentalement, peu de choses ont changé.

« La plupart écrivaient le « livre de jeux pandémique » au fur et à mesure, mais ironiquement, l’une des rares certitudes de la situation était que les cybercriminels profiteraient des perturbations pour intensifier les campagnes », dit-il. « En ce sens, rien n’a changé, si ce n’est que l’occasion a soudainement été beaucoup plus grande. »

Les effets de Covid-19 seront, bien sûr, le plus grand impact durable sur la sécurité, ouvrant les vannes à une vague d’innovation par les attaquants et les défenseurs, ce qui signifie que certaines des stratégies et des tactiques qui sont venus à l’avant-plan cette année sera encore ressenti.

Prenez le travail à distance. « À mesure que l’entreprise devient plus mobile que jamais et que le travail à distance persiste, les appareils mobiles et les systèmes d’exploitation seront de plus en plus ciblés », explique Kellerman. « Comme les employés utilisent des appareils personnels pour examiner et partager des informations d’entreprise sensibles, celles-ci deviennent un excellent point d’entrée pour les attaquants. Si les pirates peuvent entrer dans votre Android ou iPhone, ils seront alors en mesure de island-hop dans les réseaux d’entreprise que vous accédez, que ce soit en désactivant les VPN ou en brisant les pare-feu.

« Nous verrons également des pirates utilisant des logiciels malveillants tels que Shlayer pour accéder à iOS, en fin de compte transformer Siri en leur dispositif d’écoute personnelle pour écouter sur les communications d’affaires sensibles. »

Kellerman ajoute : « Pour lutter contre ces risques, il faut une combinaison de nouvelles politiques et infrastructures d’appareils mobiles conçues pour faciliter la poursuite du travail à distance, ainsi que la sensibilisation des employés aux risques persistants et à l’importance de la distanciation numérique. »

Igor Andriushchenko, directeur de la qualité et de la sécurité pour l’ingénierie chez Snow Software, s’attend à ce que, grâce au travail à distance, nous allons bientôt voir une augmentation des attaques où le compromis initial est atteint par l’ingénierie sociale.

« Les gens n’ont jamais rencontré beaucoup de leurs collègues qui se sont joints à des entreprises en 2020 en raison du virage vers le travail à distance », dit-il. « Cela rend une attaque d’ingénierie sociale ordinaire beaucoup plus simple, car dans ce cas, nous connaissons tous des informations beaucoup moins uniques sur chacun de nos collègues – ce qui est la clé pour prouver l’authenticité d’un chat électronique, téléphonique ou vidéo. »

Ilia Kolochenko, fondateur et PDG d’Immuniweb, voit également de plus en plus de violations causées par le travail à distance en 2021, et estime que le chaos actuel rend plus difficile pour les équipes de sécurité de travailler efficacement.

Il affirme que la perturbation a annulé une grande partie de l’effort combiné mis en place par les développeurs, les équipes informatiques et les équipes de sécurité pour améliorer l’agilité et la rentabilité, et réduire le nombre d’infractions, et bien que la vidéoconférence et des outils tels que Slack soulager une partie de cela, ils ne remplacent pas le contact en face-à-face. Ce manque de collaboration entre les équipes indique d’autres violations l’an prochain.

L’évolution de ransomware

Dans d’autres tendances persistantes, le pivot très documenté parmi les gangs ransomware pour neutraliser les défenses traditionnelles telles que les outils de sauvegarde et de récupération après sinistre en volant et en fuite les données de leurs victimes ne va pas disparaître, et deviendra une menace encore plus grande au cours des 12 prochains mois.

Casey Ellis, fondateur, CTO et président de Bugcrowd, affirme que l’augmentation des volumes ransomware stimulera plus d’innovation parmi les défenseurs l’année prochaine. « Comme ransomware devient plus une question de « quand cela se produira » que « si cela se produira », les législateurs et l’industrie de la cybersécurité elle-même seront mis sous pression pour trouver des moyens de résoudre le problème ransomware sans avoir besoin de réduire le choix de « payer ou ne pas payer », dit-il.

Ryan Kalember et Andrew Rose de Proofpoint prévoient le ciblage accru des environnements cloud par les équipes ransomware. Ils écrivent : « De nombreuses entreprises abritent aujourd’hui des portions substantielles de leurs données sensibles dans des référentiels externes basés sur le cloud et ces data stores sont souvent moins visibles par la fonction de sécurité et souvent pas aussi sécurisés ou sauvegardés d’une manière que les adversaires ne peuvent pas non plus chiffrer. En 2021, les professionnels de la sécurité peuvent s’attendre à voir ransomware cibler de plus en plus le stockage cloud afin de maximiser l’impact et d’accroître l’effet de levier pour augmenter les bénéfices. »

Andriushchenko pense également ransomware gangs vont commencer à concentrer leurs énergies un peu différemment en 2021. « Ils peuvent se déplacer davantage dans le domaine de ransomware industriel où les attaques sont ciblées afin d’obtenir l’avantage concurrentiel et arrêter la production pendant une longue période, dit-il.

Guy Propper, responsable de l’équipe de renseignement sur les menaces chez Deep Instinct, souligne l’avantage concurrentiel dans le jeu ransomware, en disant que les attaquants ont maintenant appris que le test décisif d’un bon coup ransomware est sa méthode d’extorsion, et plus les enjeux pour la victime, plus la probabilité d’un paiement.

« Pour cette raison, en 2021, nous prévoyons de voir un mouvement vers le ciblage des organisations critiques, c’est-à-dire les organisations qui ont une tolérance minimale au risque de voir leurs systèmes numériques arrêtés ou leurs données volées et exposées », dit-il.

« Les hôpitaux et les établissements d’enseignement en sont un bon exemple, les deux secteurs ayant déjà souffert d’une vague d’infections ransomware, et les écoles et les hôpitaux sont soumis à d’énormes pressions pour garder leurs portes ouvertes. À la croisée des chemins entre ransomware et les règlements sur la confidentialité des données, les entreprises privées sont également plus susceptibles d’être violées, avec le risque supplémentaire d’être frappé par d’importantes amendes s’il s’est révélé avoir exposé des données.

L’avantage concurrentiel est également atteint grâce à la collaboration et le partage des ressources pour maximiser les retours, quelque chose que les opérateurs ransomware ont également appris en 2020 – les leçons qu’ils mettrait en pratique en 2021. « Ransomware comme un service est de plus en plus de traction – où les créateurs ransomware « servicise » leur produit et le rendre disponible pour les criminels à l’échelle, dit Andriuschenko.

À cet égard, il y a de bonnes nouvelles – toutes ces collaborations ne porteront pas leurs fruits, comme le fait remarquer Kellerman : « Nous verrons des groupes en désaccord sur l’éthique de cibler les secteurs vulnérables tels que les soins de santé. »

Les soins de santé resteront une cible juteuse

En ce qui concerne les soins de santé, l’impact de Covid-19 a également été particulièrement ressenti dans ce secteur vital, où Kellerman prédit que les niveaux de risque continueront de monter en flèche à mesure que le monde se rapprochera de la vaccination de masse et, croisant les doigts, d’une voie de sortie de ce cauchemar éveillé.

Bugcrowd Ellis dit l’impact de ransomware sur les soins de santé va croître l’année prochaine que la nécessité d’accéder aux données des patients crée un sentiment d’urgence qui rend les organisations dans le secteur beaucoup plus susceptibles de payer.

Cela a été vu plus tôt en 2020 quand une attaque en Allemagne a été blâmée dans un premier temps pour la mort d’un patient, et alors que les procureurs n’ont pas été en mesure d’établir une base juridique de causalité dans le droit allemand et a déclaré qu’à la fin, le patient serait mort de toute façon, la première cyberattaque officiellement mortelle se produira sûrement très bientôt, ce qui va augmenter la pression.

« Il est probable que d’autres attaquants vont donner la priorité aux attaques ransomware sur les systèmes de soutien de la vie des établissements de soins de santé mis à rude épreuve que l’urgence de sauver la vie d’un patient mettrait une grande pression sur n’importe quel hôpital pour payer une rançon, dit Ellis.

« Pour se préparer à des campagnes ransomware potentiellement fatales, le secteur de la santé doit identifier ses systèmes critiques et déterminer quels sont les plus critiques pour les entreprises. Ensuite, chaque organisation de soins de santé peut donner la priorité à ces systèmes essentiels de mise à niveau afin d’assurer une sécurité adéquate pour le bien-être des patients.

Cependant, il y a un peu plus de bonnes nouvelles ici aussi. « La pression sur la cybersécurité dans le domaine des soins de santé n’est pas sans être soulignée », dit Kellerman. « Nous verrons des budgets informatiques et de sécurité accrus dans le secteur pour lutter contre la croissance des menaces extérieures. »

De nouveaux risques émergent encore

Kellerman garde également un œil sur d’autres tendances émergentes, telles que le cloud-jacking via les nuages publics, qui, selon lui, deviendra la « stratégie de saut d’île de choix » pour les cybercriminels, grâce à ce qu’il appelle une nouvelle dépendance excessive sur l’infrastructure du cloud public.

Et ce ne sera pas le seul environnement sous-menacé – il est possible, voire probable, que certains acteurs de la menace, en particulier ceux associés à l’État-nation, intensifient des attaques plus audacieuses et plus destructrices contre les systèmes de contrôle industriel, les infrastructures nationales essentielles, les services publics, les fabricants, et plus encore. En effet, avec l’émergence en décembre 2020 d’une vaste campagne menée à travers des outils SolarWinds compromis, cela pourrait déjà se produire.

Andriushchenko de Snow Software affirme que l’impact de l’attaque solarwinds « réussie » se fera sentir dans un volume croissant d’attaques similaires de la chaîne d’approvisionnement. Il prévient qu’à mesure que les entreprises amélioreront leurs propres postures de sécurité, des tiers resteront un angle mort et peuvent fournir une voie vers la cible. Grâce au compromis continu de plusieurs agences gouvernementales aux États-Unis, maacteurs licious savent maintenant que cela fonctionne très bien.

Les attaques parrainées par l’État par des groupes associés à la Russie et à la Chine, et dans une moindre mesure l’Iran et la Corée du Nord, évolueront davantage, affirme Ellis de BugCrowd, qui prédit la montée des attaques de faux drapeaux. Nous avons déjà vu des groupes d’État mener des attaques à l’aide de techniques, d’outils et de procédures associés à leurs rivaux, et étant donné la difficulté d’attribution dans le meilleur des cas, cela deviendra un problème plus important en 2021.

« Les cyber groupes cybernétiques parrainés par l’État ont eu amplement le temps d’améliorer leurs tactiques afin de lancer avec succès des campagnes de faux drapeaux plus avancées », dit Ellis. « L’année 2020 a également vu une charge croissante de la preuve autour de l’efficacité de la désinformation et de la désinformation cyberactives en tant qu’outil entre les mains d’acteurs étrangers et nationaux ayant un objectif politique.

« Les gouvernements devraient s’attendre à ce que les attaquants parrainés par l’État lancent plus fréquemment des campagnes de faux drapeaux. En tant que tel, les gouvernements doivent considérer que la guerre de l’information et la cyberguerre ont fusionné dans leur exécution et leurs résultats et être très concentrés sur l’attribution claire et propre lorsqu’une attaque a lieu.

L’IA prend son compte, tant pour les défenseurs que pour les attaquants

Carbon Black Kellerman dit 2021 sera une année de développements significatifs dans l’intelligence artificielle (IA) et les outils d’apprentissage automatique qui font de l’automatisation de la sécurité une proposition plus simplifiée, intégrée, et pas seulement quelque chose pour une organisation qui a fourchu des millions sur un centre d’opérations de sécurité.

Andriushchenko de Snow Software croit également que l’IA et l’apprentissage automatique deviendront des outils puissants pour les défenseurs en 2021, grâce à leur utilité dans le soutien aux travailleurs à distance. Il explique : « Les réseaux d’accueil, les espaces de co-working, le café Wi-Fi – ont tous des menaces différentes qui s’y cachent et exigent que les organisations soient prêtes à reconnaître et à réagir sur toutes les questions provenant de territoires inconnus.

« Par conséquent, il est important de commencer à utiliser les outils intelligents d’analyse du comportement qui pourraient repérer une anomalie dans la façon dont un utilisateur soi-disant légitime interagit avec le réseau d’entreprise et quelles actions il effectue. L’apprentissage automatique, dans ce cas, devient plus qu’un mot à la mode, mais plutôt une nécessité d’atténuer les problèmes potentiels en 2021.

Le contrepoint à cela, bien sûr, est que les adversaires verront également un certain avantage à faire progresser la façon dont l’IA et l’apprentissage automatique sont utilisés pour les activités avant et après l’exploitation, comme le souligne Propper de Deep Instinct.

« Alors que les connaissances sur l’apprentissage automatique contradictoire ne ce sont que les connaissances se diffusent entre les deux côtés du terrain de combat cybernétique », dit-il. « L’année 2020 a vu l’adoption accrue des connaissances académiques d’apprentissage automatique utilisées dans les attaques contradictoires dans la recherche de l’industrie privée.

« Au fur et à mesure que ces connaissances passent du milieu universitaire à la nature, nous nous attendons à voir des campagnes de logiciels malveillants tenter d’échapper à des produits basés sur des modèles d’apprentissage automatique, en dupe du modèle, en apprenant à le subvertir ou en le forçant à s’arrêter.

« Étant donné que les produits basés sur l’apprentissage automatique deviennent la solution dominante sur le marché, il est logique qu’ils représentent la prochaine cible pour les pirates informatiques bien nants. Nous nous attendons à ce que ceux qui commettent les attaques ne soient que quelques privilégiés. La barre d’entrée aux attaques basées sur l’IA est encore très élevée, et nous ne nous attendons donc pas à ce qu’elle devienne un malware « au fil de l’eau » l’année prochaine.

Kellerman ajoute : « Alors que la prise de conscience de la façon dont les attaquants utilisent l’automatisation augmente, nous pouvons nous attendre à ce que les défenseurs règlent le problème, maximisant l’automatisation pour repérer les activités malveillantes plus rapidement que jamais. »

Kalember et Rose chez Proofpoint ont également quelque chose à dire sur la croissance de l’automatisation, ce qui suggère qu’elle aidera les équipes de sécurité à faire face à la crise croissante des compétences.

« La pénurie de talents en matière de sécurité est préoccupante depuis plusieurs années, les OSIC peinant à maintenir ensemble des équipes entièrement compétentes et dotés de personnel pendant une période quelconque », disent-ils. « La seule façon dont les fonctions de sécurité vont survivre est d’automatiser certaines parties de leur rôle.

« À ce jour, les fonctionnalités d’automatisation ont généralement été traitées par l’achat d’outils supplémentaires ou par des fonctions boulonnées auprès des fournisseurs. Nous nous attendons à ce que cela change en 2021, à mesure que l’automatisation deviendra une fonctionnalité standard « dans la boîte » pour la plupart des outils de sécurité d’entreprise – et pour de nombreux CISOs, cela ne peut pas venir assez tôt.

Une certaine positivité: nous ne sommes peut-être pas gagner, mais nous ne perdons pas

Pour finir avec une certaine positivité, il y a une prise de conscience croissante de la cybersécurité dans la sphère publique, les organisations sont de plus en plus bien préparées malgré tous les échecs très médiatisés documentés dans Computer Weekly et ailleurs, et les défenseurs s’améliorent tout le temps dans leur travail. Nous peut-être pas gagner massivement la lutte contre la cybercriminalité, mais nous ne pouvons pas dire que nous sommes en train de la perdre.

Ellis à Bugcrowd s’attend à un changement positif dans la culture de la sécurité, avec des pirates éthiques de plus en plus prouver leur valeur, en particulier quand il s’agit d’infrastructures essentielles et les organisations. Cela sera stimulé en partie par le discours sur la sécurité électorale qui a dominé aux États-Unis à la fin de 2020. Et ce n’est pas seulement une question américaine, elle affecte aussi le Royaume-Uni.

« La réalité est que les chercheurs en sécurité peuvent tester les systèmes de vote comme un adversaire le ferait pour découvrir les vulnérabilités exploitables, puis transmettre cette rétroaction au personnel approprié pour qu’il les répare en priorité », explique Ellis. Tout ce qu’il faut pour en faire une réalité, fait-il valoir, c’est l’achat des gouvernements et la réforme des lois, telles que la Computer Misuse Act du Royaume-Uni.

« Ces lois servent actuellement d’obstacles aux chercheurs en sécurité pour faire leur travail et tester les systèmes de vote de bonne foi, car les chercheurs en éthique craignent d’être poursuivis pour avoir fait leur travail », dit-il. « À l’avenir, alors que les représentants du gouvernement commencent à accorder une attention plus étroite à la cybersécurité, il est possible que ces lois puissent être révisées pour améliorer notre démocratie.

« Les gouvernements se rendent collectivement compte de l’ampleur et de la nature distribuée des menaces auxquelles ils sont confrontés dans le domaine cybernétique, ainsi que de la ligue de pirates informatiques de bonne foi disponible pour les aider à équilibrer leurs forces. Quand on est confronté à une armée d’adversaires, une armée d’alliés a beaucoup de sens.

S’en tenant à ce thème, Marten Mickos, PDG de HackerOne, qui pourrait lui-même raisonnablement être décrit comme une armée d’alliés, peut-être sans surprise prédit également de bons moments pour les pirates éthiques.

« Je prédis que le Royaume-Uni sera le prochain gouvernement à faire pression pour imposer des programmes de divulgation des vulnérabilités (PV) pour les appareils IoT grand public », dit-il. « D’autres gouvernements techniquement avancés et modérément transparents sont également en ligne de compte. Je m’attends à ce que Singapour et les Pays-Bas ne soient pas loin derrière – de nombreuses villes néerlandaises ont déjà des VDP dans leurs organisations gouvernementales locales.

« La région de DACH, bien que conservatrice, accorde une grande priorité à la sécurité de ses citoyens. Tout récemment, les forces armées allemandes ont dévoilé leur propre programme de primes aux bogues et le gouvernement suisse a déjà mis en place un VDP pour sa technologie de vote. »

Les rapports faits par HackerOne ont été responsables de certains des plus grands paiements de primes bug dans l’histoire de la sécurité, et Mickos prédit également que telle est l’ampleur des cybermenaces aujourd’hui, à un moment donné dans les prochaines années, nous verrons un pirate faire plus de 10 millions de dollars – un vote de confiance dans le talent de la communauté et le dévouement à la cause.

Kellerman croit également que la confiance des défenseurs est en fait à la hausse. « Cette année, nous avons vu des cyberdéfenses mises à rude épreuve inconcevables et elles ont fléchi en réponse », dit-il. « Oui, il y avait des vulnérabilités dues à la rapidité du passage au travail à distance, mais dans l’ensemble, les outils et les processus de sécurité fonctionnent. La technologie Defender fait le travail est-elle conçue pour le faire – et ce n’est pas une mince affaire.

« La nature critique de la cybersécurité n’a jamais été aussi évidente qu’en 2020, car les équipes ont relevé le défi de circonstances particulièrement difficiles. En reconnaissance de cela, nous verrons un soutien au niveau du conseil d’administration et une relation beaucoup plus saine entre les équipes informatique et de sécurité alors qu’elles collaborent pour autonomiser et protéger simultanément les utilisateurs. 2020 a été le catalyseur du changement pour lequel nous étions plus que prêts.

Russell Haworth, directeur général de Nominet, voit également des développements positifs à l’horizon. Cette année, de nombreux gouvernements ont pris plus de pouvoirs et de responsabilités en matière de cybersécurité des citoyens, une tendance qui, selon lui, prendra de l’importance.

« La création récente d’une cyber force nationale et l’augmentation du financement de la cyberdéfense du Royaume-Uni sont le début d’une nouvelle ère », a déclaré Haworth. « Outre les arènes de la terre, de la mer et de l’air, le cyber a été officiellement reconnu comme un nouveau champ de bataille. La guerre dans le cybere spatiale est d’une nature fondamentalement différente et nécessitera de nouveaux outils et collaborations pour lutter contre les activités agressives soutenues par la nation.

« Des mesures décisives sont prises par les gouvernements du monde entier pour lutter contre la cybercriminalité, et une grande partie de cette mesure est déjà en collaboration avec l’industrie de la sécurité. Il s’agit d’une mesure positive, qui peut réduire le volume d’activités soutenues par la nation perpétrées par des groupes connus d’APT.

« Il serait trop important d’espérer que les attaques cesseront, mais nous pourrions nous attendre à des techniques moins perturbatrices et à des cyberattaques plus « furtives », utilisant des techniques d’espionnage et apportant un certain nombre de tactiques différentes pour exécuter une attaque. C’est dans ce domaine que nous devons ensuite regarder pour évoluer cyber det pour cela, nous aurons besoin d’une approche coordonnée et à multiples facettes entre le gouvernement, l’industrie et la société.

Enfin, Chris Harris, directeur technique EMEA chez Thales, estime que 2021 sera l’année où les défenseurs renverseront la vapeur sur leurs attaquants. « La relation entre les entreprises et les pirates informatiques a toujours été un moyen unique, les cybercriminels tentant de s’y mettre et les entreprises réagissant à cela », dit-il. « Cependant, 2021 verra cette relation changer à mesure que les entreprises passent à l’offensive et tentent de jeter les pirates hors de leur jeu.

« Les entreprises commenceront à utiliser des techniques trompeuses, telles que le déploiement de faux systèmes d’attraction élevée pour détourner les attaquants, ou laisseront de fausses informations d’identification ou de la chapelure qui mènent à une fausse cible de grande valeur. »