Zero-days : le prochain élément de la cyberéconomie basée sur les services ?

Le concept de zero-days as a service (ZDaaS) pourrait être sur le point de s’imposer dans l’agenda des RSSI, selon une nouvelle étude de Digital Shadows, qui a révélé que les cybercriminels discutent de plus en plus du potentiel d’un modèle dans lequel les exploits zero-day sont loués ou loués à des affiliés.

Dans leur livre blanc Intelligence de vulnérabilité : savez-vous où se trouvent vos failles ?, L’équipe digital shadows a constaté que ces derniers temps, les vulnérabilités zero-day actives sont devenues les articles les plus chers annoncés sur les forums de cybercriminalité du dark web, avec des prix atteignant jusqu’à 10 millions de dollars dans certains cas.

Ils ont dit que même si les développeurs d’exploitation ont clairement le sentiment qu’ils peuvent générer un retour substantiel sur leur travail, il peut leur falloir beaucoup de temps pour trouver quelqu’un qui veut ou peut faire face à une prime aussi élevée.

Par conséquent, la location du zero-day out peut être un modèle plus attrayant car il permet au développeur de générer des revenus en attendant une vente, et donne également au locataire une chance d’essayer avant d’acheter, a déclaré l’équipe.

Les recherches de Digital Shadows font suite à des articles de recherche publiés par Sophos et Trend Micro, qui ont détaillé l’ampleur croissante des modèles de cybercriminalité en tant que service, qui ont commencé avec les ransomwares et se répercutent sur d’autres domaines de l’économie souterraine.

C’est un problème, a déclaré Stefano De Blasi, chercheur sur les menaces de Digital Shadows, car si le modèle ZDaaS est adopté avec enthousiasme – et il n’y a aucune raison pour qu’il ne le soit pas – il y aura beaucoup plus d’acteurs de la menace motivés financièrement avec des outils dangereux dans leurs poches arrière, causant un problème encore plus grave pour les défenseurs.

« L’enquête de l’équipe sur la communauté cybercriminel active autour des vulnérabilités a également brossé le tableau d’un environnement éclatant, diversifié et bien organisé d’acteurs de la menace avec des motivations et des capacités variables », a déclaré De Blasi. « Le marché zero-day est fascinant en raison de la présence d’acteurs de premier plan, de développeurs sophistiqués et de fournisseurs compétents. »

Cependant, ce n’était probablement que la pointe de l’iceberg, a-t-il déclaré. « La majeure partie de cet environnement se caractérise par un degré élevé de coopération et de partage des ressources entre les cybercriminels peu qualifiés. Les vulnérabilités plus anciennes, les outils d’analyse des vulnérabilités et les codes de preuve de concept constituent la base de ce marché complexe. »

En effet, au quotidien, les recherches de l’équipe Digital Shadows ont révélé que les vulnérabilités plus anciennes et plus négligées sont toujours très précieuses pour les cybercriminels car elles offrent un moyen peu coûteux et efficace d’entrer dans les environnements des victimes et peuvent être exploitées par ceux qui ont des compétences inférieures.

Plus tôt en 2021, l’agence américaine CISA a révélé que certaines des vulnérabilités les plus exploitées étaient très anciennes, en soulignant une, CVE-2012-0158, un bogue Microsoft qui approche de son 10e « anniversaire ».

Selon De Blasi, ces facteurs se combinent pour faire de la gestion efficace des correctifs un véritable casse-tête pour les équipes de sécurité, dont beaucoup, selon lui, étaient « mal préparées » à se défendre contre un « raz-de-marée » de vulnérabilités.

Un soutien de gestion médiocre, des stratégies de triage inefficaces et des pratiques de gestion des actifs incomplètes compliquent davantage l’environnement informatique enchevêtré que les équipes de sécurité sont tenues de défendre, a-t-il déclaré à Computer Weekly.

« Le paysage des menaces de vulnérabilité se caractérise par des failles récemment révélées et des bogues non corrigés négligés qui s’entremêlent souvent dans un environnement chaotique », a-t-il déclaré. « Vulnerability intelligence fournit les détails supplémentaires qui permettent à une entreprise d’adopter une approche basée sur les risques pour la correction des vulnérabilités.

« À mon avis, le point le plus important à retenir de cette recherche est que le contexte est essentiel pour éclairer les processus décisionnels. Alors que les indices de gravité peuvent donner une idée de l’importance d’une vulnérabilité, les équipes de sécurité doivent avoir accès à des informations personnalisées pour hiérarchiser les bonnes actions et planifier des stratégies d’atténuation.