Vers un nouvel élan: Prévisions 2022 de Trend Micro en matière de sécurité

Les entreprises veilleront à utiliser les bases de la sécurité cloud pour défendre leurs environnements contre une multitude de menaces de sécurité cloud et pour atteindre un niveau de risque géré.

Le attaquants du cloud vont à la fois changer d'orientation et rester en place. Ils utiliserons le Shift-Left pour suivre les tendances technologiques et continueront d'utiliser des attaques éprouvées pour faire des ravages parmi les utilisateurs du cloud.

Le cloud permet aux organisations d'innover, de se développer et de fonctionner efficacement. Et à mesure que de plus en plus d'entreprises migrent vers le cloud, ce dernier devient une cible encore plus importante et rentable aux yeux des acteurs malveillants. Au cours de l'année à venir, les acteurs malveillants garderont une longueur d'avance en continuant de mener des attaques leur demandant peu d'efforts, mais générant un fort impact, et en lançant des attaques qui utiliseront les nouvelles tendances technologiques.

De plus en plus d'entreprises vont commencer à s'appuyer sur les applications et solutions de logiciel en tant que service (SaaS, software-as-a-service) en 2022 pour leurs opérations. Les acteurs malveillants continueront quant à eux d'utiliser les mêmes tactiques, techniques et procédures (TTP : tactics, techniques, procedures) pour cibler une nouvelle génération d'adoptants du SaaS. Ils continueront à utiliser les e-mails de phishing pour voler des informations d'identification, extraire illégalement des crypto-monnaies et abuser des mauvaises configurations dans les environnements cloud. En plus de cela, ils utiliseront les principes du mouvement de Shift-Left dans leurs attaques pour cibler les outils DevOps et les environnements de développement intégrés (IDE) cloud.

Pour assurer la sécurité des environnements cloud, les entreprises doivent appliquer les bases de la sécurité cloud, qui incluent la compréhension et l'application du modèle de responsabilité partagée, l'utilisation d'un cadre Well-Architected Framework, et l'apport d'un bon niveau d'expertise.

Pour rester protégées contre l'évolution des menaces de ransomware, les entreprises s'attacheront à protéger leurs serveurs avec des politiques strictes de renforcement des serveurs et de contrôle applicatif.

Les serveurs seront le principal terrain de jeu des ransomware.

Le ransomware reste une cybermenace majeure en raison de sa capacité à évoluer en permanence. À partir des endpoints en tant que principaux points d'entrée, les opérateurs de ransomware se concentrent désormais sur les services exposés et les compromis côté service. Bientôt, le travail hybride deviendra l'installation de travail préférée des organisations, permettant aux employés de travailler de manière flexible à la maison et au bureau. En raison de la surface d'attaque accrue, il sera plus difficile pour les équipes de sécurité de repérer et d'arrêter immédiatement les attaques de ransomware.

Sur la base des incidents de sécurité que nous avons observés cette année, nous nous attendons à voir deux mouvements majeurs dans la manière dont les attaques de ransomware seront menées au cours de l'année à venir. Les opérateurs de ransomware lanceront des attaques de plus en plus ciblées et très importantes. Les TTP resteront probablement les mêmes, mais ils seront utilisés pour viser des cibles plus complexes, qui seront peut-être plus importantes que les cibles principales des années précédentes. Dans le même temps, les opérateurs de ransomware lanceront des attaques qui utiliseront des méthodes d'extorsion plus modernes et sophistiquées. Concernant les principaux moyens d'extorsion, le refus d'accès aux données critiques soulèvera moins d'intérêt, au profit des fuites et de l'exploitation des données volées pour être transformées en arme.

Pour protéger les systèmes et environnements critiques contre les attaques de ransomware, les entreprises doivent appliquer les meilleures pratiques pour assurer la sécurité des serveurs et respecter les directives de renforcement des serveurs pour tous les systèmes d'exploitation et applications pertinents.

Les équipes de sécurité devront être bien armées pour lutter contre les acteurs malveillants déterminés à réutiliser les anciennes vulnérabilités et à exploiter les nouvelles en quelques jours, voire quelques heures.

Devenues plus vigilantes suite au nombre record d'exploits zero-day détectés en 2021, les entreprises seront en alerte maximale pour détecter les failles potentielles dans les correctifs, car un nombre supérieur de vulnérabilités devrait être découvert.

Nous prévoyons une augmentation du nombre d'exploits zero-day détectés dans la nature au cours de l'année à venir, dépassant celui de 2021. Les acteurs malveillants tenteront de doubler les équipes de sécurité en guettant les correctifs publiés en 2022 et en les utilisant pour se concentrer sur les vulnérabilités publiées récemment, au lieu de rechercher les points faibles dans les infrastructures IT elles-mêmes. Cela leur permettra de tirer parti plus efficacement des nouvelles failles découvertes et d'accélérer le déploiement de leurs exploits. Cela souligne combien il est nécessaire pour les entreprises de se concentrer sur les correctifs.

Les vulnérabilités qui ont été divulguées au cours des dernières années ne perdront pas de leur attrait auprès des cybercriminels, qui continueront à les réutiliser. Nous nous attendons à ce que des acteurs malveillants envisagent de lancer davantage d'attaques mixtes, qui associeront des vulnérabilités d'escalade de privilèges à d'autres failles divulguées.

Pour aider à freiner ces menaces qui émergeront sans doute suite à l'augmentation des vulnérabilités connues, les entreprises doivent veiller à que leurs équipes de sécurité IT soient bien équipées pour gérer correctement les actifs, appliquer des correctifs virtuels et agir sur les mises à jour de sécurité des fournisseurs. Les adoptants du cloud, quant à eux, doivent se préparer à l'aide d'une sécurité cloud-native qui peut mieux protéger les bibliothèques sur lesquelles sont construits leurs projets basés sur le cloud.

Les acteurs malveillants continueront de considérer les petites entreprises comme des proies faciles, mais les PME utilisant fortement le cloud seront préparées grâce à des mesures de sécurité qui peuvent repousser les attaques contre les services.

Alors que tous les regards sont tournés vers les ransomware, les attaques traditionnelles sur les services et les attaques as-a-service auront le temps d'innover avec des outils plus sophistiqués.

Sur le marché clandestin, nous nous attendons à voir des outils de malware plus abordables et avancés se déplacer en aval vers le marché des services de malware, qui permettra aux affiliés aux ransomware-as-a-service (RaaS) et aux novices cybercriminels de mettre à niveau leur arsenal.

La nature modulaire de ces outils banalisés est telle que de nombreux acteurs malveillants ont simplement besoin de développer des malware personnalisés pour gérer leurs partenaires lors de la mise en place de leurs attaques. Parmi les services de malware de plus en plus sophistiqués que nous nous attendons à voir en 2022, on peut citer un nouveau botnet-as-a-service, similaire au botnet ZeuS, qui sera capable de compromettre et de contrôler des plates-formes basées sur le cloud et l'Internet des objets (IoT).

Davantage d'attaques sur les services seront également lancées contre les petites et moyennes entreprises (PME), que les acteurs malveillants considéreront comme des cibles moins visibles et moins défendues. Leurs ressources financières limitées conduiront les PME à prioriser la protection de leurs endpoints et de leurs réseaux. Cependant, les PME dont les opérations critiques reposent fortement sur le cloud seront probablement vigilantes quant aux risques que les attaques contre les services font peser sur leur entreprise, et prendront des mesures pour renforcer leur sécurité.

Les entreprises s'efforceront d'améliorer la surveillance et la visibilité du réseau pour protéger leurs environnements IT contre les menaces résultant de l'adoption de l'IoT.

Les informations associées à l'IoT deviendront un service très demandé sur le marché clandestin, incitant les entreprises à penser aux failles de sécurité qui pourraient conduire à des fuites ou à des falsifications de données.

Alors que de plus en plus d'organisations accélèrent leur transformation numérique, nous prévoyons que le passage au travail hybride et l'utilisation de la connexion à distance étendront les surfaces d'attaque des entreprises dont les employés utiliseront des appareils connectés en 2022. Ces entreprises seront aux prises avec des acteurs malveillants cherchant à tirer parti des limites de calcul des appareils connectés à l'IoT, les incitant à utiliser des solutions de sécurité qui peuvent les aider à suivre leur activité réseau, telles que les systèmes de prévention et de détection des intrusions (IPS/IDS) et les outils de détection de réseau et de réponse (NDR).

En 2022, les informations associées aux appareils connectés à l'IoT seront la prochaine frontière pour les cybercriminels, qui devraient explorer plusieurs façons de profiter des données de voitures intelligentes vendues par les constructeurs automobiles à leur clientèle commerciale. C'est une activité qui devrait valoir jusqu'à 750 milliards USD d'ici 2030. Nous prévoyons que cela créera une demande sur le marché clandestin pour des filtres de données illégaux, pouvant bloquer le reporting de données à risque, ou pour l'embauche de criminels capables d'effacer les données des dossiers de conduite d'une voiture intelligente.

Pour protéger ces données face au risque de compromission, l'industrie automobile et les fournisseurs de sécurité devront travailler de concert en 2022 et progresser dans le développement d'un système d'exploitation pouvant devenir la norme de l'industrie pour toutes les voitures connectées, ce qui, à son tour, aidera à standardiser leurs fonctions de sécurité.

Alors qu'elles se concentrent sur la solidité de leurs chaînes d'approvisionnement via la diversification et la régionalisation, les entreprises mettront en œuvre des principes de confiance zéro pour sécuriser leurs environnements.

Les chaînes d'approvisionnement mondiales seront dans la ligne de mire des techniques d'extorsion quadruple, à mesure que les entreprises feront évoluer leurs opérations de chaîne d'approvisionnement.

Le début de la pandémie a montré à quel point les chaînes d'approvisionnement étaient vulnérables. Les cybercriminels ont rapidement remarqué la perturbation de la chaîne d'approvisionnement mondiale et profité des failles de sécurité qui en ont résulté. Cette année, nous avons vu des attaques interconnectées de ransomware et de chaîne d'approvisionnement contre des victimes très médiatisées, notamment la plateforme de gestion IT Kaseya.

En 2022, les courtiers d'accès as-a-service (AaaS) se concentreront davantage sur les chaînes d'approvisionnement vulnérables. Une fois les environnements des entreprises compromis, les courtiers AaaS peuvent vendre des informations d'identification critiques à des cybercriminels. Nous assisterons également à une montée en flèche du modèle d'extorsion quadruple, qui sera utilisé pour forcer les victimes à payer : détenir les données essentielles d'une victime en otage contre une rançon, menacer de divulguer les données et la violation, menacer de poursuivre les clients de la victime, et attaquer la chaîne d'approvisionnement ou les fournisseurs partenaires de la victime.

Au fur et à mesure que les entreprises investissent dans leurs processus de développement de la chaîne d'approvisionnement via la diversification, elles peuvent également ouvrir involontairement leurs portes aux risques de sécurité. Ces nouveaux fournisseurs peuvent proposer des applications et des services cloud avec des politiques de sécurité qui peuvent ne pas être entièrement à la hauteur, ou qui peuvent ne pas donner la priorité à la sécurité cloud.

Pour assurer leur sécurité à mesure qu'elles avancent dans leur stratégie de résilience de la chaîne d'approvisionnement, les entreprises doivent appliquer l'approche zéro confiance dans leurs pratiques de sécurité.