Nous avons récemment publié le rapport de recherche sur les menaces de Cato Networks SASE. Celui-ci met en évidence les cybermenaces et les tendances basées sur plus de 1,3 trillion de flux qui ont transité par le réseau Cato SASE Cloud au cours du deuxième semestre 2022. Il souligne également les vulnérabilités les plus répandues que les auteurs de menaces ont tenté d’exploiter ainsi que l’utilisation croissante d’applications grand public pouvant représenter un risque pour l’entreprise.
Cato analyse un vaste ensemble de données pour détecter toute menace
L’une des premières observations du rapport est l’ampleur de notre référentiel de données. La convergence des réseaux et de la sécurité de Cato offre une visibilité unique à l’échelle mondiale sur les usages légitimes des réseaux d’entreprise et sur les activités malveillantes visant ces réseaux. Cela inclut les analyses de réseaux hostiles, les tentatives d’exploit et la communication de logiciels malveillants vers les serveurs.
Comme de nombreux prestataires de services de sécurité, nous collectons des informations à partir de flux de renseignements et autres ressources en matière de sécurité. Cependant, en temps que fournisseur de réseaux, nous sommes aussi en mesure d’enrichir notre compréhension des phénomènes de sécurité à l’aide de données sur le flux réseau, souvent inaccessibles aux professionnels de la sécurité. En 2022, le référentiel de Cato a été alimenté par plus de 2,1 trillion de flux réseau traversant notre backbone privé mondial, soit une augmentation d’environ 20 % des flux chaque trimestre.
Les événements, menaces et incidents de sécurité ont également augmenté proportionnellement au nombre de flux réseau. Au deuxième semestre 2022, le Cato Threat Hunting System (CTHS) a détecté 87 milliards d’événements de sécurité sur l’ensemble du Cato Cloud. Un « événement de sécurité » est tout flux réseau qui déclenche l’un des nombreux contrôles de sécurité de Cato.
Eliminate Threat Intelligence False Positives with SASE | Download the eBookLe CTHS est une extension naturelle des services de sécurité de Cato Cloud. Il se compose d’un ensemble d’algorithmes et de procédures développés par les laboratoires de recherche de Cato, qui réduisent considérablement le temps de détection de menace sur les réseaux d’entreprise. Incroyablement précis, il ne requiert aucune infrastructure supplémentaire sur le réseau du client.
Sur la base de l’apprentissage automatique et de la corrélation des données, le CTHS a établi qu’il y avait 600 000 menaces, ou flux à haut risque. Parmi elles, 71 000 étaient des incidents avérés ou des menaces de sécurité vérifiées.
Cato identifie les principales menaces et tentatives d’exploit sur le réseau
Au fil des ans, Cato a analysé les principales menaces qui affectent le réseau et les tendances n’ont pas beaucoup changé. Les cinq principaux types de menaces figurant dans le rapport actuel sont (1) balayage de réseau, avec 31,2 milliards d’événements, (2) réputation, avec 4,7 milliards d’événements, (3) violation de politiques, avec 1,3 milliards d’événements, (4) attaque d’application web, avec 623 millions d’événements et (5) scan de vulnérabilité, avec 482 millions d’événements.
D’autres types de menaces méritent d’être signalés, notamment l’exécution du code à distance (92 millions), le minage de cryptomonnaie (56 millions) et les logiciels malveillants (55 millions). Les événements liés à l’exécution du code à distance et aux logiciels malveillants ont tous deux augmentés par rapport à la période précédente, alors que les événements liés au minage ont diminué. Ce dernier peut être dû au récent déclin du secteur des cryptomonnaies lui-même, suite à l’effondrement de la bourse FTX.
Les apps cloud les plus utilisées au cours de la période de référence étaient Microsoft, Google, Apple, Amazon (AWS) et Meta (Facebook). De nombreuses applications grand public ont également été utilisées, notamment YouTube, TikTok, Spotify, Tor, Mega et BitTorrent. Ces trois dernières applications sont connues pour être fréquemment employées pour des activités malveillantes et représentent un risque potentiel pour les réseaux d’entreprise.
La vulnérabilité Log4j (CVE-2022-44228) est une découverte relativement récente qui aurait affecté plus d’un tiers de tous les serveurs web dans le monde. II n’est donc pas surprenant qu’elle continue de dominer les tentatives d’exploit avec 65 millions d’événements sur le réseau Cato Cloud. Par contre, il est surprenant de constater que deux vulnérabilités plus anciennes continuent de figurer dans la liste des cinq plus importantes tentatives d’exploit. La première est CVE-2017-9841, un bug d’exécution de code à distance datant de 2017 et la seconde est CVE-2099-2445, une vulnérabilité vieille de 14 ans, affectant certains serveurs web populaires.
Cato suit également les flux de réseau associés aux techniques de MITRE ATT&CK. Le balayage basé sur le réseau et la découverte de systèmes à distance sont en tête de liste avec 22,6 milliards et 17 milliards de flux respectivement. Les cinq techniques les plus répandues dans les entreprises sont l’hameçonnage, l’hameçonnage d’informations, le balayage, la détection de systèmes à distance et l’exploitation d’applications publiques. Connaître les techniques d’attaque les plus fréquentes sur les réseaux peut aider les entreprises à renforcer leurs systèmes de défense là où cela s’avère le plus nécessaire.
Pour des informations plus détaillées, lisez le rapport de recherche sur les menaces de Cato Network SASE pour le deuxième semestre 2022.
Etay Maor
Etay Maor est directeur principal de la stratégie de sécurité chez Cato Networks et chercheur en cybersécurité reconnu par l'industrie. Auparavant, Etay était directeur de la sécurité chez IntSights, où il dirigeait la recherche stratégique en matière de cybersécurité et les services de sécurité. Etay a également occupé des postes à responsabilité dans le domaine de la sécurité chez IBM, où il a créé et dirigé la formation à la réponse aux infractions et la recherche en matière de sécurité, ainsi que dans les laboratoires de recherche sur les cybermenaces de RSA Security, où il a dirigé des équipes de recherche et de renseignement sur les logiciels malveillants. Etay est professeur adjoint au Boston College et fait partie des comités d'appel à contribution (CFP) pour les conférences RSA et QuBits. Il est titulaire d'une licence en informatique et d'une maîtrise en lutte contre le terrorisme et le cyberterrorisme.