La nouvelle norme : Prévisions 2020 de Trend Micro en matière de sécurité

Les attaquants tireront parti des correctifs incomplets et bâclés.

Les administrateurs système font face à une situation doublement difficile : assurer la rapidité, ainsi que la qualité des correctifs déployés. Des correctifs incomplets ou défectueux peuvent affecter et interrompre des systèmes critiques, mais leur application tardive peut exposer les systèmes aux menaces. Des cas précédents ont démontré que les correctifs incomplets peuvent être contournés pour exploiter la vulnérabilité que le correctif essaie de réparer. Les attaquants miseront également sur le délai de correction, à savoir la fenêtre de vulnérabilité entre le moment où un défaut dans un composant open source est corrigé et le moment où son correctif est appliqué au logiciel qui l'utilise.

Les systèmes bancaires seront visés, avec des malware destinés à l'Open Banking et aux distributeurs automatiques.

Les malware mobiles ciblant les systèmes bancaires et de paiement en ligne seront plus actifs : en effet, les paiements en ligne mobiles augmentent en Europe, suite à la Directive sur les services de paiement 2 (DSP 2) de l'Union européenne (UE). La mise en application de la Directive aura des implications en matière de cybersécurité pour le secteur bancaire, qu'il s'agisse de défauts dans les interfaces de programmation d'application (API) ou de nouveaux méthodes de phishing.

Au niveau de l'économie souterraine, la commercialisation de malware pour distributeur automatique gagnera du terrain. Nous prévoyons que les familles de malware destinées aux distributeurs automatiques se disputeront la domination du marché. Elles essaieront de se surpasser mutuellement, en termes de fonctionnalités et de prix. Par exemple, les variantes Cutlet Maker, Hello World et WinPot sont déjà vendues dans l'économie souterraine.

Les deepfakes seront la nouvelle frontière en matière de fraude d'entreprise.

L'utilisation de deepfakes (des contrefaçons d'images, de vidéos ou de son basées sur l'IA) évoluera de plus en plus, passant de la création de fausses vidéos pornographiques mettant en scène des célébrités à la manipulation des entreprises et de leurs procédures, par exemple pour pousser les employés à transférer des fonds ou prendre des décisions essentielles. En voici un exemple : la fausse voix, générée par IA, du PDG d'une entreprise du secteur des énergies a été utilisée pour détourner 243 000 USD à l'entreprise. La technologie sera un nouvel ajout à l'arsenal des cybercriminels et marquera une évolution par rapport aux usurpations d'identité par email (BEC) traditionnelles. Les cadres dirigeants seront les principales cibles de ce type de fraude, car ils souvent présents dans des appels, des conférences, des apparitions dans les médias et des vidéos en ligne.

Les attaquants miseront sur les failles vulnérables aux vers et les bugs de désérialisation.

D'autres tentatives d'exploitation de vulnérabilités critiques et graves comme BlueKeep (vulnérable aux vers), seront divulguées. Des protocoles couramment utilisés, comme Server Message Block (SMB) et Remote Desktop Protocol (RDP), seront utilisés pour compromettre des systèmes vulnérables. Le RDP est déjà un vecteur courant pour les ransomware.

Les failles et faiblesses impliquant la désérialisation de données non fiables seront une préoccupation majeure, en particulier dans la sécurité des applications d'entreprise. Les menaces qui exploitent cette classe de vulnérabilités peuvent modifier les données considérées comme protégées des modifications, et permettre l'exécution d'un code contrôlé par l'attaquant. Au lieu de trouver et d'enchaîner plusieurs vulnérabilités pour exécuter du code malveillant, les attaquants exploiteront de plus en plus les bugs de désérialisation pour obtenir plus facilement le contrôle des systèmes, même dans les environnements complexes.

Les cybercriminels se concentreront sur les objets connectés à des fins d'espionnage et d'extorsion.

L'apprentissage automatique (ML, machine learning) et l'intelligence artificielle (IA) seront utilisés à mauvais escient pour écouter des appareils connectés, comme des smart TV et des enceintes, afin d'intercepter des conversations personnelles et commerciales pouvant favoriser l'extorsion ou l'espionnage industriel.

Quant aux autres moyens de monétiser les attaques d'IoT, les cybercriminels doivent encore trouver un modèle commercial évolutif pour tirer profit de la large surface d'attaque de l'Internet des objets (IoT, Internet of things). Ils continueront d'explorer des moyens de profiter davantage des attaques d'IoT, principalement grâce à l'extorsion numérique. Ces schémas seront testés sur les appareils de grande consommation pour commencer, et les machines industrielles connectées seront la cible logique suivante. Nous avons perçu cette évolution au cours de nos récentes incursions dans l'économie souterraine.

Des Botnets d'objets connectés compromis, comme des routeurs, seront davantage proposés dans l'économie souterraine, de même que l'accès à des flux de webcam et à des compteurs communiquants dont le firmware aura été modifié.

Les néo-utilisateurs de la 5G subiront l'impact en matière sécurité de la migration vers des réseaux software-defined.

La mise en place complète de la 5G en 2020 introduira de nouveaux défis : des vulnérabilités, simplement en raison du caractère nouveau de la technologie et de la non-préparation des fournisseurs face aux menaces, qui peuvent en tirer parti. Les réseaux 5G étant software-defined, des menaces découleront d'opérations logicielles vulnérables et de la technologie distribuée. Un acteur malveillant prenant le contrôle du logiciel qui gère les réseaux 5G peut pirater le réseau en lui-même. Les mises à niveau impliquant la 5G ressembleront fortement aux mises à jour des smartphones et entraîneront des vulnérabilités. En fait, la possibilité de l'exploitation des vulnérabilités de la 5G à l'aide de plateformes matérielles et logicielles économiques a déjà été démontrée.

Les infrastructures critiques subiront davantage d'attaques et d'indisponibilités de l'outil de production.

Les infrastructures critiques seront des cibles viables pour les escrocs. Les ransomware resteront l'arme de choix des acteurs malveillants, en raison de leur impact destructeur, mais nous assisterons également à d'autres cyberattaques : des Botnets créant des attaques distribuées de dénis de service (DDoS) contre des réseaux de technologie opérationnelle (OT) ; des attaques contre les systèmes de fabrication qui utilisent des services cloud ; des attaques de la chaîne d'approvisionnement où des fournisseurs tiers sont compromis et servent de tremplin pour permettre aux acteurs malveillants de cibler des secteurs critiques.

Les différents acteurs malveillants ont ciblé et exploré plusieurs sites d'énergie dans le monde entier, dans une tentative de voler les identifiants de systèmes de contrôle industriel (ICS) et de systèmes de contrôle et d'acquisition de données (SCADA). En dehors du secteur des services publics, nous anticipons des attaques sur les secteurs de la production alimentaire, du transport et de la fabrication, qui utilisent de plus en plus des applications IoT et des interfaces homme-machine (HMI).

Les vulnérabilités dans les composants de conteneur compteront parmi les principales préoccupations de sécurité pour les équipes DevOps.

L'univers des conteneurs évolue rapidement : les releases sont rapprochées, les architectures sont continuellement intégrées, et les versions logicielles sont régulièrement mises à jour. Les pratiques de sécurité traditionnelles ne pourront pas suivre le rythme. Une application peut désormais nécessiter qu'une organisation sécurise des centaines de conteneurs répartis sur plusieurs machines virtuelles, dans différentes plateformes de service cloud. Les entreprises doivent prendre en compte leur sécurité dans différents composants de l'architecture de conteneur, des conteneurs en production (par ex., Docker, CRI-O, Containerd et runC) et orchestrateurs (par ex., Kubernetes) de conteneur aux environnements de création (par ex., Jenkins).

Le Serverless deviendra une surface d'attaque compte tenu d'erreurs de configuration et de codes vulnérables.

Les plateformes sans serveur offrent une « fonction en tant que service », qui permet aux développeurs d'exécuter des codes sans que l'organisation n'ait à payer pour des serveurs ou conteneurs entiers. Les bibliothèques obsolètes, les mauvaises configurations, ainsi que les vulnérabilités connues et inconnues seront les points d'entrée des attaquants dans les applications sans serveur. L'augmentation de la visibilité du réseau, l'amélioration des processus et la meilleure documentation des flux de travail seront essentielles pour exécuter des applications sans serveur. Les environnements sans serveur peuvent également bénéficier de l'adoption du DevSecOps, où la sécurité est intégrée au processus de DevOps.

Les plateformes cloud seront victimes d'attaques par injection de code via des bibliothèques tierces.

Les attaques par injection de code, directement dans le code ou via une bibliothèque tierce, seront surtout utilisées contre les plateformes cloud. Ces attaques, du cross-site scripting aux injections SQL, seront menées pour espionner, contrôler et même modifier des fichiers et données sensibles, stockés dans le cloud. Les attaques pourront également injecter du code malveillant dans des bibliothèques tierces que les utilisateurs téléchargeront et exécuteront inconsciemment.  Les violations de données liées au cloud augmenteront, à mesure que les modèles de cloud computing de logiciel, d'infrastructure et de plateforme as-a-service (SaaS, IaaS, PaaS) sont adoptés à grande échelle. Pour éviter la compromission du cloud, les développeurs devront mener une due diligence, les fournisseurs et plateformes proposés devront être soigneusement étudiés, et la gestion de la posture de sécurité du cloud devra être améliorée.

Les attaques en 2020 et au-delà seront plus soigneusement planifiées et coordonnées. Le manque de compétences en cybersécurité et la mauvaise hygiène en matière de sécurité resteront également des facteurs importants dans le futur contexte des menaces. Les risques de compromission via les menaces avancées, les malware persistants, le phishing et les attaques zero-day peuvent être limités si des informations sur les menaces et une protection sont rapidement disponibles. La veille exploitable sur les menaces, appliquée aux processus de gestion de la sécurité et des risques, permettra aux organisations de défendre proactivement leurs environnements en identifiant les lacunes de sécurité, en éliminant les maillons faibles et en comprenant les stratégies des attaquants. Les décisionnaires et les responsables IT doivent disposer d'une visibilité globale sur leurs infrastructures en ligne. Ceci peut être confié à des des experts, comme des analystes de centre des opérations de sécurité (SOC), qui peuvent corréler leurs résultats avec des informations issues d'une veille mondiale sur les menaces. Ceci implique une visibilité au-delà de l'endpoint, et qui porte aussi sur l'email, les serveurs, les workloads cloud et les réseaux.

L'évolution permanente de l'univers de la sécurité exige de déployer un mix de techniques de défense cross-générationnelles, multicouche, interconnectées et optimisés par des mécanismes de sécurité tels que les suivants :

• Une visibilité complète. Fournit un examen hiérarchisé et optimisé des menaces, avec des outils et un savoir-faire qui corrigent l'impact et limitent les risques.
• Prévention et maîtrise efficaces des menaces. Limite automatiquement les menaces une fois qu'elles ont été visualisées et identifiées. Tire également parti d'un antimalware, de l'apprentissage automatique et de l'IA, du contrôle applicatif, de la réputation web et de techniques anti-spam.
• Détection et remédiation sous forme de service managé. Fournit un savoir-faire en sécurité qui peut mettre en relation les alertes et détection pour traquer les menaces, effectuer une analyse complète et mettre en place une remédiation immédiate grâce à des outils de veille sur les menaces optimisés.
• Monitoring comportemental. Bloque de manière proactive les malware et techniques avancés, et détecte les comportements et routines anormaux associés aux malware.
• Sécurité des endpoints. Protège les utilisateurs grâce au sandboxing, à la détection des violations et aux capacités de détection des endpoints.
• Détection et prévention des intrusions. Enraye le trafic réseau suspect, comme les communications command-and-control (C&C) et l'exfiltration des données.