Le nouveau rapport sur les menaces du McAfee Labs analyse les défis majeurs associés au partage d’informations sur les menaces (Threat Intelligence Sharing) et passe en revue les menaces qui ont émergé en 2016.
- Le partage de renseignements sur les menaces fait face à de nombreux challenges, tels que le volume de données à traiter, la validation de l’information, la qualité des renseignements, la vitesse de traitement et la corrélation des éléments.
- Les menaces du dernier trimestre 2016 : 176 nouvelles cyber-menaces détectées chaque minute, soit près de trois par seconde | Augmentation de 88 % des échantillons de ransomware, malgré le déclin de l’activité des familles de ransomware Locky et CryptoWall | Nouveaux échantillons de malwares ciblant Mac OS en augmentation de 245 %.
- Les malwares sur l’année 2016 : Malwares mobiles en hausse de 99 % | Malwares en progression de 24 %, avec 638 millions d’échantillons identifiés | Croissance de 744 % du nombre d’échantillons ciblant Mac OS.
McAfee publie les résultats de son nouveau rapport sur les cyber-menaces. Intitulé McAfee Labs Threats Report : April 2017, ce dernier détaille les défis liés à l’implémentation du partage de renseignements sur les menaces (Threat Intelligence Sharing), analyse l’architecture et le fonctionnement des botnets Mirai, évalue les principales attaques répertoriées sur le marché, et révèle les tendances de croissance des malwares, ransomwares, malwares mobiles et autres menaces au cours du dernier trimestre 2016.
La prolifération du botnet Mirai
Au quatrième trimestre 2016, le botnet Mirai était au cœur de l’attaque DDoS contre Dyn, fournisseur de services DNS. La particularité de Mirai réside dans sa capacité à détecter et à infecter les périphériques de l’Internet des Objets (IoT) mal sécurisés pour les transformer en bots, permettant de créer des vecteurs d’attaques.
La divulgation du code source de Mirai a entraîné une prolifération de bots dérivés, bien que la plupart d’entre eux aient été conçus par des ‘script kiddies’ (hackers néophytes) et soient relativement limités dans leur impact. Mais la publication du code source a également entraîné de nouvelles offres de « DDoS-as-a-Service » basées sur Mirai, qui permettent aux attaquants peu instruits d’exécuter facilement des attaques DDoS en s’appuyant sur des périphériques IoT mal protégés.
Sur le marché de la cybercriminalité, les attaques DDoS basées sur le botnet Mirai sont aujourd’hui disponibles en tant que service à la journée pour un prix variant de 45 à 7 000 euros.
McAfee Labs estime que 2,5 millions d’objets connectés ont été infectés par Mirai à la fin du quatrième trimestre 2016, avec environ 5 adresses IP de périphériques IoT transformés en botnets chaque minute.
Le partage de renseignements sur les menaces
Le rapport de McAfee Labs passe en revue les pratiques et les modèles du partage d’informations sur les menaces. Il détaille également les principaux défis que l’industrie doit aujourd’hui relever pour passer à l’étape suivante en matière d’implémentation du partage des renseignements, à savoir :
- Le volume des alertes – Trop de données sur les menaces nuit aux efforts de tri, de traitement et de remédiation des équipes sur les incidents de sécurité prioritaires.
- La validation des informations – Les sources légitimes peuvent être détournées pour un usage malveillant si elles ne sont pas correctement gérées. Ceci pourrait notamment permettre aux attaquants de déposer de faux rapports de menaces pour induire en erreur ou surcharger les systèmes de renseignements.
- La qualité des renseignements – Si les fournisseurs de solutions de sécurité se concentrent uniquement sur la collecte et le partage de plus en plus de données sans les classifier, l’information risque d’être dupliquée et de nuire aux efforts et à l’efficacité des mesures de défense. Les capteurs doivent offrir des informations plus riches pour aider à identifier les principaux éléments structurels d’attaques persistantes.
- La vitesse – Les sondes et les systèmes de sécurité doivent partager les informations sur les menaces en temps quasi réel pour permettre aux équipes de faire face aux attaques. Néanmoins, même les renseignements tardifs sont précieux, notamment pour une meilleure compréhension de l’attaque ainsi que pour la mise en œuvre du processus de nettoyage.
- La corrélation – Afin de tirer des renseignements des données et de les transformer en connaissances qui guident les équipes dans leurs opérations de sécurité, il est nécessaire d’identifier les tendances pertinentes et les indicateurs clés parmi l’intégralité des données sur les menaces.
Ainsi, pour franchir une nouvelle étape dans la manière de partager les renseignements et de renforcer leur efficacité, McAfee Labs suggère de concentrer les efforts sur trois domaines :
- Le tri et la priorisation. Simplifier le tri des événements et fournir un meilleur environnement aux professionnels de la sécurité pour investiguer les menaces prioritaires.
- La corrélation des indicateurs. Établir des relations entre les indicateurs de compromission afin de mettre en évidence les corrélations entre différentes attaques.
- De meilleurs modèles de partage. Améliorer le partage des renseignements sur les menaces entre les produits des éditeurs de solutions de sécurité.
« Face aux cyber risques, la collaboration des acteurs de la sécurité est primordiale. Elle permettra de faire pencher la balance en faveur de la défense. C’est pourquoi il est crucial de relever les défis existants afin d’assurer l’efficacité des équipes de cyber-sécurité à travers l’automatisation de la détection et l’orchestration des réponses aux incidents », précise Fabien Rech, Directeur Général France de McAfee.
Statistiques sur les menaces du 4ème trimestre 2016
Sur cette période, le réseau Global Threat Intelligence du McAfee Labs a enregistré des tendances remarquables dans la croissance des cyber-menaces et des incidents d’attaques :
- Croissance des malwares. La croissance de nouveaux échantillons de malwares a ralenti de 17 %, tandis que le nombre de malwares a lui augmenté de 24 % en 2016 pour atteindre 638 millions d’échantillons au total.
- Malware mobile. Le volume des malwares mobiles a augmenté de 99 % en 2016 tandis que le nombre de nouveaux échantillons a diminué de 17 %.
- Ransomware. Malgré le fait que le nombre total d’échantillons ait connu une hausse de 88 % sur l’année dernière, les nouveaux échantillons de ransomware ont chuté de 71 % au 4ème trimestre, principalement en raison d’une baisse des détections génériques de ransomware, ainsi que suite à une diminution de l’activité de Locky et de CryptoWall.
- Malware Mac OS. Bien qu’ils soient toujours moins omniprésents que les menaces Windows, les nouveaux échantillons de malwares ciblant les environnements Mac OS ont augmenté de 245 % au quatrième trimestre en raison du regroupement des menaces adware. Sur 2016, le nombre total des malwares ciblant Mac OS a augmenté de 744 %.
- Spam botnets. Les messages spam issus des 10 botnets les plus actifs ont chuté de 24 % au quatrième trimestre pour atteindre 181 millions d’emails. En 2016, ils ont généré 934 millions de messages spam.
- Incidents de sécurité signalés. McAfee a analysé 197 incidents de sécurité publiquement divulgués au cours du dernier trimestre 2016, soit 974 incidents de sécurité révélés au cours de l’année dernière. Les incidents de sécurité sont des événements qui compromettent l’intégrité, la confidentialité et/ou la disponibilité des informations. Certains de ces incidents sont notamment des fuites des données.
- Cyberattaques contre le secteur public. Le secteur public a connu le plus grand nombre d’incidents, ce qui pourrait être, à la fois, une conséquence des réglementations plus strictes concernant la signalisation des incidents, mais aussi le fruit d’une augmentation du nombre d’attaques autour des élections américaines, principalement des incidents relatifs aux bases de données électorales et des atteintes à l’intégrité des sites électoraux.