Ces lacunes dans la télémétrie réduisent la visibilité indispensable sur le système d’information des entreprises, d’autant que le temps d’exposition des cyberattaquants – le délai qui s’écoule entre leur accès initial et leur détection – ne cesse de décroître, raccourcissant le laps de temps dont disposent les cyberdéfenseurs pour répondre efficacement à un incident.

« Le facteur temps est critique dans la réponse à une menace active : le délai entre la détection de l’accès initial et la neutralisation de la menace doit être le plus court possible. Plus un cyberattaquant peut progresser loin dans sa chaîne d’attaque, plus cela pose de problèmes potentiels aux cyberdéfenseurs. L’absence de données télémétriques ne fait que compliquer la remédiation, ce que la plupart des entreprises ne peuvent se permettre. C’est pourquoi une journalisation complète et précise est essentielle, mais nous constatons bien trop fréquemment que les entreprises ne disposent pas des traces indispensables à une enquête approfondie », explique John Shier, Field CTO chez Sophos.

Dans son étude, Sophos classifie les attaques dont le temps d’exécution est inférieur ou égal à cinq jours comme « rapides ». Cela représente 38 % des cas étudiés. Les attaques dites « lentes » présentent un temps d’ exécution supérieur à cinq jours, ce qui représente 62 % des cas étudiés.

Une comparaison granulaire entre ces attaques de ransomwares « rapides » et « lentes » ne fait pas apparaître une grande différence dans les outils, techniques et procédures. Les exécutables de type LOLBins (Living Off The Land Binaries) utilisés par les attaquants n’ont pas à revoir leur stratégie face au raccourcissement du temps d’exposition. Ceux-ci doivent néanmoins être conscients que la rapidité des attaques et l’absence de télémétrie risquent de brider leur temps de réponse et d’amplifier les dommages.

Les techniques, tactiques et procédures utilisées, ainsi que les programmes de type LOLbins (Living off the land binaries) sont similaires dans les deux types d’attaques, lentes ou rapides. Les attaquants utilisent les mêmes stratégies. Mais il faut être conscient que la rapidité d’exécution de l’attaque et l’absence de trace permettent d’amplifier les dommages occasionnés.

« Les cybercriminels utilisent des techniques éprouvées, et n’innovent que lorsqu’ils y sont contraints. Les attaquants n’ont pas de raison de modifier leurs techniques, tactiques et procédures si elles fonctionnent efficacement. Aussi, les entreprises n’ont donc pas à revoir radicalement leur stratégie de défense pour faire à l’accélération des attaques. Les défenses qui détectent les attaques rapides s’appliquent aussi à tout type d’ attaque. Ainsi il s’avère indispensable d’avoir une télémétrie la plus complète possible et une surveillance généralisée du système d’information. », ajoute John Shier. « La clé consiste à freiner l’attaque autant que possible : compliquer la tâche des attaquants permet de gagner un temps précieux etd’y répondre le plus rapidement possible.

« Par exemple, dans le cas d’une attaque de ransomware la mise en œuvre de protections contribue à ralentir ou empêcher l’exfiltration de données. Cette tâche se produit généralement avant la détection et représente généralement la partie la plus structurante d’une attaque. C’est ce que nous avons observé dans deux incidents liés au ransomware Cuba. Une entreprise avait souscrit à notre offre Sophos MDR, ce qui a permis de détecter l’activité malveillante et de bloquer l’attaque en quelques heures afin d’éviter l’exfiltration de données. En revanche, une autre organisation ne disposant pas de ce service a mis plusieurs semaines à détecter l’attaque après l’accès initial, alors que les cyberattaquants étaient déjà parvenus à exfiltrer 75 gigaoctets de données. Et cette organisation a fait appel à nos services de réponse à incident alors qu’elle tentait de répondre elle-même à cette attaque depuis approximativement un mois. »

L’étude Sophos Active Adversary Report for Security Practitioners s’appuie sur 232 cas de réponse aux incidents traités par Sophos dans 25 secteurs d’activité du 1er janvier 2022 au 30 juin 2023. Les entreprises ciblées se répartissent dans 34 pays sur six continents. 83 % des cas concernent des structures de moins de 1000 salariés.

L’étude Sophos Active Adversary Report for Security Practitioners fournit des informations exploitables permettant aux professionnels de la sécurité d’optimiser leur stratégie de défense.