La télémétrie en conditions réelles

La télémétrie unique des Nozomi Networks Labs - collectée dans des environnements OT et IoT couvrant une diversité de cas d’usages et de secteurs industriels dans 25 pays - révèle que les anomalies et les attaques du réseau représentent 38% des menaces, et la part la plus importante d’entre elles au cours de la seconde moitié de 2023. Les plus préoccupantes de ces anomalies réseau, qui peuvent indiquer l’implication d’acteurs malveillants très sophistiqués, ont augmenté de 19 % par rapport au premier semestre 2023.

Les « Scan de réseaux » figurent en tête de la liste des alertes d’anomalies et d’attaques, suivies de près par les attaques de type « TCP Flood », qui consistent à envoyer un volume important de trafic vers des systèmes, dans le but de les endommager en les mettant hors service ou en les rendant inaccessibles. Les alertes de type « TCP Flood » et « paquets anormaux » ont connu une augmentation significative, à la fois en termes de nombre total d’alertes mais aussi au niveau des moyennes par client au cours des six derniers mois. Ces dernières ont respectivement augmenté de plus de 2 fois et de 6 fois sur les 2 types d’alertes.

« Ces constats nous alertent sur le fait que les attaquants adoptent des méthodes plus sophistiquées pour cibler directement les infrastructures critiques, et pourraient ainsi être le signe d’une escalade des hostilités au niveau mondial », a déclaré Chris Grove, directeur de la stratégie de cybersécurité chez Nozomi Networks. « L’augmentation significative des anomalies suggère que les attaquants franchissent la première ligne de défense et pénètrent plus profondément qu’on ne l’aurait cru au départ, ce qui suppose un haut niveau de sophistication. Les organisations ont amélioré leur protection contre les menaces élémentaires, mais ces alertes nous indiquent que les attaquants évoluent rapidement afin de les contourner. »

Les alertes concernant les menaces liées au contrôle d’accès et d’autorisation ont progressé de 123 % par rapport à la période précédente. Dans cette catégorie, les alertes relatives aux tentatives de connexion multiples infructueuses et aux attaques par force brute ont augmenté respectivement de 71 % et de 14 %. Ces chiffres soulignent la persistance des difficultés liées aux tentatives d’accès non autorisées. La gestion des identités et des accès et les enjeux liés aux mots de passe des utilisateurs persistent dans l’OT.

Voici la liste des principales menaces critiques détectées dans les environnements réels au cours des six derniers mois :

Anomalies et attaques du réseau - 38% de toutes les alertes
Problèmes d’authentification et de mot de passe - 19 % des alertes
Contrôle d’accès et autorisation - 10 % des alertes
Menaces spécifiques aux technologies opérationnelles (OT) - 7% des alertes
Comportement suspect ou inattendu du réseau - 6% des alertes

Vulnérabilités ICS

Face à ce pic d’anomalies dans les réseaux, Nozomi Networks Labs a dressé la liste des secteurs d’activités qui devraient être en état d’alerte maximale, sur la base d’une analyse de tous les avis de sécurité ICS (Industrial Control Systems) publiés par la CISA (Certified Information Systems Auditor) au cours des six derniers mois. L’industrie manufacturière est en tête de liste, le nombre de vulnérabilités et d’expositions communes (CVE) dans ce secteur s’élevant à 621, soit une augmentation alarmante de 230 % par rapport à la période précédente. L’industrie manufacturière, l’énergie et le traitement des eaux usées demeurent les secteurs les plus vulnérables pour la troisième période consécutive.

Le nombre total de vulnérabilités signalées a toutefois diminué de 46 % dans le secteur de l’énergie et a baissé de 16 % dans le secteur du traitement des eaux usées. Les secteurs des locaux commerciaux et des communications sont entrés dans le top 5, remplaçant les secteurs de l’agroalimentaire et des produits chimiques (qui ont tous deux quitté le top 10). Il est à noter que les secteurs des soins de santé et de la santé publique, des installations gouvernementales, des systèmes de transport et des services d’urgence figurent tous dans le top 10.

Entre juillet et décembre 2023, la CISA a publié 196 nouveaux avis ICS couvrant 885 vulnérabilités et expositions communes (CVE), soit une augmentation de 38 % par rapport au semestre précédent. 74 fournisseurs ont été touchés, soit une augmentation de 19 % par rapport au rapport précédent. Enfin, les vulnérabilités « Out-of-Bounds Read » et « Out-of-Bounds Write » sont restées en tête des « Common Weakness Enumeration » (CWE) pour le deuxième rapport consécutif. Elles sont susceptibles de donner lieu à plusieurs attaques différentes, notamment des attaques par dépassement de mémoire tampon (Buffer overflow).

Données issues des honeypots IoT

Les botnets IoT malveillants restent actifs cette année. En effet, l’analyse par les Nozomi Networks Labs d’une multitude de données sur les activités malveillantes contre les appareils IoT montre que les botnets continuent à utiliser des identifiants par défaut pour tenter d’accéder aux équipements IoT.

De juillet à décembre 2023, les honeypots de Nozomi Networks ont détecté :

Une moyenne de 712 attaques uniques par jour (soit une baisse de 12 % par rapport à la moyenne quotidienne observée au cours de la période précédente) - le nombre d’attaques le plus élevé étant de 1,860 le 6 octobre.
Les adresses IP des principaux attaquants étaient associées à la Chine, aux États-Unis, à la Corée du Sud, à l’Inde et à Taïwan.
Les attaques par force brute restent une technique populaire pour obtenir un accès au système - les données d’identification par défaut sont l’un des principaux moyens utilisés par les attaquants pour accéder à l’IoT. L’exécution de code à distance (RCE) reste également une technique populaire - fréquemment utilisée dans les attaques ciblées, ainsi que dans la diffusion de divers types de logiciels malveillants.