L’analyse des données est éloquente : les attaques ciblant les fichiers sont de moins en moins employées au profit de solutions infectant la mémoire et les antivirus traditionnels ont fait leur temps.

SentinelOne, éditeur qui transforme la sécurité des terminaux grâce à une protection en temps réel basée sur l’apprentissage machine et l’analyse dynamique du comportement, lance son premier indice de risque des entreprises (Enterprise Risk Index, ERI).

Ce dernier met en évidence un nombre croissant d’attaques écrivant directement dans la mémoire, apportant une preuve supplémentaire que les solutions de sécurité traditionnelles statiques basées sur l’inspection des fichiers ne constituent plus un rempart suffisant contre les attaques.

Ce rapport comprend une analyse des données filtrées par plus d’un million d’agents de la plate-forme Enterprise de SentinelOne déployés dans le monde entier au cours du deuxième semestre 2016. Les conclusions reposent sur l’analyse comportementale de programmes malveillants ayant réussi à déjouer les pare-feu et contrôles du réseau pour infecter des terminaux.

« À l’heure actuelle, l’infection d’une cible n’est qu’une question de ressources. En revanche, la durée de l’intrusion des cybercriminels dans le périmètre du réseau relève de l’efficacité de la détection », précise Andy Norton, responsable de la gestion des risques pour la zone EMEA chez SentinelOne et chercheur principal pour l’Enterprise Risk Index.

« Notre analyse a essentiellement porté sur les attaques qui sont parvenues à déjouer les mécanismes traditionnels de défense pour atteindre leur cible sur le réseau, car c’est ce type de menaces qui expose les entreprises au degré de risque le plus élevé. C’est cela que nous devons mesurer, et non les attaques arrêtées au niveau de la passerelle. »

Le rapport se concentre sur les méthodes d’attaque et les divise en trois catégories de risques :

● attaques détectées dans des fichiers, en majorité associées à des documents Microsoft Word ou Adobe PDF ;

● attaques détectées au sein de fichiers exécutables (Portable Executable) traditionnels ;

● attaques détectées uniquement dans la mémoire du système, ne laissant aucune trace sur les disques.

« Le but de ce rapport n’est pas d’annoncer que Zeus, Diamond Fox ou encore Upatre sont en tête du classement des programmes malveillants », précise Andy Norton. 

« L’objectif est de donner aux entreprises des indicateurs de compromission afin de contribuer à l’identification des attaques et à l’apport de réponses adaptées. 

De plus, lorsqu’il existait une valeur de hachage, nous l’avons soumis à des référentiels de programmes malveillants afin de voir quelles autres demandes avaient été effectuées. »

Points clés issus des conclusions du rapport :

● Les attaques portant sur la mémoire représentent une menace croissante : durant la période analysée, SentinelOne a constaté une multiplication par deux de ces attaques, par comparaison avec les taux d’infection de vecteurs reposant sur des fichiers.

● Même dans les cas d’attaques ciblant les fichiers, seuls 20 % des menaces disposaient de signatures correspondantes dans les moteurs antivirus existants.

● Au niveau des États, ce n’est plus la durée de l’infection qui prime. De plus en plus furtives, les nouvelles attaques ciblent la mémoire et ne laissent aucune trace sur le système de fichiers, même si cela implique de devoir réinfecter la cible à nouveau.

● Les attaques à trois volets deviennent la norme avec des pirates informatiques qui ne comptent plus uniquement sur les fichiers .exe pour diffuser leurs programmes malveillants, mais sur des attaques hybrides qui multiplient les vecteurs d’attaque susceptibles d’être utilisés en chaîne.

« En élaborant l’Enterprise Risk Index, notre objectif est de permettre aux entreprises de bénéficier d’une meilleure visibilité des menaces qui parviennent à percer la barrière ultime de leur système de défense », explique Andy Norton. 

« Armés de ces informations, les entreprises seront non seulement en mesure d’identifier la nature des risques, mais également de se positionner par rapport à ces indicateurs et de planifier en conséquence leurs investissements et leur échéancier en matière de sécurité. »