Le rapport résume les résultats de milliers de tests effectués par les experts de l'équipe Mandiant Security Validation. Les tests consistaient en des attaques réelles, des comportements malveillants spécifiques et des techniques et tactiques attribuées aux acteurs, exécutés dans des environnements de production au niveau de l'entreprise représentant 11 secteurs d'activité, contre 123 technologies de sécurité leaders sur le marché, notamment des solutions de réseau, de courrier électronique, de points terminaux et de cloud computing. En outre, le rapport comprend des conseils pour aider les organisations à s'assurer que leurs contrôles de sécurité fonctionnent comme prévu en mettant en œuvre une stratégie qui comprend une validation continue de la sécurité.
« Toute organisation veut des données fiables qui lui indiquent si ses investissements en matière de sécurité lui apportent une réelle valeur et la protègent pour qu'elle ne devienne pas la prochaine grande cyberattaque », a déclaré Chris Key, vice-président senior de Mandiant Security Validation. « Nos recherches montrent que si la majorité des entreprises pensent qu'elles sont protégées, la vérité est que le plus souvent, elles sont exposées. En utilisant la validation de sécurité automatisée intégrée aux dernières informations sur les menaces et à l'expertise de première ligne, nous pouvons aider les clients à valider la santé de leur infrastructure en effectuant des tests contre les menaces les plus susceptibles de cibler leur organisation. Cette combinaison est non seulement une mesure défensive puissante, mais elle aide également les entreprises à prioriser les investissements là où ils auront le plus d'impact ».
Un aperçu des défis en matière d'efficacité de la sécurité
Lors des tests, 53 % des attaques ont réussi à s'infiltrer dans des environnements sans être détectées. 26 % des attaques ont réussi à s'infiltrer dans des environnements, mais ont été détectées, tandis que 33 % des attaques ont été empêchées par des outils de sécurité. Des alertes ont été générées pour seulement 9 % des attaques, ce qui montre que la plupart des organisations et leurs équipes de sécurité n'ont pas la visibilité nécessaire sur les menaces graves, même lorsqu'elles utilisent des plateformes centrales SIEM, SOAR et d'analyse.
En menant son analyse, l'équipe de Mandiant Security Validation a observé que les raisons les plus courantes d'une mauvaise optimisation des outils de sécurité des organisations sont :
- déployer des configurations par défaut prêtes à l'emploi ;
- manque de ressources pour la mise au point et le réglage post-déploiement ;
- les événements liés à la sécurité n'arrivent pas jusqu'au SIEM ;
- incapacité à imposer des tests de contrôle ;
- changements ou dérives inattendus dans l'infrastructure sous-jacente.
Le rapport examine également les techniques et tactiques utilisées par les attaquants et décrit les principaux défis les plus couramment découverts dans les environnements d'entreprise grâce à la validation de la sécurité et à la réalisation de tests :
- la reconnaissance : en testant le trafic réseau, les organisations ont indiqué que seulement 4 % des activités de reconnaissance ont généré une alerte ;
- infiltrations et rançongiciels : dans 68 % des cas, les organisations ont déclaré que leurs contrôles n'avaient pas empêché ou détecté la détonation dans leur environnement ;
- fuites des politiques stratégiques : dans 65 % des cas, les environnements de sécurité n'ont pas été en mesure de prévenir ou de détecter les approches testées ;
- transfert de fichiers malveillants : dans 48 % des cas, les contrôles en place n'ont pas permis d'empêcher ou de détecter la transmission et le mouvement de fichiers malveillants ;
- commande et contrôle : 97 % des comportements exécutés n'avaient pas d'alerte correspondante générée dans le SIEM ;
- exfiltration des données : les techniques et tactiques d'exfiltration ont été couronnées de succès dans 67 % des cas lors des essais initiaux ;
- mouvement latéral : 54 % des techniques et tactiques utilisées pour tester le mouvement latéral ont été oubliées.
Le rapport de Mandiant Security offre des exemples concrets qui démontrent l'impact négatif que ces écarts de performance ont causé dans divers secteurs industriels. « Qu'elles s'en rendent compte ou non, les organisations de tous les secteurs doivent combattre la réalité alarmante qui est révélée dans notre rapport sur l'efficacité de la sécurité », a poursuivi Key. « La seule façon éprouvée d'y parvenir est la validation continue des contrôles de sécurité contre les menaces nouvelles et existantes, grâce à une technologie qui automatise la mesure de l'efficacité de la sécurité et fournit des données sur l'efficacité des résultats mesurés. Notre rapport fournit des indications sur la manière exacte de procéder ».
source : Fireeye
Et vous ?
Quel est votre avis sur les conclusions de ce rapport ?
Voir aussi :
FireEye détecte un groupe de pirates baptisé APT33 et qui serait lié à l'État iranien, il ciblerait les entreprises de l'énergie et de l'aviation
Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage, d'une société de renseignement de crédit
L'Iran recrute des talents en ligne pour mener des opérations de cyberattaques rapides, dans le but de répondre aux décisions politiques