211service.com
2021 a battu le record d'attaques de piratage zero-day
Mme Tech | Getty
Un exploit zero-day, un moyen de lancer une cyberattaque via une vulnérabilité jusque-là inconnue, est à peu près la chose la plus précieuse qu'un pirate informatique puisse posséder. Ces exploits peuvent porter étiquettes de prix au nord de 1 million de dollars sur le marché libre.
Et cette année, les défenseurs de la cybersécurité ont attrapé le plus grand nombre jamais enregistré, selon plusieurs bases de données, chercheurs et sociétés de cybersécurité qui se sont entretenus avec MIT Technology Review. Au moins 66 jours zéro ont été trouvés en usage cette année, selon des bases de données telles que le Projet de suivi 0-day – presque le double du total pour 2020, et plus que pour toute autre année enregistrée.
Mais alors que le nombre record attire l'attention, il peut être difficile de savoir ce qu'il nous dit. Cela signifie-t-il qu'il y a plus de zero-days que jamais ? Ou les défenseurs sont-ils meilleurs pour attraper les pirates qu'ils auraient manqués auparavant ?
Une augmentation est à coup sûr ce que nous constatons, déclare Eric Doerr, vice-président de la sécurité du cloud chez Microsoft. La question intéressante est qu'est-ce que cela signifie? Le ciel tombe-t-il ? Je suis dans le camp du 'Eh bien, c'est nuancé'.
Les pirates fonctionnent à plein régime
La prolifération mondiale rapide des outils de piratage est l'un des facteurs qui contribuent au taux plus élevé de cas zéro signalés.
Des groupes puissants versent tous des tas d'argent dans les zero-days à utiliser pour eux-mêmes et ils en récoltent les fruits.
Au sommet de la chaîne alimentaire se trouvent les pirates informatiques parrainés par le gouvernement. La Chine à elle seule est soupçonnée d'être responsable de neuf jours zéro cette année, déclare Jared Semrau, directeur de la vulnérabilité et de l'exploitation de la société américaine de cybersécurité FireEye Mandiant. Les États-Unis et leurs alliés possèdent clairement certains des plus capacités de piratage sophistiquées , et on parle de plus en plus de utiliser ces outils de manière plus agressive .
Nous avons ce haut niveau d'acteurs d'espionnage sophistiqués qui fonctionnent définitivement à plein régime d'une manière que nous n'avions pas vue ces dernières années, dit Semrau.
Peu de ceux qui veulent des zero-days ont les capacités de Pékin et de Washington. La plupart des pays à la recherche d'exploits puissants n'ont pas le talent ou l'infrastructure pour les développer au niveau national, et ils les achètent donc à la place.
Il est plus facile que jamais d'acheter des zero-days à l'industrie croissante des exploits. Ce qui était autrefois prohibitif et haut de gamme est maintenant plus largement accessible.
Nous avons vu ces groupes d'État aller à Groupe ONS ou Candiru, ces services de plus en plus connus qui permettent aux pays d'échanger des ressources financières contre des capacités offensives, dit Semrau. Les Émirats arabes unis, les États-Unis et les puissances européennes et asiatiques ont tous investi de l'argent dans l'industrie de l'exploit.
Histoire connexe
Google dit qu'il est trop facile pour les pirates de trouver de nouvelles failles de sécurité Les attaquants exploitent sans cesse les mêmes types de vulnérabilités logicielles, car les entreprises manquent souvent la forêt pour les arbres.Et les cybercriminels ont également utilisé le jour zéro attaques pour gagner de l'argent ces dernières années, trouvant des failles dans les logiciels qui leur permettent d'exécuter de précieux programmes de rançongiciels.
Les acteurs motivés financièrement sont plus sophistiqués que jamais, dit Semrau. Un tiers des zero-days que nous avons suivis récemment peuvent être directement attribués à des acteurs financièrement motivés. Ils jouent donc un rôle important dans cette augmentation à laquelle je ne pense pas que beaucoup de gens attribuent le mérite.
Les cyberdéfenseurs ont un meilleur projecteur
Bien qu'il puisse y avoir un nombre croissant de personnes développant ou achetant des zero-days, le nombre record signalé n'est pas nécessairement une mauvaise chose. En fait, certains experts disent que ce pourrait être surtout de bonnes nouvelles.
Personne à qui nous avons parlé ne pense que le nombre total d'attaques zero-day a plus que doublé en si peu de temps, juste le nombre qui a été détecté. Cela suggère que les défenseurs sont de plus en plus aptes à attraper les pirates en flagrant délit.
Vous pouvez consulter les données, telles que La feuille de calcul zero-day de Google , qui retrace près d'une décennie de piratages importants qui ont été capturés dans la nature.
Un changement que la tendance peut refléter est qu'il y a plus d'argent disponible pour la défense, notamment grâce à des primes de bogues plus importantes et des récompenses proposées par les entreprises technologiques pour la découverte de nouvelles vulnérabilités zero-day. Mais il existe aussi de meilleurs outils.
Les défenseurs sont clairement passés de la capacité de détecter uniquement des attaques relativement simples à la détection de piratages plus complexes, déclare Mark Dowd, fondateur d'Azimuth Security. Je pense que cela dénote une escalade dans la capacité à détecter des attaques plus sophistiquées, dit-il.
Des groupes comme le Threat Analysis Group (TAG) de Google, l'équipe mondiale de recherche et d'analyse de Kaspersky (GReAT) et le Threat Intelligence Center (MSTIC) de Microsoft ont un d'énormes trésors de talents, de ressources et de données - à tel point, en fait, qu'ils rivalisent avec les capacités d'une agence de renseignement pour détecter et suivre les pirates informatiques adverses.
Des entreprises comme Microsoft et CrowdStrike font partie de celles qui déploient des efforts de détection à grande échelle. Alors que les anciens outils, tels que les logiciels antivirus, signifiaient moins de regards sur les activités étranges, aujourd'hui, une grande entreprise peut détecter une petite anomalie sur des millions de machines, puis la retracer jusqu'au jour zéro qui a été utilisé pour entrer.
Histoire connexe
Comment l'attaque de la Chine contre Microsoft s'est transformée en une frénésie de piratage imprudente Quelques jours avant que Microsoft ne publie un correctif pour une attaque secrète sur ses systèmes de messagerie, les pirates ont intensifié leur activité. Maintenant, les experts disent qu'une action rapide est nécessaire.
Une partie de la raison pour laquelle vous en voyez plus maintenant est que nous en trouvons plus, déclare Doerr de Microsoft. Nous sommes meilleurs pour braquer les projecteurs. Vous pouvez désormais apprendre de ce qui se passe chez tous vos clients, ce qui vous aide à devenir plus intelligent plus rapidement. Dans la mauvaise situation où vous voyez quelque chose de nouveau, cela aura un impact sur un client au lieu de 10 000.
La réalité est cependant beaucoup plus compliquée que la théorie. Plus tôt cette année, groupe de piratage multiple s ont lancé des offensives contre les serveurs de messagerie Microsoft Exchange. Ce qui a commencé comme une attaque zero-day critique est brièvement devenu encore pire dans la période suivant la disponibilité d'un correctif mais avant qu'il ne soit effectivement appliqué aux utilisateurs. Cet écart est un endroit idéal pour les pirates informatiques.
En règle générale, cependant, Doerr est sur place.
Les exploits deviennent de plus en plus difficiles et de plus en plus précieux
Même si les zero-days sont plus que jamais observés, il y a un fait sur lequel tous les experts s'accordent : ils deviennent de plus en plus difficiles et coûteux à réaliser.
De meilleures défenses et des systèmes plus complexes signifient que les pirates doivent faire plus de travail pour pénétrer une cible qu'il y a dix ans - les attaques sont plus coûteuses et nécessitent plus de ressources. La récompense, cependant, est qu'avec autant d'entreprises opérant dans le cloud, une vulnérabilité peut exposer des millions de clients à des attaques.
Il y a dix ans, quand tout se passait sur place, une grande partie des attaques ne pouvait être vue que par une seule entreprise, dit Doerr, et peu d'entreprises étaient équipées pour comprendre ce qui se passait.
Face à l'amélioration des défenses, les pirates doivent souvent lier plusieurs exploits au lieu d'en utiliser un seul. Ces chaînes d'exploitation nécessitent plus de jours zéro. Le succès à repérer ces chaînes fait également partie de la raison de la forte augmentation du nombre.
Aujourd'hui, dit Dowd, les attaquants doivent investir davantage et risquer davantage en ayant ces chaînes pour atteindre leurs objectifs.
Un signal important provient de la hausse du coût des exploits les plus précieux. Les données limitées disponibles, telles que Les prix publics zero-day de Zerodium , montre autant qu'un 1 150 % de hausse dans le coût des hacks haut de gamme au cours des trois dernières années.
Mais même si les attaques zero-day sont plus difficiles, la demande a augmenté et l'offre suit. Le ciel ne tombe peut-être pas, mais ce n'est pas non plus une journée parfaitement ensoleillée.