Ligne de front des cyberattaques 2024 : menaces et contre-mesures

Les cyberattaques ne sont plus seulement un incendie de l’autre côté.

En juin 2023, Trend Micro, une importante entreprise de cybersécurité, a mené une enquête auprès du CIO Lounge, une organisation à but non lucratif spécifiée, et auprès de 305 personnes responsables de la sécurité et de la gestion des risques (chef de département ou supérieur) dans des entreprises nationales. enquête à étudier.

Dans cette enquête, lorsqu’on leur a demandé s’ils avaient subi des cyberattaques au cours des trois dernières années, 56,8 % ont répondu qu’ils en avaient subi.

Interrogés sur « les cyberattaques externes les plus coûteuses des trois dernières années », les ransomwares sont les plus cités, avec 17,4 %. Viennent ensuite la fraude par courrier électronique professionnel à 14,4 %, les attaques par déni de service (DoS, DDoS) à 8,9 %, les abus de services (achats non autorisés et utilisation non autorisée de cartes) à 6,2 % et l’utilisation des systèmes de messagerie de l’entreprise comme tremplin pour l’envoi de spams. (4,9 %), vol et divulgation d’informations confidentielles (2,0 %), falsification de sites Internet (1,3 %), utilisation des systèmes de l’entreprise comme tremplin pour intrusion dans d’autres entreprises (0,7 %), etc.

Un ransomware est un malware (virus informatique) qui infecte un PC, crypte les fichiers qui y sont stockés, les rend impossibles à ouvrir, puis exige une rançon en échange de la restauration des fichiers.

Dans le passé, il était courant que les virus soient envoyés sans discernement, mais ils sont récemment devenus plus sophistiqués, ciblant des individus ou des entreprises spécifiques, ciblant des mesures de sécurité faibles et augmentant le nombre d’attaques persistantes.

« Les menaces dans le cyberespace augmentent. Ces dernières années, diverses technologies émergentes sont apparues dans le monde. En utilisant ces technologies, les entreprises et les organisations peuvent améliorer l’efficacité de leurs opérations et fournir de nouveaux services. Cependant, les technologies émergentes ne sont pas largement utilisées ou leur L’utilisation prévue n’est pas claire, et tant ceux qui fournissent des services utilisant ces technologies que ceux qui les utilisent manquent d’alphabétisation et de maîtrise de la cybersécurité. « La vulnérabilité a tendance à être relativement faible. Les cybercriminels exploitent ces vulnérabilités pour mener des cyberattaques ».

Masato Hirako, spécialiste principal des menaces au sein du département marketing de sécurité de Trend Micro, déclare :

Cinq menaces prévues pour 2024

Alors, quel type de cyberattaques deviendra courant en 2024 ?

Trend Micro répertorie les cinq menaces suivantes prévues pour 2024.

• attaque de ver natif du cloud
• Renforcer l’ingénierie sociale avec l’IA générative
• Armer l’apprentissage automatique basé sur le cloud
• Compromission du système CI/CD de la chaîne d’approvisionnement
• Attaques sur la blockchain

Jetons un coup d’œil à chacun. La première est une cyberattaque contre l’environnement cloud. Au cours des dernières années, de nombreuses entreprises se sont tournées vers le cloud pour promouvoir la transformation numérique (DX).

Bien que le cloud soit facile à déployer, les erreurs de configuration et les erreurs sont fréquentes. On rappelle constamment aux gens l’importance de la sécurité dans les environnements cloud. Au Japon, il y a eu un certain nombre de cas dans lesquels des informations personnelles et confidentielles d’une organisation ont été divulguées en raison d’erreurs de configuration du cloud.

« Entre autres menaces liées au cloud, nous essayons d’alerter les gens sur le potentiel d’abus de technologies spécifiques utilisées dans cet environnement », explique Hirako.

C’est ce qu’on appelle un outil d’orchestration. C’est un outil qui automatise les conteneurs sur le cloud (un système qui regroupe tout le nécessaire au développement d’applications).

Des exemples représentatifs incluent Kubernetes open source développé par Google, docker-compose fourni par Docker et Amazon Elastic Container Service (Amazon ECS) fourni par AWS.

« Si un attaquant parvient à prendre le contrôle des privilèges des outils automatisés qui contrôlent l’ensemble de l’environnement, cela conduira à une propagation plus efficace des logiciels malveillants. En envoyant des logiciels malveillants à une API (interface de programmation d’application) qui n’existe pas, il est possible de provoquer une infection à grande échelle. Nous pensons qu’il existe un risque que cette méthode soit utilisée à l’avenir. » (M. Hirako)

C’est ce qu’on appelle vivre hors du cloud, et les attaquants exploitent autant que possible les outils cloud natifs qui existent dans les environnements cloud pour éviter d’être détectés par les logiciels de sécurité.

« Nous prévoyons que des outils puissants tels que les outils d’orchestration seront également utilisés à mauvais escient dans les environnements cloud », a déclaré Hirako.

Technologies liées à l’IA générative ciblées par les attaquants

Depuis la sortie de ChatGPT, l’utilisation de l’IA générative dans la cybercriminalité est devenue plus active.

Sur le marché clandestin de la cybercriminalité, il a été confirmé qu’une nouvelle section appelée « Dark AI » a été créée pour acheter et vendre des programmes malveillants spécifiques à l’IA.

Il a été révélé que « WormGPT », un outil d’IA génératif pour la cybercriminalité qui prend en charge le « phishing » et le « business email compromis (BEC), » était en cours de vente.

FBI. Centre de plaintes contre la criminalité sur Internet Selon (IC3), « l’ingénierie sociale », qui exploite les lacunes psychologiques et les erreurs comportementales des individus pour exploiter leurs informations confidentielles, s’est avérée être l’une des méthodes d’attaque les plus rentables pour les attaquants.

« Particulièrement en 2024, à l’approche de l’élection présidentielle américaine, l’IA générée sera utilisée à mauvais escient pour accroître les « opérations d’influence » politiques (diffusion de fausses informations et fuite d’informations confidentielles sur des organisations spécifiques). On s’attend à ce que cela se produise. » ‘ (M. Hirako)

L’IA générative peut être exploitée pour permettre une ingénierie sociale plus sophistiquée.

Par exemple, un attaquant saisit la voix ou l’image d’un individu spécifique dans une IA génératrice. Génère des sons et des images qui ressemblent étroitement à la personne elle-même, créant ainsi un « clonage vocal » (une technologie dans laquelle la voix d’un locuteur spécifique est imitée par un autre locuteur) et un « média synthétique ». Il est exploité à des fins d’ingénierie sociale diverses, notamment le « usurpation d’identité », le « phishing » et le « BEC ».

« À ce stade, il s’agit encore d’une farce et n’a pas été évoquée comme un incident, mais dans le cas des entreprises et des organisations, lors de la saisie des voix et des images des PDG et des dirigeants, ainsi que des informations publiées sur Les médias sociaux, dans le modèle d’apprentissage génératif de l’IA, peuvent produire des fichiers audio et vidéo qui ressemblent exactement à la réalité. Nous prévoyons que s’ils sont utilisés dans des attaques telles que l’usurpation d’identité et la fraude par courrier électronique professionnel, il sera difficile pour les destinataires de faire la distinction entre messages réels et faux. » (M. Hirako)

« L’empoisonnement des données », qui contamine les modèles d’apprentissage automatique, est également devenu une crise majeure.

L’attaquant envoie des informations frauduleuses à un grand modèle de langage (LLM), et un utilisateur utilisant l’IA générative saisit des questions telles que « Parlez-moi de XX » et « Créer XX ». De ce fait, des contenus inappropriés ou modifiés sont parfois affichés.

« L’empoisonnement des données est l’acte d’introduire de manière malveillante un contenu inapproprié dans le LLM d’une IA générative. Les utilisateurs qui utilisent ce service peuvent recevoir un résultat différent de la vérité. Les entreprises qui fournissent des services D’un autre côté, il est possible que le service lui-même aura une mauvaise réputation et le nombre d’utilisateurs diminuera, ce qui est un phénomène grave. Le côté utilisateur du service est responsable de son utilisation et le côté fournisseur est responsable de sa gestion, donc la génération AI et nous devons être conscient de la transparence et si des mesures de sécurité appropriées sont en place pour LLM lors de l’utilisation de ces technologies émergentes. » (M. Hirako)

Systèmes CI/CD et blockchain ciblés

Ces dernières années, les systèmes « Intégration continue/Livraison continue » (CI/CD) ont été utilisés dans les sites de développement agiles comme outils pour prendre en charge l’automatisation des builds et des tests dans le développement d’applications.

Cependant, ces outils très pratiques, comme les outils d’orchestration cloud, peuvent devenir des cibles faciles pour les cybercriminels. Dans ce cas, un code malveillant tel qu’une porte dérobée est chargé dans le système CI/CD au stade de la création des composants et des bibliothèques qui deviennent les parties logicielles. En conséquence, des logiciels chargés de malwares seront distribués sur le marché.

« Nous prévoyons qu’une violation de la chaîne d’approvisionnement en logiciels pourrait causer des dommages à grande échelle », a déclaré Hirako.

Il est également possible que des méthodes de chantage émergent, exigeant une rançon en écrivant illégalement sur la blockchain ou en provoquant son arrêt de fonctionnement.

La blockchain est un type de technologie de registre distribué qui offre une variété d’utilisations, des médias sociaux au commerce électronique et aux transactions d’actifs cryptographiques. Récemment, il a attiré l’attention en tant que fondation prenant en charge les technologies émergentes telles que le Metaverse et le NFT (Non-Fungible Token), et son importance pour les entreprises devrait augmenter à l’avenir.

« Un attaquant peut causer des dommages importants à une entreprise en écrivant illégalement sur la blockchain ou en empêchant son fonctionnement. En conséquence, l’attaquant peut menacer de payer une rançon s’il ne veut pas être exposé comme ayant été falsifié. . « (M. Hirako)

Trois mesures de sécurité contre les menaces pesant sur les technologies émergentes

Alors, comment les entreprises devraient-elles réagir à la menace de telles cyberattaques ? M. Hirako souligne trois points.

Le premier consiste à « renforcer la sécurité de l’environnement cloud ». Qu’il s’agisse de l’IA générative ou de la blockchain, les technologies qui consomment de grosses sommes d’argent fonctionneront dans un environnement cloud. Même si nous essayons de détecter les programmes malveillants, il n’est pas possible de détecter à l’avance que les outils d’orchestration seront utilisés à mauvais escient en utilisant uniquement des mesures conventionnelles. Nous avons donc besoin d’une technologie de sécurité qui ait une longueur d’avance.

« Surveiller les comportements suspects avec des outils légitimes tels que CSPM (Cloud Security Posture Management), qui est un outil qui surveille en permanence l’état de la configuration du cloud, et XDR (Extended Detection and Response), qui détecte les signes de cyberattaques. Nous avons besoin d’une technologie qui peut le faire. En adoptant ces technologies de pointe, il est important de renforcer la sécurité liée aux technologies émergentes. » (M. Hirako)

La seconde est de renforcer la sécurité des données. L’utilisation des données elles-mêmes augmentera à l’avenir en raison de facteurs tels que l’IA générative. Les photos que vous publiez occasionnellement sur les réseaux sociaux constituent une source idéale pour les cybercriminels qui exploitent l’IA générée pour se faire passer pour vous. La sécurité des données elle-même deviendra importante à l’avenir.

« Nous vérifions toujours les données que nous traitons. Nous ne téléchargeons pas de données sur des sites suspects. Lorsque nous utilisons des données, nous considérons que toutes les communications ne sont pas fiables, nous prenons donc des mesures de sécurité telles qu’une authentification des utilisateurs et une surveillance du réseau plus strictes qu’auparavant. C’est important pour appliquer le concept de confiance zéro. » (M. Hirako)

La troisième est la pratique de la « sécurité dès la conception », qui consiste à concevoir des systèmes et des produits d’information en tenant compte de la sécurité dès la phase de développement.

« La sécurité dès la conception est évoquée depuis longtemps, mais avec l’avènement du chat GPT et la diffusion de technologies émergentes très pratiques, même les employés autres que le personnel informatique tentent de l’utiliser dans leur propre entreprise. Je pense que les employés qui ne sont pas en charge de l’informatique ont un niveau de connaissances relativement faible en matière de sécurité, donc en sensibilisant davantage de personnes à l’idée de sécurité dès la conception, ce serait une bonne idée de conduire à l’utilisation de technologies émergentes. alors. » (M. Hirako)