Le rapport Mandiant M-Trends 2022 donne un aperçu de l'évolution du paysage mondial des cybermenaces
La durée médiane de présence de l’attaquant chez sa victime continue de diminuer dans le monde, mais un nombre important de nouveaux groupes de menaces et de familles de logiciels malveillants sont apparus.
Mandiant, Inc. (NASDAQ : MNDT) a annoncé aujourd'hui les conclusions du rapport Mandiant® M-Trends® 2022, le rapport annuel qui fournit des données et des informations importantes basées sur les analyses et investigations de Mandiant sur le terrain partout sur la planète, ainsi que les informations collectées pendant les phases de rémediations de ces incidents. Le rapport 2022 - qui utilise les données collectées entre le 1er octobre 2020 et le 31 décembre 2021 - révèle que si des progrès significatifs ont été réalisés dans la détection et la réponse aux menaces, Mandiant continue de voir les adversaires innover et s'adapter pour accomplir leur mission dans les environnements de leur cible.
Le temps de présence médian dans le monde tombe à trois semaines
Selon le rapport M-Trends 2022, le temps de présence médian mondial - qui correspond au nombre de jours pendant lesquels un attaquant est présent dans l'environnement d'une cible avant d'être détecté - est passé de 24 jours en 2020 à 21 jours en 2021. En creusant davantage, le rapport note que la région APAC a connu la plus forte baisse du temps de présence médian, passant de 76 jours en 2020 à seulement 21 jours en 2021. Le temps de présence médian a également diminué dans la région EMEA, passant de 66 jours l'année précédente à 48 jours en 2021. Sur le continent américain, le temps de présence médian est resté stable à 17 jours.
En comparant la manière dont les menaces ont été détectées dans les différentes régions, le rapport a constaté qu'en EMEA et APAC, la majorité des intrusions en 2021 ont été identifiées par des tiers externes (62 % et 76 %, respectivement), soit une inversion de ce qui avait été observé en 2020. En Amérique, la détection par la source est restée constante, la plupart des intrusions étant détectées en interne par les organisations elles-mêmes (60%).
Selon le rapport, l'amélioration de la visibilité et de la réponse aux menaces par les organisations, ainsi que l'omniprésence des ransomwares - dont la durée médiane de présence est nettement inférieure à celle des intrusions non liées aux ransomwares - sont probablement les facteurs qui expliquent la réduction de la durée médiane de présence.
De nouvelles menaces apparaissent alors que la Chine intensifie ses activités d'espionnage
Mandiant continue d'élargir sa vaste base de connaissances sur les menaces grâce à des à ses investigations sur le terrain, à l'analyse des rapports publics, au partage d'informations et à d'autres méthodes de recherche propriétaires. Grâce à une collecte et une analyse approfondie des informations, les experts de Mandiant ont commencé à suivre plus de 1 100 nouveaux groupes de menaces au cours de la période couverte par le rapport M-Trends. Mandiant a également commencé à suivre 733 nouvelles familles de logiciels malveillants, dont 86 % n'étaient pas publiques.
Le rapport M-Trends 2022 fait également état d'un réalignement et d'un rééquipement des opérations de cyberespionnage de la Chine pour s'aligner sur la mise en œuvre de son 14e plan quinquennal en 2021. Le rapport prévient que les priorités nationales incluses dans le plan « signalent une augmentation prochaine du nombre d'acteurs chinois menant des tentatives d'intrusion contre la propriété intellectuelle ou d'autres préoccupations économiques d'importance stratégique, ainsi que contre les produits de l'industrie de la défense et d'autres technologies à double usage au cours des prochaines années ».
Renforcement de la posture de sécurité
Mandiant s'engage à aider toutes les organisations à rester à l'abri des cybermenaces et à renforcer la confiance dans leur préparation à la cyberdéfense. Pour soutenir cette mission, Mandiant fournit des conseils de réduction des risques tout au long du rapport, notamment pour atténuer les erreurs de configuration courantes lors de l'utilisation d'Active Directory sur site, de services de certificats, de plateformes de virtualisation et d'infrastructures basées sur le cloud. Le rapport renforce également les considérations visant à soutenir les programmes de sécurité proactifs, réitérant l'importance des initiatives de sécurité de longue date telles que la gestion des actifs, les politiques de conservation des journaux et la gestion des vulnérabilités et des correctifs.
Pour soutenir davantage les efforts de la communauté et de l'industrie, Mandiant fait continuellement correspondre ses conclusions au cadre MITRE ATT&CK, en faisant correspondre plus de 300 techniques Mandiant supplémentaires au cadre en 2021. Le rapport indique que les organisations devraient prioriser les mesures de sécurité à mettre en œuvre en fonction de la probabilité d'utilisation de techniques spécifiques lors d'une intrusion. Selon le rapport, « en examinant la prévalence de l'utilisation des techniques lors d'intrusions récentes, les organisations sont mieux équipées pour prendre des décisions de sécurité intelligentes. »
Autres points à retenir du rapport M-Trends 2022 :
- Vecteur d'infection : Pour la deuxième année consécutive, les exploits restent le vecteur d'infection initiale le plus fréquemment identifié. En fait, parmi les incidents auxquels Mandiant a répondu pendant la période de référence, 37 % ont commencé par l'exploitation d'une vulnérabilité de sécurité, par opposition au phishing, qui ne représentait que 11 %. Les compromissions de la chaîne d'approvisionnement ont augmenté de façon spectaculaire, passant de moins de 1 % en 2020 à 17 % en 2021.
- Industries cibles touchées : Les services commerciaux et professionnels et les services financiers sont les deux principales industries ciblées par les adversaires (14 %, respectivement), suivies par les soins de santé (11 %), le commerce de détail et l'hôtellerie (10 %) et la technologie et le gouvernement (tous deux à 9 %).
- Nouvelles tactiques d'extorsion et de ransomware à multiples facettes : Mandiant a observé que les auteurs d'extorsions et de ransomwares à multiples facettes utilisaient de nouvelles tactiques, techniques et procédures (TTP) pour déployer des ransomwares rapidement et efficacement dans les environnements professionnels, notant que l'utilisation généralisée de l'infrastructure de virtualisation dans les environnements d'entreprise en a fait une cible de choix pour les auteurs de ransomwares.