Une fois qu'un hacker a recueilli suffisamment d'informations sur sa cible, il choisit un ou plusieurs vecteurs d'attaque pour commencer son intrusion dans votre espace. Un vecteur d'attaque est un moyen pour un pirate d'obtenir un accès non autorisé à vos systèmes et informations. Les vecteurs d'attaque vont de l'élémentaire au très technique, mais il faut garder à l'esprit que, pour les cybercriminels, les cibles sont souvent choisies en évaluant le coût par rapport au ROI.
Les hackers tiennent compte de tous les facteurs, de la puissance de traitement au délai de récupération. En général, ils se dirigent vers la solution offrant le moins de résistance, c'est pourquoi il est si important de considérer tous les points d'entrée possibles le long de la surface d'attaque (tous les points où vous êtes susceptible d'être attaqué) et de renforcer votre sécurité en conséquence.
Les vecteurs d'attaque les plus courants sont les suivants :
- Identifiants volés ou avec un niveau de sécurité faible
- Services d'accès à distance (RDP, SSH, VPN)
- Employés négligents
- Attaques internes
- Chiffrement faible ou inexistant
- Mauvaise configuration du système
- Relations de confiance entre les appareils/systèmes
- Phishing (social engineering)
- Attaques par déni de service
- Attaques de type « Man-in-the-middle » (MITM)
- Chevaux de Troie (trojans)
- Attaques par injection SQL
- Et bien d'autres
N'oubliez pas : un hacker n'a besoin que d'un seul vecteur d'attaque pour réussir son intrusion. Par conséquent, l'efficacité de votre sécurité se mesure à son point le plus faible et c'est à vous de découvrir où se trouvent ces vecteurs d'attaque potentiels. Les attaques par ransomware continuent d'exploiter les services d'accès à distance pour s'introduire, se déplacer latéralement dans vos actifs, détecter des données sensibles en vue de leur exfiltration, le tout avant de chiffrer et de demander une rançon.
En général, une fois qu'un hacker est entré, sa prochaine étape consiste à trouver différents moyens de se déplacer latéralement dans votre réseau ou vos ressources cloud et d'augmenter ses privilèges d'accès afin que son attaque permette de recueillir les informations les plus précieuses et en restant inaperçu le plus longtemps possible. Pour prévenir ce type de comportement, il faut adopter les principes du « Zero Trust » qui, appliqués à l'architecture réseau et de sécurité, exigent systématiquement la réaffirmation de l'identité des utilisateurs lorsqu'ils se déplacent d'une zone à l'autre au sein des réseaux ou des applications.
Rapports : Rapports Netskope Threat Labs