La semaine dernière, nous avons publié notre dernier rapport trimestriel sur les tendances des attaques et que serait un bon rapport sans un article de blog ? Nous allons prendre un peu de temps dans cet article pour examiner ce regard brut et perspicace sur le paysage en constante évolution de la cybersécurité sur Internet connu sous le nom « Le rapport trimestriel d’Edgio sur les tendances des attaques. » Le rapport dévoile une myriade de points de données allant des méthodes de requête et des types MIME aux tendances de géolocalisation et tout ce qui se trouve entre les deux. Le tout fournissant une image éclatante des menaces émergentes ciblant les sites Web et les applications modernes.
Deux points de données clés qui ont retenu mon attention : les méthodes de requête et les types MIME de requête. À première vue, découvrir que plus de 98% des demandes sont GET et POST n’est pas surprenant. Bienvenue sur Internet, n’est-ce pas ? « Rien de remarquable », pourrait-on dire, mais ces fonctions apparemment piétonnes fournissent des connaissances précieuses sur une application, comment elle est utilisée ou attaquée, et où elle pourrait être vulnérable. Cela devrait également poser la question, quels types de méthodes de requête votre application a-t-elle besoin pour fonctionner? Devez-vous permettre à d’autres personnes d’atteindre votre application, ou devriez-vous réduire les risques d’exposition en bloquant de telles actions bien avant même qu’elles n’atteignent votre serveur d’origine ?
En sautant aux types MIME, 76 % des blocs étaient liés à des types MIME application/JSON. Cette analyse n’est pas seulement une statistique ; elle décrit le changement dans l’architecture moderne des applications et la nature évolutive des menaces qui ciblent ces architectures. Il montre clairement que vos API sont hautement ciblées par les acteurs de la menace et souligne la nécessité de protéger les API – à la fois connues et « shadow » ou « zombies » – que votre équipe de sécurité n’a peut-être pas encore découvertes.
Nous avons classé les protections dans ce rapport en trois stratégies principales : règles de contrôle d’accès, jeux de règles gérés et signatures personnalisées. Sur les trois, il est intéressant de noter que 45 % des blocs étaient des règles de contrôle d’accès. Parler plus loin des fondements d’une défense efficace commence vraiment par des tactiques basiques, mais extrêmement efficaces comme empêcher l’accès à des sources incorrectes connues (adresses IP sur liste noire, agents utilisateurs et pays). Bloquez-les bien avant qu’ils ne s’approchent de vos applications, de votre infrastructure et de vos données pour bénéficier immédiatement de avantages, non seulement du point de vue de la sécurité, mais aussi du point de vue des coûts. Atténuer les requêtes erronées à la périphérie avec un pare-feu d’application Web (WAF) économise à la fois la bande passante et les cycles de calcul.
Le rapport rappelle également que les attaquants cherchent continuellement des moyens de contourner ces défenses. Bien que les règles de contrôle d’accès d’une personne puissent être strictes, nous ne pouvons pas nous fier uniquement à elles. Prenez par exemple les tactiques de geofencing. Les cinq principaux pays d’où provenaient les demandes malveillantes comprenaient les États-Unis, la France, l’Allemagne, la Russie et la Tchétchénie, la Chine étant notamment absente. Nous devrions nous attendre à ce que la Chine soit en tête de cette liste comme les autres grands pays connectés à Internet. Cependant, cette vision remet en question la dépendance excessive à l’égard du geofencing et souligne la nécessité d’une approche plus stratifiée des mesures de conformité et de sécurité. Nous savons que les attaquants compromettent souvent les serveurs, les VPC et les appareils IoT pour les exploiter dans la même région que leurs cibles ultimes. Comprenez les besoins de votre entreprise et les exigences réglementaires (comme ne pas vendre à des pays sous embargo) lorsque vous utilisez la tactique de gardiennage virtuel. Ce n’est pas que cette tactique devrait être jetée, mais plutôt pas trop invoquée.
Une menace très spécifique et notable qui a marqué la hausse au 4e trimestre a été les attaques de traversée de chemins/répertoires. Imaginez votre application comme forteresse. Maintenant, considérez les attaques de traversée de chemin comme des envahisseurs rusés de méthodes qui exploitent la plus petite surveillance dans l’architecture de votre forteresse pour s’infiltrer profondément dans votre domaine via des dossiers sur-autorisés sur votre serveur Web. Ces attaques ne visent pas seulement à frapper à la porte ; elles visent à trouver un passage caché qui mène directement au cœur de votre empire. Les conséquences ? Accès non autorisé, perte d’informations personnellement identifiables (PII) et remise potentielle des clés de votre Royaume par l’exécution de code à distance. On ne saurait trop insister sur leur importance, car ces intrusions menacent les piliers mêmes de la confidentialité, de l’intégrité et de la disponibilité des données sur lesquels repose notre monde numérique.
En bref, le rapport trimestriel sur les tendances en matière d’attaques n’est pas seulement une collecte de données ; il s’agit d’un récit qui met en lumière la bataille en cours dans le domaine numérique. Il rappelle que la compréhension et l’adaptation aux complexités de l’architecture applicative sont essentielles non seulement pour survivre mais aussi pour prospérer dans ce paysage. En employant une stratégie qui inclut des défenses en couches, en tirant parti des renseignements sur les menaces et en adaptant les solutions aux besoins uniques de votre application, vous pouvez ériger une forteresse qui résiste aux menaces en constante évolution du cybermonde. Une sécurité efficace ne consiste pas seulement à mettre en place des outils ; il s’agit de comprendre le fonctionnement de votre entreprise et d’utiliser ces connaissances pour éclairer vos contrôles de sécurité.
Encore une chose, ce rapport n’est que la pointe de l’iceberg. L’équipe Edgio travaille sans relâche à ajouter plus de points de données aux futurs rapports. Gardez un œil sur notre rapport du 1er trimestre 2024. Je suis confiant que vous ne serez pas déçus.
Deux points de données clés qui ont retenu mon attention : les méthodes de requête et les types MIME de requête. À première vue, découvrir que plus de 98% des demandes sont GET et POST n’est pas surprenant. Bienvenue sur Internet, n’est-ce pas ? « Rien de remarquable », pourrait-on dire, mais ces fonctions apparemment piétonnes fournissent des connaissances précieuses sur une application, comment elle est utilisée ou attaquée, et où elle pourrait être vulnérable. Cela devrait également poser la question, quels types de méthodes de requête votre application a-t-elle besoin pour fonctionner? Devez-vous permettre à d’autres personnes d’atteindre votre application, ou devriez-vous réduire les risques d’exposition en bloquant de telles actions bien avant même qu’elles n’atteignent votre serveur d’origine ?
En sautant aux types MIME, 76 % des blocs étaient liés à des types MIME application/JSON. Cette analyse n’est pas seulement une statistique ; elle décrit le changement dans l’architecture moderne des applications et la nature évolutive des menaces qui ciblent ces architectures. Il montre clairement que vos API sont hautement ciblées par les acteurs de la menace et souligne la nécessité de protéger les API – à la fois connues et « shadow » ou « zombies » – que votre équipe de sécurité n’a peut-être pas encore découvertes.
Nous avons classé les protections dans ce rapport en trois stratégies principales : règles de contrôle d’accès, jeux de règles gérés et signatures personnalisées. Sur les trois, il est intéressant de noter que 45 % des blocs étaient des règles de contrôle d’accès. Parler plus loin des fondements d’une défense efficace commence vraiment par des tactiques basiques, mais extrêmement efficaces comme empêcher l’accès à des sources incorrectes connues (adresses IP sur liste noire, agents utilisateurs et pays). Bloquez-les bien avant qu’ils ne s’approchent de vos applications, de votre infrastructure et de vos données pour bénéficier immédiatement de avantages, non seulement du point de vue de la sécurité, mais aussi du point de vue des coûts. Atténuer les requêtes erronées à la périphérie avec un pare-feu d’application Web (WAF) économise à la fois la bande passante et les cycles de calcul.
Le rapport rappelle également que les attaquants cherchent continuellement des moyens de contourner ces défenses. Bien que les règles de contrôle d’accès d’une personne puissent être strictes, nous ne pouvons pas nous fier uniquement à elles. Prenez par exemple les tactiques de geofencing. Les cinq principaux pays d’où provenaient les demandes malveillantes comprenaient les États-Unis, la France, l’Allemagne, la Russie et la Tchétchénie, la Chine étant notamment absente. Nous devrions nous attendre à ce que la Chine soit en tête de cette liste comme les autres grands pays connectés à Internet. Cependant, cette vision remet en question la dépendance excessive à l’égard du geofencing et souligne la nécessité d’une approche plus stratifiée des mesures de conformité et de sécurité. Nous savons que les attaquants compromettent souvent les serveurs, les VPC et les appareils IoT pour les exploiter dans la même région que leurs cibles ultimes. Comprenez les besoins de votre entreprise et les exigences réglementaires (comme ne pas vendre à des pays sous embargo) lorsque vous utilisez la tactique de gardiennage virtuel. Ce n’est pas que cette tactique devrait être jetée, mais plutôt pas trop invoquée.
Une menace très spécifique et notable qui a marqué la hausse au 4e trimestre a été les attaques de traversée de chemins/répertoires. Imaginez votre application comme forteresse. Maintenant, considérez les attaques de traversée de chemin comme des envahisseurs rusés de méthodes qui exploitent la plus petite surveillance dans l’architecture de votre forteresse pour s’infiltrer profondément dans votre domaine via des dossiers sur-autorisés sur votre serveur Web. Ces attaques ne visent pas seulement à frapper à la porte ; elles visent à trouver un passage caché qui mène directement au cœur de votre empire. Les conséquences ? Accès non autorisé, perte d’informations personnellement identifiables (PII) et remise potentielle des clés de votre Royaume par l’exécution de code à distance. On ne saurait trop insister sur leur importance, car ces intrusions menacent les piliers mêmes de la confidentialité, de l’intégrité et de la disponibilité des données sur lesquels repose notre monde numérique.
En bref, le rapport trimestriel sur les tendances en matière d’attaques n’est pas seulement une collecte de données ; il s’agit d’un récit qui met en lumière la bataille en cours dans le domaine numérique. Il rappelle que la compréhension et l’adaptation aux complexités de l’architecture applicative sont essentielles non seulement pour survivre mais aussi pour prospérer dans ce paysage. En employant une stratégie qui inclut des défenses en couches, en tirant parti des renseignements sur les menaces et en adaptant les solutions aux besoins uniques de votre application, vous pouvez ériger une forteresse qui résiste aux menaces en constante évolution du cybermonde. Une sécurité efficace ne consiste pas seulement à mettre en place des outils ; il s’agit de comprendre le fonctionnement de votre entreprise et d’utiliser ces connaissances pour éclairer vos contrôles de sécurité.
Encore une chose, ce rapport n’est que la pointe de l’iceberg. L’équipe Edgio travaille sans relâche à ajouter plus de points de données aux futurs rapports. Gardez un œil sur notre rapport du 1er trimestre 2024. Je suis confiant que vous ne serez pas déçus.
Vous voulez plus d’informations ?
Tom et les membres de l’équipe de sécurité d’Edgio discutent du rapport trimestriel sur les tendances des attaques dans le dernier épisode de ThreatTank.
