Financial Services — Hostile Takeover Attempts

Volume 6, Numéro 1

[État des lieux d'Internet] / Sécurité

Présentation :

RésuméBonne année ! Au moment où vous lisez ce message, nous avons déjà enterré la plupart des bonnes résolutions que nous avions prises et sommes revenus à nos vieilles habitudes. Tandis que nous avons hâte de découvrir cette nouvelle année, l'équipe qui établit le rapport État des lieux d'Internet / Sécurité n'a vraiment qu'une résolution en tête : évoluer. C'est un objectif intéressant, car nous ne sommes pas les seuls à progresser. Les criminels ont commencé à évoluer et leurs attaques deviennent de plus en plus ambitieuses de jour en jour.

Dans cette édition du rapport État des lieux d'Internet / Sécurité, nous débutons par l'étude de notre invitée Jennifer Leggio, professionnelle du marketing en sécurité. Dans son ouvrage, elle aborde un type d'évolution basée sur l'autoréflexion, en conseillant vivement aux professionnels du secteur de la sécurité d'éviter d'utiliser la peur, l'incertitude et le doute lorsqu'ils parlent de produits, de services ou de menaces.

Ensuite, nous revenons sur une attaque record contre une institution financière renommée qui impliqua 55 141 782 tentatives de connexions malveillantes. L'attaque eu lieu le 7 août 2019. Elle représente le pic le plus important en matière de vol d'identifiants ciblés contre le secteur des services financiers que nous ayons jamais connu depuis que nous avons commencé à suivre de telles agressions.

Les API (interfaces de programmation d'applications) sont partout. Les employés et clients du domaine des services financiers y sont exposés constamment, en particulier à REST, étant donné qu'il est utilisé fréquemment dans le développement de sites Web et d'applications pour mobile. Cependant, SOAP est une autre option populaire dans le monde de l'entreprise, surtout dans le secteur bancaire.

De décembre 2017 à novembre 2019, Akamai a observé 85 422 079 109 attaques de vol d'identifiants sur l'ensemble de notre base de clients. Près de 20 %, soit 16 557 875 875, visaient des noms d'hôte qui étaient clairement identifiés comme des points de terminaison d'API. Parmi ces agressions, 473 513 955 ont attaqué des entreprises appartenant au secteur des services financiers.

Tentatives de connexions malveillantes quotidiennes – Identification des noms d'hôte d'API

Services financiers

Tous les segments de marché

Jan 2018 Mar 2018 Mai 2018 Juil. 2018 Sept. 2018 Nov. 2018. Jan 2019 Mar 2019 Mai 2019 Juil. 2019 Sept. 2019 Nov. 2019

Jan 2018 Mar 2018 Mai 2018 Juil. 2018 Sept. 2018 Nov. 2018. Jan 2019 Mar 2019 Mai 2019 Juil. 2019 Sept. 2019 Nov. 20190 M

100 M

200 M

300 M

0 M

20 M

40 M

Tent

ativ

es d

e co

nnex

ions

mal

veill

ante

s (e

n m

illio

ns)

Point de terminaison d'API évident ? Non Oui

25 jan. 2018113 324 322

27 oct. 2018287 168 120

7 août 201955 141 782

25 août 201919 058 161

[État des lieux d'Internet] / Sécurité

Financial Services — Hostile Takeover Attempts : Résumé 2

0 M

10 M

20 M

30 M

40 M

50 M

Jan 2018 Mar 2018 Mai 2018 Juil. 2018 Sept. 2018 Nov. 2018. Jan 2019 Mar 2019 Mai 2019 Juil. 2019 Sept. 2019 Nov. 2019

Att

aque

s W

eb (e

n m

illio

ns)

Segment de marché Autre Services financiers

17 oct. 201950 350 787

22 nov. 201942 248 67522 nov. 2018

40 376 035

23 déc. 201823 771 753

28 oct. 201913 491 776

Attaques quotidiennes contre les applications WebServices financiers et autres

Akamai a observé 662 556 776 attaques applicatives Web contre le secteur des services financiers et 7 957 307 672 attaques pour l'ensemble des segments de marché. »

«

3

Nous analysons également dans ce rapport les attaques applicatives Web et DDoS contre le domaine des services financiers, en se basant sur la même période de 24 mois que pour le vol d'identifiants.

Pendant ce laps de temps, Akamai a observé 662 556 776 attaques applicatives Web contre le secteur des services financiers et 7 957 307 672 attaques sur l’ensemble des segments de marché.

Dans l'ensemble, l'injection SQL (SQLi) représente plus de 72 % de toutes les attaques lorsqu’on étudie tous les segments de marché durant cette période. Ce taux passe à 36 % lorsqu’on tient uniquement compte des attaques contre les services financiers. Le type d'attaque principal contre le secteur des services financiers était l'inclusion de fichiers locaux (LFI), représentant 47 % du trafic observé.

[État des lieux d'Internet] / Sécurité

Financial Services — Hostile Takeover Attempts : Résumé

Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde. L'Intelligent Edge Platform d'Akamai englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises. Les plus grandes marques mondiales comptent sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des solutions agiles qui développent la puissance de leurs architectures multi-clouds. Akamai place les décisions, les applications et les expériences au plus près des utilisateurs, et au plus loin des attaques et des menaces. Les solutions de sécurité en bordure de l'Internet, de performances Web et mobiles, d'accès professionnel et de diffusion vidéo du portefeuille d'Akamai s'appuient également sur un service client exceptionnel, des analyses et une surveillance 24 h/24 et 7 j/7, 365 jours par an. Pour savoir pourquoi les plus grandes marques internationales font confiance à Akamai, visitez www.akamai.com, blogs.akamai.com, ou suivez @Akamai sur Twitter. Nos coordonnées dans le monde entier sont disponibles à l'adresse www.akamai.com/locations.jsp. Publication : 02/20.

État des lieux d'Internet / SécuritéVolume 6, Numéro 1 Financial Services — Hostile Takeover Attempts

Télécharger pour lire le rapport « État des lieux d'Internet » dans son intégralité

Le domaine des services financiers était le troisième secteur le plus visé par les attaques DDoS durant la période du rapport, les segments du jeu vidéo et de la haute technologie étant les cibles les plus courantes. Cependant, en termes de nombre d’entreprises attaquées, les services financiers figurent à la première place.

Enfin, nous abordons le concept du Zero Trust. Nous étudions comment certains secteurs adoptent ce modèle afin de défendre leurs utilisateurs et réseaux contre les menaces en progression constante.

Zero Trust remplace le concept « Faire confiance, mais vérifier » par celui de « Ne se fier à rien, ne faire confiance à personne ». Dans le cadre du Zero Trust, le réseau interdit tout accès aux ressources du réseau jusqu'à ce qu'il détermine l'identité de l'utilisateur et si celui-ci est autorisé. On ne fait confiance à rien, absolument rien, à l'intérieur ou à l'extérieur du réseau. Les architectures de sécurité encouragent davantage cette approche, car elles appliquent le concept du moindre privilège à l'utilisateur et un accès aux seules ressources pour lesquelles il détient une autorisation.

Zero Trust remplace le concept « Faire confiance, mais vérifier » par celui de « Ne se fier à rien, ne faire confiance à personne ». »

11 [state of the internet] / security Financial Services — Hostile Takeover Attempts: Volume 6, Issue 1

Web Attacks

Credential stuffing is just one attack type that the

financial service industry faces. Criminals aren’t

choosy when it comes to methodologies, and for

the most part, they’ll try different attack types until

they’re successful. This is why a solid, multilayered

approach to defense is key to stopping them.

Within the same 24-month period used to

examine credential abuse traffic, Akamai observed

662,556,776 web application attacks against the

financial services sector and 7,957,307,672 across

all verticals. The peak attack dates in 2018 and

2019 are highlighted in Figure 5.

Figure 6 shows a breakdown of web attack types

during the 24-month observation period. Overall,

SQL Injection (SQLi) accounted for more than 72%

of all attacks when looking at all verticals during this

period. That rate is halved to 36% when looking at

financial services attacks alone. The top attack type

against the financial services sector was Local File

Inclusion (LFI), with 47% of observed traffic.

LFI attacks exploit various scripts running on

servers, usually PHP, but LFI flaws have also

been known to exist in ASP, JSP, and other web

technologies. The consequence of these attacks

is usually the disclosure of sensitive information.

However, LFI attacks can also be leveraged

for client-side command execution (such as a

vulnerable JavaScript file), which could lead to

Cross-Site Scripting (XSS) and denial-of-service

(DoS) attacks.

Taking all of this into account, criminals conducting

the LFI attacks are looking to expose data that

could enable a stronger foothold on the server,

such as exposing a configuration file with

database credentials. If the database user has

write permissions, the criminal could use the

data exposed via LFI to remotely connect to the

database and compromise the server itself by

command execution.

XSS was the third-most common type of attack

against financial services, with a recorded 50.7

million attacks, or 7.7% of the observed attack

traffic. XSS accounted for 3.3% of the attacks in all

verticals. After that, PHP Injection (PHPi) came in

at just under 16 million attempts against financial

services. Finally, Command Injection, Remote

File Inclusion, OGNL Injection, and malicious file

uploads rounded out the final 5.7% of recorded

attacks against financial services.

Between 2018 and 2019, the most

common attack type against the financial

sector was Local File Inclusion (LFI).

12

Oct 17, 201950,350,787

Nov 22, 201942,248,675

Nov 22, 201840,376,035

Dec 23, 201823,771,753

Oct 28, 201913,491,776

0 M

10 M

20 M

30 M

40 M

50 M

Jan 2018 Mar 2018 May 2018 Jul 2018 Sep 2018 Nov 2018 Jan 2019 Mar 2019 May 2019 Jul 2019 Sep 2019 Nov 2019

Web

att

acks

(mill

ions

)

Vertical Other FinServFig. 5 – While the single-day peaks in attacks are concerning for individual organizations, the continued growth in web attacks

affects all organizations

FinancialServices

AllVerticals

0%10%

20%30%

40%50%

60%70%

80%90% 100%

% Attacks

Ver

tica

l

Attack Vector SQLi LFI XSS PHPi RFI CMDi Other

Fig. 6 – LFI was the top financial services attack type, but SQLi continues to dominate when looking at all verticals

Daily Web Application AttacksFinancial Services and Other

Web Application Attack VectorsDecember 2017 through November 2019

[state of the internet] / securityVolume 6, Issue 1

Financial Services — Hostile Takeover Attempts

TÉLÉCHARGER

«