Tribune : les Menaces Persistantes Avancées

Le par  |  0 commentaire(s)
Graeme-Nash-Fortinet

Une tribune de Graeme Nash, Directeur des Solutions Stratégiques chez Fortinet sur les menaces persistantes avancées ou APT ( Advanced Persistent Threats ).

Graeme-Nash-FortinetL'une des plus grandes menaces pour les entreprises aujourd'hui est l'infiltration furtive, via le biais d'Internet, des cybercriminels cherchant à voler des informations sensibles. Ghostnet (botnet déployé dans  différents ministères et ambassades pour surveiller l'agenda du Dalai Lama), Shady RAT (un peu similaire à Ghostnet mais ayant pour cible les gouvernements et entreprises multinationales), l'Opération Aurora (surveillance des comptes Gmail de dissidents chinois en 2009) et Stuxnet (tentative d'interruption du programme iranien d'enrichissement d'uranium) en 2010 sont quelques exemples d'attaques de grosse ampleur.

Au cours de ces derniers mois, ces Menaces Persistantes Avancées (APT) sont devenues si endémiques et virulentes qu'elles obligent les entreprises à remettre en question le paradigme de sécurité actuel. Plutôt que de se concentrer à repousser les attaques, les entreprises commencent à accepter que des menaces puissent parfois entrer dans leurs réseaux. Par conséquent, elles cherchent à les détecter le plus tôt possible afin de minimiser les dégâts.
 
Une APT est une attaque très ciblée envers une organisation spécifique qui agit de manière  silencieuse et souvent dans le temps pour s'infiltrer au sein d'une organisation, avec pour objectif de collecter des informations sensibles plutôt que de réaliser un gain financier immédiat. Les définitions de APT varient mais on peut se faire une bonne idée de ses caractéristiques en décomposant le terme:

  • Menaces - Les APT sont une véritable menace parce qu'elles démontrent à la fois la capacité et l'intention. Elles sont le fruit d'une implication humaine forte et coordonnée, plutôt que celui d'un bout de code simple et automatisé. Les cybercriminels ciblent les actifs de grande valeur et sont qualifiés, motivés, organisés et bien financés.
  • Persistantes - Les cybercriminels privilégient une tâche spécifique, plutôt que la recherche opportuniste d'information permettant un gain financier ou d'autre nature. Une condition clé pour les APT, par opposition à un botnet "de tous les jours", c'est de rester invisible le plus longtemps possible. A ce titre, les auteurs d'APT ont tendance à se concentrer sur des attaques "discrètes et lentes" leur permettant de passer furtivement d'un hôte compromis à un autre, sans générer de trafic réseau régulier ou prévisible, et ainsi chercher des données ou systèmes spécifiques cibles. Des efforts considérables sont mis en place pour s'assurer que les actions malveillantes ne soient pas remarquées par les opérateurs légitimes des systèmes.
  • Avancées - Les cybercriminels ont à leur disposition un large choix de techniques de collectes d'informations. Celles-ci comprennent des techniques et technologies d'intrusions informatiques, mais également des collectes d'informations dites sensibles et méthodes de  profilages classiques. Les logiciels malveillants peuvent aussi chercher et hameçonner des informations spécifiques à partir d'individus ciblés - cette information est ensuite utilisée lors de la seconde étape d'une attaque. Des techniques d'ingénierie sociale sont souvent employées à ce stade. Bien que les composants individuels des attaques ne sont pas particulièrement "avancés", leurs auteurs peuvent développer des outils plus sophistiqués. Les cybercriminels associent souvent plusieurs méthodes de ciblage pour atteindre et compromettre leur cible puis en conserver l'accès.

 
Les déficiences des infrastructures contribuent aux infractions APT 
Les APT pénètrent les réseaux d'entreprise par une grande variété de vecteurs, incluant les infections par logiciels malveillants sur Internet, par logiciels malveillants physiques et par l'exploitation externe. Les auteurs des APT n'ont pas nécessairement besoin de pénétrer les périmètres des réseaux externes - ils peuvent, et souvent, tirent profit d'initiés ou de vecteurs de connexion de "confiance" pour accéder à des systèmes ciblés.

Une fois que les attaquants APT entrent dans les réseaux d'entreprise, certaines déficiences provenant de l'infrastructure de l'organisation peuvent faciliter l'obtention de l'information souhaitée:
 
1. Pour faire face à leur développement, les organisations associent de nouveaux systèmes aux anciens, relient certains réseaux, et intègrent des prestataires de services tiers. Cette évolution complexe de l'infrastructure permet aux pirates de se dissimuler facilement et de trouver des vulnérabilités inconnues ou non corrigées. Les appareils personnels et les applications cloud ajoutent encore plus de confusion à l'ensemble.
 
2. La conception d'un réseau à plat est une autre faiblesse. Bien qu'opter pour un seul domaine de diffusion coûte moins cher et soit plus flexible que d'opter pour des réseaux isolés, cela facilite la tâche des cybercriminels à parcourir le réseau et éventuellement atteindre des systèmes à forte valeur.
 
3. Les applications des entreprises contiennent généralement des millions de lignes de code, engendrant d'inévitables failles de sécurité exploitables. Pire encore, ces logiciels ne sont pas souvent mis à jour avec les derniers correctifs qui permettent de résoudre certaines failles à mesure qu'elles sont découvertes et corrigées.
 
4. Beaucoup d'équipes de sécurité sont incapables de détecter des modèles d'attaques sophistiqués. Bien que les outils classiques permettent d'identifier des événements individuels, ils n'associent pas les événements entre eux pour en définir une vision plus large.
 
5. La structure organisationnelle peut être une autre limite. Les équipes de sécurité sont souvent trop cloisonnées pour interpréter avec précision des attaques multi-modales.
 

Protéger les organisations des APT
La sainte trinité de la sécurité aidera les entreprises à déjouer les APT:

1. Eduquer les utilisateurs et avoir des politiques de sécurité pertinentes
Les utilisateurs sont généralement considérés comme le maillon faible de la chaîne par les cybercriminels, et sont souvent la cible de l'infection initiale. Les entreprises ont besoin de les éduquer sur les vecteurs d'infection et les techniques d'ingénierie sociale des APT. Et, comme cela ne garantira pas que les employés n'ouvriront jamais un document infecté - par exemple, Ghostnet s'est propagé en envoyant au personnel du bureau du Dalai Lama des documents PDF bien conçus et d'apparence légitimes mais infectés - les responsables IT devraient s'assurer que chaque utilisateur a uniquement  accès à ce dont il/elle a besoin et pas plus. Par exemple, le comptable ne devrait pas avoir accès aux référentiels des codes sources.
 
2. Mises à jour des systèmes
Les dernières mises à jour de sécurité doivent être appliquées. La maintenance des signatures au niveau de l'IT, généralement obtenue par un fournisseur de services de sécurité, devrait minimiser le temps de mise en application d'une nouvelle signature au minimum afin de réduire les risques de vulnérabilités et opérationnels.
 
3. Adopter une stratégie de sécurité "intelligemment redondante"
Les entreprises ont besoin d'adopter une approche multi-disciplinaire et consolidée pour sécuriser tous les actifs IT. L'antivirus et la prévention d'intrusions sont essentiels mais les entreprises devraient également considérer les technologies de prévention des pertes de données (DLP). Une stratégie efficace doit comprendre un mix de politiques et de protection contre le spectre entier des menaces. L'antispam, le filtrage Web et le contrôle des applications contribuent chacun à bloquer les APT au cours des différentes étapes de l'attaque. La règle d'or est qu'aucune couche de sécurité n'est infaillible, mais en les intégrant intelligemment, elles peuvent repousser des menaces multi-vectorielles.
 
Voici les couches dont les entreprises doivent se doter :

  • Une protection efficace contre les attaques multi-vectorielles. Cela implique une approche de grande envergure avec des contrôles techniques internes offrant une protection à un nombre de niveaux et de vecteurs, et  devrait inclure les mails, la messagerie instantanée, les exploits Web, les applications, les logiciels malveillants et botnets.
  • Le renforcement des actifs en  profondeur. Cela devrait couvrir les réseaux, les applications  Web, les données/bases de données, les ordinateurs portables et les serveurs. L'impact des attaques zero-day est davantage minimisé par une combinaison de mises à jour rapides, le renforcement de tous ces actifs grâce à une gestion de configuration renforcée, basée sur les meilleures pratiques (par exemple moins de privilèges) et le déploiement judicieux de l'authentification à deux facteurs pour l'accès aux services critiques.
  • Le contrôle des applications. Cela permet aux entreprises d'utiliser des canaux applicatifs basés sur l'évaluation des risques/menaces, le peer-to-peer et le contrôle des botnets. Les employés seront en mesure d'accéder en toute sécurité aux plateformes de réseaux sociaux comme Facebook. Le contrôle des botnets est particulièrement important car les menaces les plus modernes reposent sur un canal de communication externe - bloquer cette communication efficacement permet de faire face à la plupart de ces menaces. 
  • Le suivi. Cela inclut la surveillance de l'infrastructure dans son ensemble pour réagir rapidement à toutes les attaques réelles ou potentielles, ainsi qu'aux signatures des menaces en temps réel sur les applications, réseaux, données et DLP. Il y a beaucoup trop de cas connus de menaces hébergées sur des systèmes et engendrant éventuellement des millions de dollars de dommages, simplement parce qu'elles ont pu demeurer là pendant des mois et, dans certains cas, des années.

Les entreprises doivent se préparer à faire face à des cybercriminels hautement qualifiés avec d'importants équipements de tests et un pouvoir d'achat élevé sur le marché du zero-day. Parce qu'un pirate d'APT peut utiliser des zero-day et tester ses exécutables sur tous les moteurs connus des constructeurs avant de les envoyer à sa cible, les antivirus traditionnels et outils de prévention d'intrusions ne repérerons probablement pas l'attaque initiale.
 
Ceci, cependant, ne signifie pas que les entreprises ne devraient pas installer des solutions de sécurité pertinentes - au contraire, elles doivent passer à l'étape supplémentaire, qui est de rendre leur environnement plus difficile à comprendre et reproduire pour les pirates. Soulignons également le fait que le jugement humain - sur des choses comme les logs et les données corrélées - est un atout précieux. Ce jugement, pour le moment, n'est pas facile à reproduire dans un environnement de test.

La bonne nouvelle au sujet des APT est qu'une organisation peut les combattre grâce à son processus de gestion régulier des risques (ces mesures de protection vont au-delà des APT et permettent d'adresser également les attaques traditionnelles). Les APT élèvent tout simplement le niveau en matière de risques et d'impacts externes. Le budget qu'une organisation souhaite allouer à la lutte contre les APT dépendra, comme toujours, de son goût pour le risque. Une chose, cependant, est sûre - les directions générales, directions IT et responsables de la gestion des risques du monde entier doivent en urgence évaluer leur exposition face aux APT et commencer à prendre des mesures préventives et correctives.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]