Dans la course à la prévention et à la lutte contre les attaques, un aspect essentiel est trop souvent négligé : le temps de présence (dwell time) pendant lequel un attaquant passe inaperçu au sein d’une infrastructure.
En matière de cybersécurité, il est indéniable que les ransomwares, ces codes malveillants qui bloquent l’accès à vos appareils en exigeant une rançon pour la restitution des données, constituent une menace importante qui peut causer des dommages considérables. Toutefois, dans la course à la prévention et à la lutte contre les attaques, un aspect essentiel est trop souvent négligé : le temps de présence (dwell time) pendant lequel un attaquant passe inaperçu au sein d’une infrastructure.
Pour limiter cette durée, il faut adopter une approche globale de la cybersécurité qui inclut des technologies de détection sophistiquées, une segmentation adéquate du réseau, des évaluations régulières de la sécurité et la formation des employés. En investissant dans ces mesures, nous pouvons réduire le temps qu’un acteur malveillant passe dans nos réseaux et minimiser le risque d’une cyberattaque dévastatrice pour l’ensemble de notre écosystème.
Selon IBM, en 2023, il fallait en moyenne 204 jours, soit environ 7 mois, pour identifier et contenir une brèche de sécurité. Selon l’objectif de l’attaquant, la durée varie considérablement. En effet, si l’objectif est le ransomware, la durée peut n’être que de neuf jours, mais le temps d’action observé peut aller jusqu’à un an pour près d’un quart des attaques.
Une attaque peut être opportuniste, mais elle n’est pas spontanée. Elle fait l’objet d’une préparation, d’une mise en condition opérationnelle et d’un déploiement séquencé soit des phases de renseignement, de surveillance et de ciblage. Nous pouvons résumer les 11 phases de la séquence d’une attaque référencée dans le cadre Mitre ATT&CK en six étapes.
La première étape d’une cyberattaque consiste généralement pour le pirate à accéder au système ou au réseau cible. Cela peut se faire par divers moyens, depuis un mail d’hameçonnage jusqu’à l’exploitation d’une vulnérabilité dans un système ou une application, en passant par la découverte d’un mot de passe utilisateur par force brute. Au cours de la phase de reconnaissance, l’attaquant identifie le système d’exploitation et les logiciels, découvre les ports et les services réseaux ouverts, et identifie les comptes d’utilisateurs et les autres actifs de la société. Pour ce faire, il utilise divers outils et techniques tels que des outils de scan de réseau, des scanners de ports et d’autres types de logiciels de balayage et de reconnaissance. L’objectif de cette phase est de mieux comprendre le système cible.
La phase qui suit la phase de reconnaissance d’une attaque est la phase d’exploitation. L’attaquant identifie les vulnérabilités et les faiblesses de l’infrastructure cible. Cela implique d’installer des logiciels malveillants ou d’autres outils, de manipuler les paramètres de configuration, en d’autres termes de prendre des mesures pour s’implanter dans le système. L’objectif de la phase d’exploitation est d’acquérir une position forte.
Vient ensuite la phase d’installation. L’attaquant installe les outils ou les logiciels nécessaires pour conserver l’accès au système cible et poursuivre son attaque. Il peut s’agir d’installer une porte dérobée persistante qui lui permettra d’accéder à nouveau au système même si le point d’entrée initial est découvert et fermé, ou d’installer d’autres outils qui peuvent être utilisés pour voler des informations sensibles, perturber les opérations ou endommager la cible d’une autre manière. Cela peut conduire à l’installation d’un ransomware, mais pas nécessairement.
Ensuite, il est temps de passer à la phase de commandement et de contrôle (C2). L’attaquant établit un canal de communication avec les outils et les logiciels qu’il a déployés sur la cible afin de contrôler l’attaque à distance. Pour ce faire, il met en place un serveur distant qu’il peut utiliser, ou installe un récepteur qui peut recevoir et exécuter ses commandes. L’objectif de la phase C2 est de permettre à l’attaquant de garder le contrôle de l’attaque et de continuer à exploiter le système cible aussi longtemps que possible.
La phase finale qui suit la phase de commandement et de contrôle d’une attaque est la phase d’action sur les objectifs. Au cours de cette phase, l’attaquant réalise les objectifs ultimes de son attaque. Il peut s’agir de voler des informations sensibles, de perturber les opérations, d’obtenir une rançon, de nuire à la réputation de la cible ou de causer toute autre forme de préjudice. Une fois les objectifs atteints, l’attaquant peut effacer les preuves et les signes de sa présence au moyen d’un ransomware.
Attraper l’attaquant avant le ransomware
Les indicateurs de présence d’un attaquant sont des indices qui révèlent un attaquant dans un réseau. Ils peuvent être utilisés pour détecter des activités suspectes et identifier des menaces potentielles. Il existe plusieurs types d’indicateurs de présence que les équipes de sécurité peuvent utiliser pour détecter les attaques : des indicateurs basés sur le réseau, sur l’hôte et sur l’utilisateur. Les indicateurs basés sur le réseau comprennent des modèles de trafic réseau inhabituels, tels qu’une grande quantité de données envoyées à une adresse IP externe ou l’utilisation d’un couple port/protocole inhabituel. Les indicateurs basés sur l’hôte comprennent une activité inhabituelle des fichiers, comme la création, la modification ou la suppression de fichiers. Enfin, les indicateurs basés sur l’utilisateur comprennent une activité de connexion inhabituelle, comme un utilisateur se connectant d’un endroit inhabituel.
Les centres d’opérations de sécurité (SOC) ont besoin d’au moins trois outils pour fonctionner efficacement, souvent appelés la triade SOC : SIEM, EDR, NDR. Le terme inventé par Anton Chuvakin (alors analyst Gartner) reste une référence. Le système de gestion des informations et des événements de sécurité (SIEM – Security Information and Event Management) collecteet agrège des données provenant de diverses sources, notamment des journaux et des événements provenant de systèmes et d’applications sur le réseau. Ces données sont analysées à l’aide de règles et d’algorithmes afin d’identifier les incidents de sécurité potentiels. En fournissant une vue centralisée de l’activité du réseau, le SIEM peut aider à identifier les comportements suspects et permettre des temps de réponse plus rapides.
Les EDR (endpoint detection and response), évolution de l’antivirus, sont généralement utilisés pour détecter les attaques sur les points finaux tels que les ordinateurs de bureau, les ordinateurs portables et les serveurs. Acteurs de la première ligne de défense contre les ransomwares, ils sont nécessaires et efficaces pour détecter certains types d’attaques. Cependant les outils EDR ont aussi des limites. Par exemple, ils peuvent ne pas détecter les attaques qui se produisent dans le réseau telles que les mouvements latéraux entre les systèmes. En outre, il leur arrive de générer de nombreux faux positifs, ce qui peut compliquer la tâche des équipes de sécurité lorsqu’il s’agit de hiérarchiser les alertes et d’y répondre.
Minimiser le temps de présence de l’attaquant
Les équipes de sécurité doivent donc aussi utiliser des outils de NDR (network detection and response) pour surveiller le trafic réseau et identifier les schémas inhabituels. Ces outils de détection et de réponse peuvent également être utilisés pour identifier des communications inhabituelles entre les systèmes, comme un point d’extrémité (edge) communiquant avec une adresse IP externe. Grâce à ces indicateurs, les équipes de sécurité peuvent prendre des mesures pour prévenir d’autres dommages. Les outils de NDR utilisent des algorithmes d’apprentissage automatique pour analyser le trafic réseau et identifier les schémas susceptibles d’indiquer une attaque. En identifiant ces anomalies, les équipes de sécurité peuvent prendre des mesures pour prévenir d’autres dommages et minimiser le temps de présence d’un attaquant.
Dans le cadre de la triade du SOC, l’investigation numérique (aussi appelée analyse forensique) joue un rôle important dans la limitation de l’impact d’une cyberattaque. L’analyse forensique implique la collecte et l’exploitation de preuves numériques afin de comprendre la nature, d’identifier la source et de mesurer l’étendue des dommages causés par une attaque. En procédant à ces analyses, les équipes de sécurité peuvent identifier les vulnérabilités qui ont été exploitées lors de l’attaque et prendre des mesures pour éviter que des attaques similaires ne se reproduisent à l’avenir.
Avoir une approche globale
Une approche globale de la cybersécurité est nécessaire pour contrer efficacement les menaces. Cela inclut la mise en place de systèmes de détection avancés, une segmentation adéquate du réseau, des audits réguliers de sécurité, et la formation continue des employés. Il n’existe pas de menace unique, et par conséquent pas d’outil miracle permettant de s’en protéger. Se focaliser sur la phase finale de l’attaque, le ransomware, c’est se mettre à la merci d’impacts plus dévastateurs encore, sur son infrastructure comme sur celle de ses clients et prestataires.
Le déploiement d’une posture de sécurité adaptée nécessite la prise en compte de l’ensemble de la surface d’attaque possible au travers d’une cartographie globale des risques et des failles de l’infrastructure afin d’identifier l’ensemble des systèmes à protéger. Qu’il s’agisse de shadow IT (machines non déclarées et donc non protégées), de machines orphelines (un temps déclarées, mais plus gérées) ou encore de systèmes faiblement voire non sécurisés (IoT, IIoT), le potentiel d’exploitation de l’infrastructure par un attaquant dépasse largement le cadre de la demande de rançon finale. L’infrastructure prise sous contrôle peut servir pour lancer des attaques massives de déni de services (DDoS) ou de plateforme de rebond pour attaquer vos clients (supply chain attack).
Les indicateurs de présence d’attaquants peuvent jouer un rôle important dans la détection précoce des atteintes à la cybersécurité. En comprenant les tactiques et les techniques utilisées par les attaquants, et en utilisant une combinaison d’indicateurs basés sur le réseau, sur l’hôte et sur l’utilisateur, les équipes de sécurité peuvent identifier les menaces potentielles et prendre des mesures pour prévenir d’autres dommages plus graves encore. En outre, grâce à l’analyse forensique, les équipes de sécurité peuvent minimiser l’impact d’une cyberattaque et empêcher que des attaques similaires ne se produisent à l’avenir.
Par Fanch Francis
Comments