Protection des données
Picto Visibilité&sécurité - Interdata

Faire face aux menaces internes et remodeler les déploiements de sécurité réseau

Les brèches de sécurité IT touchent bon nombre d’entreprises. Le volume tout comme l’échelle et l’ampleur de ces cyberattaques forcent le monde de l’entreprise à repenser la façon de déployer, gérer et préserver la cybersécurité. Pour ce faire, il faut totalement reconsidérer la perception et le modèle de fonctionnement de la cybersécurité.

Les menaces d’aujourd’hui ont une envergure industrielle et sont beaucoup plus sournoises, plus sophistiquées et bien plus destructrices. On regroupe bon nombre d’entre elles sous l’appellation « Menaces persistantes avancées » (APT – Advanced Persistent Threats). Ces menaces sont la cause de nombreuses brèches de sécurité récentes. Elles ont tendance à utiliser une variété de méthodes sophistiquées pour compromettre le réseau et s’y installer pendant de longues périodes, d’où leur nom : Menaces persistantes avancées.

Anatomie d’une menace persistante avancée

Bon nombre des brèches de grande envergure passent par plusieurs phases et s’étendent sur de longues périodes qui vont de plusieurs semaines à plusieurs mois.

Reconnaissance

Pendant cette phase, l’auteur de la menace ou le pirate passe un certain temps à comprendre l’activité en ligne de ses cibles potentielles et essaie d’identifier les moyens d’injecter le logiciel malveillant en fonction de cette activité. Par exemple, l’auteur de l’attaque identifie les sites web bancaires ou les réseaux sociaux qu’un utilisateur visite régulièrement, les groupes d’intérêt auxquels il s’abonne, ainsi que ses habitudes en ligne. En fonction de ces informations, l’auteur en question établit un profil de la cible potentielle.

Brêche initiale

C’est la phase pendant laquelle l’utilisateur ou la cible est attaquée. Un email ou un article de blog invite un utilisateur ou un blogueur à cliquer sur un URL en lien avec ses habitudes et son profil. Une fois que l’utilisateur a cliqué sur le lien, il est redirigé vers un site web où une  vulnérabilité zero-day est téléchargée sur le système de l’utilisateur. C’est ce que l’on appelle un hameçonnage. Les attaques telles que les téléchargements furtifs (drive-by) sont également fréquentes. L’objectif est simplement d’injecter un logiciel malveillant dans le système de l’utilisateur. Dans bien des cas, l’empreinte de ce logiciel malveillant est assez réduite et n’est destinée qu’à créer une porte dérobée (backdoor) servant de canal de communication.

Accès backdoor

Une fois le système de l’utilisateur compromis par le logiciel malveillant initial, ce logiciel malveillant explore les accès cachés qui permettront de traverser le pare-feu, dans le but d’ouvrir un canal de communication avec un centre de commande et de contrôle situé n’importe où dans le monde. Une fois la communication établie, le téléchargement de logiciels malveillants et/ou d’instructions peut commencer.

Mouvement latéral

Le logiciel malveillant se met ensuite à sonder et à se propager en interne, en recherchant d’autres systèmes vulnérables. Cependant, ce processus est sournois et maquille méthodiquement l’activité du logiciel malveillant tout en minimisant son empreinte. Cette activité peut prendre des semaines voire même plusieurs mois. En d’autres mots, la propagation latérale du logiciel malveillant est très lente et très discrète. Durant cette phase, d’autres “portes dérobées” peuvent être ouvertes dans l’éventualité où l’accès initial serait détecté et fermé.

Collecte des données

Une fois que le logiciel malveillant s’est propagé et a accédé à des ressources critiques dans l’infrastructure, il commence par identifier les données critiques pour filtrer ou enregistrer les données en vue de les exfiltrer.

Exfiltration

Les données collectées sont ensuite exfiltrées en masse par les différentes portes dérobées. À ce stade, les informations de l’organisation sont gravement compromises. Le pirate peut demander une rançon, dévoiler des données confidentielles ou secrètes ou vendre des informations aux enchères.

RECONNAISSANCE

HAMEÇONNAGE ET ATTAQUE ZERO-DAY

PORTE DÉROBÉE

PROPAGATION LATÉRALE

COLLECTE DES DONNÉES

EXFILTRATION

Le cycle de vie d’une menace APT (Advanced Persistent Threats) est plus long et complexe que les autres attaques

Dans bien des cas, l’organisation reste compromise même après l’exfiltration, ce qui la rend vulnérable à des attaques ou des brèches supplémentaires. Dans bien des cas, même lorsque la brèche a été détectée et la quasi-totalité des systèmes compromis a été nettoyée, certains systèmes restent compromis
et indétectés.

Ces systèmes compromis sont ensuite vendus sur des sites de vente de malware (Malware-as-a-service) où des individus ou des groupes peuvent acheter ces équipements infectés. Ce genre de service est devenu une industrie bien rodée, et fournit aux individus et aux organisations un moyen facile et bon marché de tirer parti de systèmes compromis pour lancer des attaques Dos, par exemple.

Tendances IT affectant la sécurité

Plusieurs nouvelles tendances IT affectent la capacité des entreprises à assurer leur sécurité interne :

  • Les nouvelles tendances IT et les nouveaux usages des employés ou des partenaires affectent la capacité des entreprises à assurer leur sécurité interne.
  • Augmentation du trafic est-ouest : le volume de trafic est-ouest prend aujourd’hui le pas sur le trafic nord-sud, qui correspond au trafic entrant et sortant de l’Internet.
  • La mobilité accentue la difficulté de protéger les réseaux modernes.
  • Les technologies de chiffrage comme le SSL sont de plus en plus utilisées dans les entreprises créant des canaux de communication protégée qui peuvent également être utilisés par les malwares.

La combinaison de ces facteurs, c’est-à-dire la nature sophistiquée et évoluée des menaces, l’évolution des modèles de trafic réseau, la mobilité, l’utilisation croissante des technologies SSL et de chiffrage de la part des malwares, ainsi que l’utilisation de modèle de sécurité obsolètes contribue à créer un climat propice aux brèches.

Comment relever le défi

Pour mieux relever ce défi croissant, il faut revoir les hypothèses de confiance traditionnelles en matière de cybersécurité. Les stratégies de sécurité modernes doivent être basées sur l’hypothèse que ces brèches sont inévitables.

En d’autres termes, il faut insister davantage sur la détection et le confinement des brèches provenant de l’intérieur, en marge d’une prévention bien rodée. Le réseau étant le principal moyen de relier l’environnement physique, virtuel et Cloud, le trafic réseau s’impose à présent comme une fenêtre permettant aux entreprises de détecter les malwares et les menaces informatiques.

Alors que l’industrie tend à converger vers la détection de malwares à l’intérieur des réseaux, la sophistication des solutions de sécurité devient un problème majeur. Il n’y a pas eu beaucoup de réflexions quant à l’architecture de déploiement de ces solutions, raison pour laquelle nous sommes aujourd’hui confrontés à ces différents défis.

Pourtant, la détection de malwares et de brèches dans le réseau est essentielle. Pour venir à bout des problèmes, une approche structurée reposant sur une plateforme est nécessaire. Elle doit offrir la visibilité du trafic nécessaire à une multitude d’appliances de sécurité selon un modèle évolutif, pervasif et rentable.

Cet article vous a intéressé ? Lisez plus en téléchargeant le livre blanc de Gigamon & Interdata et découvrez tous les avantages d'une plateforme de sécurité.