> Sécurité > Concevoir une stratégie efficace pour la détection d’attaques informatiques

Concevoir une stratégie efficace pour la détection d’attaques informatiques

Sécurité - Par Sylvain Cortes - Publié le 11 mai 2021
email

Au travers de cet article, nous allons explorer les pistes qui vous permettront de définir une stratégie de défense efficace en ce qui concerne la détection d‘attaque informatique. Nous commencerons par définir ce qu’est une attaque puis nous évoquerons certains détails concernant la notion de framework de sécurité.

Concevoir une stratégie efficace pour la détection d’attaques informatiques

Ensuite nous tenterons de détailler quel type de solutions, il faut déployer en priorité, enfin nous conclurons sur quelques conseils pratiques.

Mais au fait, c’est quoi une attaque informatique ?

Il est possible de définir une attaque informatique par son objectif, une attaque informatique consiste à viser les systèmes IT d’une organisation afin d’altérer un des piliers de la sécurité des données et des systèmes, à savoir confidentialité, disponibilité et intégrité.

Téléchargez cette ressource

Livre blanc Sécurité et Stockage des documents

Livre blanc Sécurité et Stockage des documents

Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.

Les trois piliers de la sécurité des données et des systèmes

 

Une attaque informatique visera donc à compromettre un ou plusieurs de ces piliers, en utilisant des tactiques, des techniques, des outils et des hommes.

 

Voici quelques exemples :

Pilier visé Exemple d’attaque
Confidentialité L’attaque permettra d’extraire des données de l’organisation, visant généralement les données RH ou financières, puis l’attaquant décidera de vendre les données volées au plus offrant sur le Darknet ou directement à un concurrent
Intégrité L’attaque visera principalement les données (fichiers, bases de données, emails , etc.) au sein de l’organisation afin de chiffrer ces mêmes données via un ransomware. Une demande de rançon sera demandée pour obtenir la clé permettant de retrouver ses données non chiffrées – en sachant que bien évidemment l’assurance de retrouver les données n’est pas complète, même en payant une rançon
Disponibilité L’attaque se concentrera généralement sur une pièce majeure du système d’information (site web, CRM, etc.) afin de stopper sa production et le service qu’il délivre. Une attaque de Déni de Service permettra d’arrêter le site web d’une organisation, par exemple ou de stopper l’impression de factures en stoppant l’ERP

 

Premier constat, une attaque n’est jamais complètement linéaire, elle s’appuiera toujours sur une combinaison de failles ainsi que sur un ensemble de techniques afin d’exploiter des faiblesses.

Néanmoins, une règle simple permet de comprendre les faiblesses qu’il faudra surveiller et corriger pour assurer une posture de défense adéquate. Retenez simplement qu’il n’existe finalement que trois moyens pour compromettre un système :

  • Exploiter une mauvaise configuration d’un système
  • Exploiter une vulnérabilité (CVE ou ZeroDay) d’un système
  • Exploiter l’ingénierie sociale ou compromettre directement un individu

Cependant, il est généralement assez complexe de définir de façon précise le cheminement d’une attaque. La communauté cyber a donc créé des frameworks de sécurité, visant à catégoriser les différentes étapes d’une attaque et à fournir un catalogue des différentes techniques utilisées par les attaquants.

Il existe de nombreux frameworks, nous évoquerons ici deux d’entre eux, faisant partie des plus utilisés et qui permettent aux professionnels de commencer à organiser leur posture de défense et surtout à penser comme un attaquant.

 

Les frameworks de sécurité

La Cyber Kill Chain®

 

Développé par Lockheed Martin, le framework Cyber Kill Chain® fait partie du modèle Intelligence Driven Defense® pour l’identification et la prévention des activités de cyber-intrusions. Le modèle identifie ce que les adversaires doivent accomplir afin d’atteindre leur objectif.

Les sept étapes de la Cyber Kill Chain® améliorent la visibilité d’une attaque et enrichissent la compréhension qu’a un analyste des tactiques, techniques et procédures utilisées par un adversaire.

Voici le schéma explicatif de la Cyber Kill Chain® :

 

Schéma explicatif de la Cyber Kill Chain® – source : http://lmt.co/3eoC8nI

 

Voici quelques explications concernant les étapes de la Cyber Kill Chain®:

Etapes de la Cyber Kill Chain® Explications
Reconnaissance Première étape de l’attaque, visant à recueillir des informations contextualisées sur la cible en utilisant généralement de l’ingénierie sociale et des techniques de type OSINT (voir https://en.wikipedia.org/wiki/Open-source_intelligence)

Il peut par exemple être intéressant de connaitre quels sont les types de firewall utilisés chez la cible, quelles sont les personnes importantes travaillant pour le service informatique, etc.

Weaponization Cette étape visera à créer une arme « d’intrusion » afin de prendre pied sur un pivot au sein de l’organisation. Dans les faits, les attaquants réutilisent généralement du code déjà prêt qui peut parfois être personnalisé en fonction de la cible.
Delivery Action visant à injecter la première charge sur au moins une machine dans l’organisation. De nos jours, il s’agit souvent d’une campagne de phishing accompagnée d’une pièce jointe PDF contenant du code malicieux. Bien sûr, il existe des dizaines d’autres méthodes.
Exploitation Une fois la première charge installée sur au moins une machine, l’idée est maintenant d’exploiter les faiblesses du système cible – il existe ici des milliers de possibilités. Chaque erreur de configuration, chaque vulnérabilité (CVE) non patchée peut être utilisée pour exécuter du code sur les systèmes cibles.
Installation La Cyber Kill Chain® généralise ici en indiquant qu’il s’agit de l’installation d’un malware – dans ce contexte le terme « malware » désigne plutôt un « programme malicieux » qui aura la capacité de s’exécuter sur de nombreux systèmes cibles. L’objectif étant généralement de contrôler les systèmes à distance lors de la prochaine étape.
Command & Control (C2) Cette étape permettra de contrôler à distance l’ensemble des systèmes infectés, il existe en effet des systèmes complets permettant de « gérer » à distance les systèmes compromis afin d’exécuter la prochaine étape de l’attaque. Les actions réalisées à distance dépendent grandement de la suite de l’attaque, mais il s’agit par exemple de préparer le déploiement d’un ransomware sur l’ensemble des machines.
Actions on objectives Cette dernière étape permettra d’exécuter la finalité de l’attaque : DDOS, chiffrement des machines, exfiltration de données, etc. Le contenu exact dépend grandement de l’objectif initial.

 

Comme vous pouvez le constater, l’objectif de la Cyber Kill Chain® est de fournir un cadre générique aux attaques, afin de répertorier des étapes logiques et de définir les contre-mesures nécessaires à chacune des étapes.

Si l’on devait définir ce qu’est finalement « la détection d’attaque » nous pourrions tout simplement énoncer : « toute technique visant à détecter l’exécution d’une des étapes de la Cyber Kill Chain® ».

Il apparait néanmoins évident que certaines étapes sont plus simples à repérer que d’autres, par exemple il parait assez complexe (mais pas impossible) de repérer les différentes actions de reconnaissance réalisées par les attaquants. D’un autre côté, il semble assez simple de repérer la livraison d’un document PDF infecté via un email.

Une des tactiques défensives consistera donc à prioritiser ses efforts et à élaborer un couple « méthode+outillage » visant à repérer certaines actions réalisées lors des différentes étapes de la Cyber Kill Chain®.

 

MITRE ATT&CK®

Le framework MITRE ATT&CK® est « LE » framework de sécurité à la mode. Il est accessible depuis ce lien : https://attack.mitre.org/

Il est, en fait, divisé en plusieurs sous-frameworks, le plus connu étant « ATT&CK Matrix for Enterprise » dont l’objectif est de référencer toutes les tactiques et techniques d’attaque visant les entreprises.

 

Aperçu du framework ATT&CK Matrix for Enterprise – source https://attack.mitre.org/

 

Le modèle est toujours représenté avec un ensemble Tactique / Technique / Sous-techniques :

 

Exemple du triptyque Tactique/Technique/Sous-techniques – source https://attack.mitre.org/

 

Depuis le site web de MITRE, lorsque l’on sélectionne une technique ou sous-technique, on obtient une description complète, avec notamment la liste des outils pouvant être utilisés pour exécuter cette même technique ou sous-technique :

 

Aperçu de la sous-technique T1548.002 – source https://attack.mitre.org/

 

Le framework MITRE ATT&CK® est extrêmement complet, de plus il est mis à jour très régulièrement. Il s’agit d’une mine d’or lorsque l’on veut comprendre les méthodes d’attaque et explorer ensuite les méthodes défensives. Il est, en effet, important de penser comme un attaquant pour mieux pouvoir se défendre.

 

Stratégie de détection d’attaque

Comme vous pouvez l’imaginer, il ne sera vraisemblablement pas possible pour toutes les organisations de couvrir l’ensemble du spectre de détection, cela nécessite des moyens humains et techniques qui seront très difficiles à rassembler.

D’ailleurs, fait amusant, la partie humaine des moyens et généralement la plus complexe à agréger et à garder, alors que l’outillage est assez simple à acquérir et à conserver quand on a les moyens financiers.

Pour définir la stratégie adéquate, nous allons procéder par élimination, et retirer du spectre défensif les éléments qui semblent réellement hors de portée pour l’organisation. Encore une fois, si vous avez des moyens humains et techniques illimités, vous pourrez tout couvrir, mais il s’agit ici d’avoir une approche pragmatique qui convienne au plus grand nombre.

D’abord éliminons les séquences sur lesquelles il est très compliqué d’avoir de l’emprise.

Concernant les vecteurs d’attaques :

  • Mauvaise configuration

Il est assez simple de mettre en œuvre des outils pour détecter et catégoriser les mauvaises configurations des différents systèmes – en prenant pour objectif de vérifier les éléments qui sont systématiquement attaqués pendant une tentative d’intrusion (comme Active Directory par exemple)

  • Vulnérabilité – CVE

Ici encore, de nombreux outils existent pour découvrir et qualifier par criticité les différentes failles de vulnérabilités présentes sur les systèmes de l’organisation

  • Vulnérabilité – ZeroDay

Par définition une faille ZeroDay n’est pas connue publiquement, bien sûr il est possible de « trainer » sur certains forums spécialisés pour glaner des informations, mais cette action sera très consommatrice de temps, pour un résultat incertain – nous éliminerons donc la traque des ZeroDays de notre portofolio défensif

  • Social hacking

Mon avis n’est pas tranché sur le sujet. Si l’on prend le social hacking sous l’angle de la manipulation par abus, il peut être intéressant de réaliser des formations auprès de ses collaborateurs pour les sensibiliser aux gestes barrières. Si l’on considère que le Social hacking intègre également (ce qui est ma position) le fait de proposer de l’argent à un collaborateur pour introduire un vecteur d’infection au sein de l’organisation, la tâche préventive est tout de suite beaucoup plus ardue, car le niveau de défense dépend indirectement du nombre de Bitcoins qui seront proposés au collaborateur indélicat. Je considère donc globalement qu’il faut sortir le Social hacking de l’équation, même si je suis certain que plein de consultants sécurité ne partageront pas ma position.

 

Concernant la chaine d’attaque (Cyber Kill Chain®) :

  • Reconnaissance

Il est quasi impossible d’empêcher un attaquant de se renseigner sur vous. Au mieux vous pourrez détecter certains signaux faibles qui proviennent de requêtes sur les moteurs de recherche, il existe aussi des sociétés spécialisées dans ce domaine, mais franchement l’effort est trop important vis-à-vis du bénéfice obtenu

  • Weaponization

Ici pas de doute, il est impossible d’empêcher un attaquant de s’armer dans son coin…

  • Delivery

Il s’agit d’une étape où l’on touche le SI de l’organisation, des actions défensives peuvent donc être envisagées

  • Exploitation :

Il s’agit d’une étape où l’on touche le SI de l’organisation, des actions défensives peuvent donc être envisagées

  • Installation

Il s’agit d’une étape où l’on touche le SI de l’organisation, des actions défensives peuvent donc être envisagées

  • Command&Control

Il s’agit d’une étape où l’on touche le SI de l’organisation, des actions défensives peuvent donc être envisagées

  • Actions on objectives

Bon, malheureusement, si l’attaquant est arrivé au bout de la chaine, c’est déjà trop tard… il est, en effet très complexe de concentrer des efforts pour détecter les actions réalisées au sein du système d’information si l’attaquant possède déjà tous les privilèges nécessaires. Néanmoins, il peut être intéressant de pouvoir détecter certains mouvements qui ne permettraient pas encore un contrôle total du SI. Nous le garderons donc dans notre équation, même si nous le considérerons comme optionnel car arrivant un peu tard dans la chaîne de valeur de l’attaquant.

 

Pour résumé, la stratégie défensive doit donc se concentrer sur les éléments suivants (en jaune) :

 

Résumé des efforts défensifs à réaliser

 

 

Outillage

 

Dans un article aussi court, il est évidemment très compliqué de proposer une liste exhaustive des outils à implémenter pour détecter les attaques. Vous retrouverez, néanmoins dans ce tableau des pistes que vous pourriez explorer pour chacune des étapes de la Cyber Kill Chain®.

 

Etapes de la Cyber Kill Chain® Outillage possible
Delivery §  Tous les outils anti-phishing tels que : Cofense, Proofpoint, Agari, etc.

§  Tous les outils permettant de contrôler l’usage des périphériques USB : Drivelock, Ivanti, Intune, etc.

§  Tous les outils permettant une authentification FIDO2 sur les services en ligne : Feitian, Yubico, etc.

 

Exploitation §  Tous les outils permettant de référencer et prioriser les CVEs présentes sur les systèmes : Nessus, OpenVAS, Qualys, etc.

§  Tous les outils permettant de répertorier les mauvaises configurations des systèmes : Alsid for AD, Firewalk, Firewall Change Tracker, etc.

 

Installation §  Tous les outils de type EDR : Tehtris, FireEye, etc.

§  Tous les outils de type Anti-Virus : McAfee, Symantec, etc.

 

Command & Control §  Tous les outils de type NDR : Vectra, DarkTrace, etc.

§  Tous les outils surveillant les actions dans Active Directory : Alsid for AD, Quest Change Auditor, etc.

§  Tous les outils de SIEM : Azure Sentinel, Qradar, Splunk, etc.

 

Actions on objectives §  Tous les outils orientés détection d’attaque au niveau le plus haut d’Active Directory (domain dominance) : Alsid, Microsoft Identity Defender, etc.

§  Tous les outils de DLP : Digital Guardian, Forcepoint, Secure Trust, etc.

 

 

 

Derniers conseils !

Nous arrivons à la fin de cet article, il nous reste néanmoins à vous fournir quelques conseils fondateurs à suivre lorsque vous définirez votre posture défensive :

  1. Ne pas mettre tous ses œufs dans le même panier 

En effet, ne pensez pas qu’un EDR seul ou un outil anti-phishing unique permettra de sécuriser votre environnement, vous aurez toujours des trous dans la raquette quelle que soit la solution implémentée. Retenez que le fait d’implémenter des solutions de contrôle à plusieurs niveaux sera clé dans votre stratégie globale

  1. Privilégiez les solutions « dédiées » 

Ne pensez pas qu’une solution générique est capable de tout faire, c’est tout bonnement impossible, un seul produit de sécurité ne peut pas tout couvrir. Je vous conseille de sélectionner des solutions précises pour des problématiques précises

  1. Ne pas oublier les hommes et les process 

Un outil ne peut rien faire seul, vous devrez investir dans les hommes, les former et leur permettre de progresser. De plus, l’organisation générale et des process clairs seront primordiaux au sein d’une posture de sécurité efficace

  1. Douter de vous-même 

N’arrêtez jamais de douter de vous-même, de vos choix et de votre connaissance. La suffisance et la non-remise en question sont vraisemblablement les pires ennemis d’un architecte sécurité

  1. Ecoutez vos pairs 

Echangez avec des organisations qui ont été confrontées aux mêmes problématiques et recueillez des retours d’expérience, cela vous fera gagner un temps précieux et vous évitera bien des erreurs déjà réalisées par vos pairs

 

Il ne me reste plus qu’à vous remercier pour le temps consacré à la lecture de cet article et à vous dire à très bientôt sur les réseaux sociaux ou sur les salons spécialisés.

 

 

 

Sécurité - Par Sylvain Cortes - Publié le 11 mai 2021