Derrière chaque cyber menace, se cache un être humain. Aussi automatisées soient-elles, elles ont toutes été lancées par un être conscient. Et les pirates informatiques ne renoncent jamais : ils perfectionnent sans cesse leurs attaques.
La cybersécurité est une préoccupation relativement nouvelle pour les entreprises. Elles peinent à appréhender la maxime de Stanley Baldwin, qui date 1932 : « le poseur de bombe parviendra toujours à se faufiler ». Cette phrase se prête très bien à la cyber sécurité : trop d’entreprises pensent que leurs solutions automatisées les protégeront systématiquement. Ce n’est pourtant pas le cas : les pirates informatiques parviennent à les contourner.

Les cyberdéfenses d’aujourd’hui reposent souvent sur des niveaux élevés d’automatisation. Face à ces solutions, les hackers sont prêts à innover et à se montrer créatifs. Ils apprennent à déjouer tout type de défenses automatisées. C’est le plus grand échec de la prévention, qui est devenue trop dépendante de l’automatisation. C’est une importante leçon. C’est pourquoi nous encourageons les entreprises à opter désormais pour des outils de détection et de réponse.

Miser uniquement sur des mesures de sécurité automatisées présente plusieurs lacunes. De nombreuses équipes ne répondent qu’aux activités reconnues comme « malveillantes ». Elles oublient les activités perçues comme « inconnues ». C’est pourtant ainsi que se présentent au départ les TTP (tactiques, techniques et procédures) des pirates informatiques lorsqu’elles ne sont pas encore répertoriées.

Réagir uniquement aux activités catégorisées comme malveillantes, plutôt que d’enquêter de manière proactive sur les activités inconnues et sur les anomalies, tient de la complaisance. Ce type de fonctionnement permet aux hackers qui utilisent de nouvelles TTP de passer inaperçus. Développer cette approche n’apportera pas grand-chose par rapport à la protection traditionnelle des postes de travail, dont nous savons déjà qu’elle n’arrête pas les attaques ciblées.

Sécurité offensive : une valeur ajoutée liée aux professionnels eux-mêmes

L’automatisation se base sur des règles pour détecter les activités malveillantes et prendre des mesures.

Malheureusement, les hackers n’obéissent pas à ces règles. Les entreprises doivent accepter ce douloureux constat. Elles doivent désormais recourir à des services de sécurité offensifs comme le Red Teaming, afin d’obtenir des indicateurs plus pertinents.

À l’inverse des mesures de cyber protection traditionnelles, le Red Teaming ne se contente pas de mesures d’automatisation. Une analyse de vulnérabilité peut, certes, s’avérer utile lors d’un exercice de Red Teaming, mais le rôle des équipes de Red Teams est justement d’aller plus loin.

L’intérêt du test de Red Teaming n’est pas lié à l’analyse. Il tient aux professionnels expérimentés qui utilisent leurs compétences et leur intuition pour imaginer comment un hacker s’y prendra pour exploiter les vulnérabilités d’une entreprise. La sécurité défensive n’a pas su tirer profit de l’ingéniosité humaine. Mais le Threat Hunting donne aux entreprises un moyen efficace de combler cette lacune.

Le Threat Hunting repose sur une défense proactive en évolution constante. Il vise à toujours mieux cerner, et à mieux anticiper les techniques de piratage. Il constitue un atout crucial contre les cyberattaques avancées, qui gagnent en popularité auprès des pirates informatiques.

Cyberattaques persistantes avancées : les dernières évolutions

Les attaques de la chaîne d’approvisionnement ont pris une nouvelle ampleur ces dernières années. Lorsqu’ils recourent à ce type de stratégie, les hackers ne s’attaquent pas directement à leur cible : pour l’atteindre, ils s’en prennent d’abord à un fournisseur ou un prestataire de petite taille qui travaille avec elle. Il se servent de ces structures plus vulnérables comme tête de pont pour accéder aux systèmes visés.

L’attaque NotPetya de 2017 est sans doute le meilleur exemple de ce type de procédé. Le hacker avait tout d’abord ciblé des serveurs utilisés pour distribuer les mises à jour d’un programme informatique de gestion fiscale ukrainien. Par ce biais, il avait pu diffuser le ransomware/wiper NotPetya auprès de toutes les entreprises utilisant ce logiciel. Cette épidémie ne s’est pas limitée aux entreprises ukrainiennes : le malware a infecté des organisations du monde entier. Beaucoup considèrent aujourd’hui cette cyberattaque comme la plus coûteuse de l’Histoire.

Désormais, les attaques ciblées visent également les plateformes non-Windows. De nombreuses entreprises utilisent Windows. Il s’agit du système d’exploitation ayant jusque-là a attiré le plus de menaces. Il a de ce fait focalisé l’attention des spécialistes en cybersécurité. Les pirates informatiques ont maintenant compris que le secteur avait largement négligé les menaces ciblant d’autres plateformes. Ces dernières sont ainsi devenues des cibles idéales pour les nouvelles TTP qu’ils élaborent. MacOS est devenu particulièrement attractif. Fin 2019, un nouveau logiciel malveillant in-memory ciblant les Mac a notamment été attribué au groupe Lazarus, basé en Corée du Nord.

Ces deux tendances sont synonymes de nombreux défis pour les entreprises. Ces attaques peuvent aisément contourner les mesures de défenses automatisées. Mais le Threat Hunting permet de minimiser efficacement les risques.

La saison du Threat Hunting dure toute l’année

Certains hackers hautement qualifiés – disposant de ressources conséquentes – montrent un véritable dévouement à leurs activités de piratage. Ils peuvent passer des mois, voire des années, à poursuivre un seul objectif ou une seule cible. Dans certains cas, l’argent n’est pas un problème. Ils recourront à toutes les mesures nécessaires pour atteindre leur cible. Ils pourront recourir à des attaques 0-day, à l’ingénierie sociale ou même des attaques on-premise.

Les motivations des hackers ont leur importance. Il s’agit souvent d’argent, mais pas toujours. Les entreprises doivent savoir que la géopolitique, la macroéconomie et les autres évolutions sociales/politiques façonnent l’écosystème des cybermenaces.

Les entreprises travaillant dans des secteurs concernés par le plan quinquennal de la Chine doivent se préparer au cyberespionnage. De leur côté, de nombreuses entreprises travaillant en étroite collaboration avec le gouvernement américain cherchent à obtenir des informations sur les cybermenaces iraniennes, en recrudescence depuis la mort de Soleiman.

Les Threat Hunters sont avant tout des chercheurs. Ils étudient de manière proactive les réseaux pour comprendre comment des hackers pourraient tenter de les pirater. Ils cherchent aussi à déterminer comment évoluent les cybermenaces, et à mieux comprendre comment les attaques sont influencées par le contexte technologique, politique, économique et même culturel. En procédant ainsi, ils sont en mesure de déceler les signes d’une attaque de la chaîne d’approvisionnement en cours, de détecter des malwares sans fichier exécutable, de repérer le hijacking et les comptes piratés. Ils savent comment utiliser les technologies et l’automatisation mais en reconnaissent les limites.

Les produits classiques de protection des postes de travail (EPP) ne suffisent plus à protéger les entreprises même s’ils ont, bien entendu, toujours leur utilité. Ils permettent de combattre les nombreuses menaces opportunistes qui bombardent aveuglément les entreprises, à chaque minute de chaque jour. Sans ces mécanismes de prévention, les équipes de sécurité seraient totalement débordées. Et l’automatisation est essentielle au fonctionnement de ces outils. Mais, à l’ère de la détection et de la réponse, la sécurité ne doit plus seulement s’appuyer sur la technologie : l’être humain a, lui aussi, un rôle à jouer.
___________________

Par Lionel Doumeng, Ingénieur technique chez F-Secure