Difficile de parler de menaces APT (Advanced Persistent Threat) sans répéter des choses maintes fois évoquées. Plutôt que de dresser une nouvelle fois le portrait robot d’une APT, intéressons-nous aux moyens pour préparer son réseau à faire face à ce type d’attaques. L’une des leçons majeures que nous avons apprises au sujet des APT est qu’il n’y a pas de protection à 100% ni de solutions miracles pour y répondre. Un constat plutôt pessimiste qui peut pousser à se demander s’il est encore utile de faire des efforts pour se protéger des APT, si la guerre est perdue d’avance ?
La sécurité n’est pas le fait de gagner ou de perdre une guerre, mais plutôt un moyen de maîtriser les risques. Une assurance en quelque sorte. Il est certain qu’aucun environnement informatique ne présente un risque zéro aujourd’hui, tout comme il est vrai qu’il n’y a pas de protection à 100%. Ainsi, le vrai challenge pour les responsables de la sécurité est de parvenir à maîtriser les risques et de permettre à leur entreprise de vivre sereinement malgré des menaces persistantes, et cela en construisant une défense solide.
Franchir les défenses du réseau : l’objectif premier d’une attaque APT
Les attaques APT sont extrêmement bien préparées et les hackers sont généralement prêts à investir beaucoup de ressources pour trouver les points faibles du réseau de l’entreprise. Les professionnels doivent être conscients qu’une erreur, même la plus minime – une erreur de configuration, une mise à jour de patch manquante, un mot de passe faible, etc. – suffit à l’attaquant pour exploiter une faille et pénétrer le réseau de l’entreprise. A ce stade de l’attaque, même si l’entreprise est face à un vrai problème, l’intrus ne peut pas accéder aux données sensibles, il ne peut pas non plus modifier des informations ou causer de problèmes majeurs.
Bien souvent, les cibles de ces attaques sont des utilisateurs à privilèges ou des VIP, dont les identifiants peuvent être utilisés pour accéder à un grand nombre de systèmes.
Une fois que l’attaquant a réussi à accéder à des ressources importantes via ces utilisateurs à privilèges, l’impact de l’attaque peut se révéler très important et l’entreprise peut perdre beaucoup. La mission du responsable de la sécurité est de maîtriser les risques, d’où l’importance de disposer d’une vue d’ensemble de la chaîne des événements qui peuvent mener à ces menaces.
Beaucoup de défenses traditionnelles se concentrent sur la première couche de sécurité en essayant de garder les attaquants à l’extérieur du périmètre du réseau. Mais dès lors que l’attaquant parvient à pénétrer le réseau et voler les identifiants d’utilisateurs – de préférence des utilisateurs à privilèges – il peut aller plus loin et masquer ses opérations puisqu’il possède des identifiants légitimes. La réalité est donc que toute la protection mise en place s’écroule dès lors que l’attaquant parvient à pénétrer les frontières du réseau.
Opposer à l’attaquant une architecture de sécurité multicouches complexe
L’objectif est donc de construire une architecture de sécurité dans laquelle les vulnérabilités connues des systèmes de défense classiques sont prises en comptes, et cela dès le début. La mise en place d’une redondance dans l’environnement permet, par exemple, d’éviter qu’une erreur isolée ne mène à un événement malveillant. De la même manière, la création de plusieurs couches de protection indépendantes, permet d’éviter qu’une erreur ne puisse causer des défaillances sur plusieurs niveaux. Une architecture de sécurité à couches multiples offre de nombreuses possibilités de stopper les attaquants. Ces derniers devront alors trouver une faille à exploiter sur chacune des couches de sécurité, ce qui compliquera considérablement leur travail.
En résumé, une sécurité à couches multiples permet de rendre la chaîne d’événements qui peut mener à une menace importante, beaucoup plus longue et complexe.
Combien de couches faut-il mettre en place ?
C’est une question compliquée. La plupart des professionnels de la sécurité ne jouissent pas de budgets et de ressources infinies, ce qui limite de fait les options et les niveaux de couches installés. Chaque couche additionnelle implantée rend plus complexe l’utilisation et la gestion du réseau, ou encore son adaptation face aux changements requis par l’évolution du business. De plus, nous venons juste de démontrer qu’ajouter ou dupliquer des couches à l’aveugle, ne signifie pas nécessairement augmenter la sécurité du système. Les RSSI doivent être efficients dans la manière dont ils construisent leur architecture. L’objectif est que chaque couche augmente la sécurité des autres, réduise le risque résiduel de la couche précédente, et qu’elles se chevauchent le moins possible pour ne pas être vulnérables aux mêmes exploits ou techniques d’attaques.
La sécurité basée sur des outils de contrôle traditionnels ne suffit plus
La sécurité traditionnelle est centrée sur la prévention et les contrôles, ce qui est efficace pour une première ligne de défense. Heureusement, la plupart des entreprises sont bien équipées sur ce premier niveau de sécurité. La question plus sensible concerne le second niveau de sécurité. En matière de risques résiduels, l’étape logique est d’ajouter une couche de détection plutôt qu’une couche de prévention. Le but étant de détecter tout compte utilisateur compromis dans le système. Pour obtenir de meilleur résultat, les RSSI doivent ainsi trouver le bon équilibre entre les outils de contrôle et les outils de surveillance. En effet, les systèmes de surveillance ne sont pas suffisants lorsqu’ils sont utilisés seuls ; en revanche ils peuvent augmenter l’efficacité des méthodes de contrôle et peuvent gérer les risques résiduels de manière très efficace.
Le vrai challenge pour les solutions de contrôle et de surveillance
Les techniques et les vecteurs d’attaques évoluant sans cesse reste le vrai challenge pour les solutions de contrôle et de surveillance dans le cas d’APT. Aussi bien au niveau du contrôle que de la surveillance, les RSSI ont besoin de solutions rapides, capables de fournir les informations en temps-réel. Les rapports hebdomadaires ou quotidiens sur les virus ne sont pas toujours très utiles, surtout lorsqu’il s’agit de traiter des vulnérabilités 0-day. Ces rapports ne fournissent pas la fréquence, ni l’exactitude dont l’entreprise a réellement besoin. Pour être efficace, la surveillance utilisée en deuxième ligne de sécurité, doit être précise et permettre de fournir des informations en quasi temps-réel. Le laps de temps pendant lequel le hacker peut être repéré est très court, ainsi la détection doit être extrêmement réactive.
L’objectif d’une utilisation efficace de la surveillance est de détecter les activités malicieuses dès que les attaquants ont réussi à franchir la première ligne de sécurité et essayent d’étendre leur empreinte dans le réseau. C’est à ce moment que la chance de détecter une activité malveillante sur le réseau est la plus importante. Ce système de surveillance est réellement le second niveau de défense. Il entre en action lorsque les attaquants ont réussi à monter une attaque et sont déjà dans le réseau. Evidemment, la surveillance peut être également utilisée pour détecter des utilisateurs malicieux en interne.
Repérer les activités malveillantes d’utilisateurs internes n’est toutefois pas chose facile. L’approche basée sur des méthodes et règles traditionnelles ne permet pas de surveiller toutes les activités des utilisateurs. Pour la plupart des SIEM (Security Information and Event Management) et autres solutions de surveillance, il y a tout simplement trop d’angles morts.
L’objectif est donc de détecter quand une attaque déguisée en une activité légitime est vraiment malicieuse. Cela pouvant être un attaquant agissant à la place d’un utilisateur légitime après lui avoir volé ses identifiants, ou simplement un utilisateur ayant un comportement pouvant être jugé comme suspect. Il faut être en mesure de détecter les deux !
Comment analyser les données de surveillance pour déceler les attaques et les événements intéressants ?
Les utilisateurs et plus particulièrement les êtres humains derrière les comptes utilisateurs, ont des comportements caractéristiques (ils utilisent les mêmes applications, réalisent les mêmes cycles d’opérations lorsqu’ils travaillent, accèdent aux mêmes données, tapent sur leur clavier d’une façon particulière, etc.). De telle façon que le mode d’interaction avec les systèmes IT laisse des empreintes reconnaissables qui peuvent être détectées et stockées de manière intelligente. Cet apprentissage intelligent sur les utilisateurs peut permettre de comparer des activités réalisées en temps réel sur la base des habitudes connues des utilisateurs. Tout comme les sociétés de carte de crédit peuvent surveiller les dépenses des utilisateurs et déterminer des profils pour détecter des fraudes, les systèmes de surveillance analytique de comportements d’utilisateurs peuvent surveiller l’activité des utilisateurs au sein du système IT.
Dès que les anomalies sont détectées, la contre-attaque adaptée peut être mise en place pour stopper une attaque en cours où investiguer sur l’événement en aval.
Les APT planent aujourd’hui au-dessus de toutes les entreprises. Mais aussi élaborées, discrètes et persistantes qu’elles puissent être, elles ne doivent plus être considérées comme une fatalité pour les entreprises. Des solutions peuvent être mises en place pour mieux surveiller et déceler les signaux faibles, pour contrôler son réseau et compliquer le travail des hackers. La connaissance accumulée sur les menaces et les modèles d’attaques nous permet aujourd’hui d’agir plus vite et d’anticiper les attaques… plutôt que d’attendre qu’il soit trop tard pour réagir !
__________
Márton Illés est Evangéliste produits BalaBit IT Security