Rencontrez-nous à la conférence RSA 2024
Réservez une démonstration de 15 minutes

Détecter les cyberattaques avant qu'elles ne réussissent

18 novembre 2022
Stijn Rommens
Directeur de l'ingénierie de sécurité, Vectra AI
Détecter les cyberattaques avant qu'elles ne réussissent

Les cyberattaques réussies sont toujours en hausse

À la lecture du rapport 2022 de Verizon sur les enquêtes relatives aux violations de données, il devient évident - et triste - que 2021 a été une fois de plus une année marquée par un nombre considérable de cyberattaques réussies :

  • Nous avons assisté à des violations exploitant des vulnérabilités de type "zero-day" et des CVE critiques, dont certaines multiples dans MS Exchange (Hafnium) et avec Log4J.
  • L'année suivant SolarWinds, un certain nombre d'attaques de la chaîne d'approvisionnement se sont produites, comme chez Kaseya.
  • Très souvent, cependant, de nombreuses violations sont encore causées par de simples erreurs et des configurations erronées.

Le résultat ou la "finalité" de ces violations - très souvent liées à une menace persistante avancée (APT), ou devrions-nous dire aujourd'hui une APT "hautement évasive" - est de voler des données ou de mettre en place un ransomware. Très souvent, en fait, les deux sont exploités en parallèle, ce que l'on appelle la "double extorsion".

Un examen plus approfondi de la rubrique des ransomwares montre que Verizon a observé une augmentation de 13 % en glissement annuel, rendant les ransomwares responsables de 25 % de l'ensemble des incidents de cybersécurité.

En ce qui concerne le modus operandi d'une APT, nous constatons qu'une telle attaque se déroule le plus souvent, voire toujours, par étapes. On peut donc se demander pourquoi l'accent est toujours mis sur le résultat d'une attaque, le ransomware, plutôt que sur les similitudes qui peuvent être observées pour parvenir à cette "finalité".

En outre, toutes les entreprises victimes d'une intrusion ont déjà déployé un ensemble de solutions de sécurité, allant du réseau au site endpoint, en s'appuyant sur des signatures et sur le "nouvel étalon-or", l'IA/ML.

Le problème des stratégies préventives de cybersécurité

Alors, pourquoi cela se produit-il encore et encore ? Pourquoi ne pouvons-nous pas détecter et prévenir ces attaques plus tôt dans la séquence, avant qu'elles ne réussissent ?

Concentrons-nous sur quelques chiffres de la recherche pour ajouter un peu de contexte. Par exemple, examinons le nombre de vulnérabilités et d'expositions communes (CVE) auxquelles nous devons faire face :

  • Plus de 20 000 nouveaux CVE ont été divulgués l'année dernière, soit une augmentation d'environ 10 % par rapport à l'année précédente.
    Selon Tanium, la plus ancienne découverte date de 21 ans et concerne SNMPv2, qui est encore largement utilisé pour gérer les appareils sur un réseau IP.
  • Plus de 10 % de ces CVE sont considérés comme "critiques". Cela fait plus de 2000 ! Soit plus de 165 par mois. Même si elles ne s'appliquent pas toutes à votre environnement, vous devez tout de même faire face à un grand nombre d'entre elles.
  • Au premier trimestre 2022, la base de données nationale sur les vulnérabilités (NVD), qui observe les CVE, contient déjà plus de 8 000 CVE (soit une augmentation de 25 % par rapport à la même période de l'année précédente).

Les statistiques ci-dessus sont impressionnantes car elles indiquent la tâche impossible que représentent la recherche, la détection et l'application de correctifs à tous ces éléments dans l'environnement concerné. C'est tout simplement impossible en raison de la quantité, mais aussi du risque de mettre les systèmes critiques hors ligne suffisamment longtemps pour les corriger. Sans parler des systèmes que vous ne pouvez pas patcher du tout parce que vous n'osez pas les toucher...

Le problème des stratégies préventives et correctives devient encore plus évident lorsque l'on commence à examiner les attaques qui se sont réellement produites, en exploitant ces CVE :

  • 75% des attaques en 2020 ont utilisé des vulnérabilités vieilles de plus de 2 ans, indique Check Point dans son rapport 2021 sur la cybersécurité.
    18% étaient même vieilles d'au moins 7 ans ...
  • La plupart de ces CVE critiques ont été militarisés/exploités bien avant que le CVE ne soit publié et mis à la disposition des chasseurs de menaces.
    Selon Palo Alto Networks, il s'agit de 80 % des exploits publics publiés avant que le CVE ne soit rendu public.
    Il s'est écoulé en moyenne 23 jours avant que le CVE ne soit publié.
  • Enfin, le délai moyen de remédiation (MTTR) est toujours d'environ 58 jours, selon Edgescan.
    Et n'oubliez pas d'ajouter la moyenne de 23 jours avant la publication du CVE.

Un examen sérieux de ces données révèle, si j'ose dire, que les approches basées sur les signatures, que ce soit pour prévenir les menaces ou pour les détecter (après coup), ne sont tout simplement pas suffisantes pour préserver votre patrimoine des cyberattaques.

Il est clair que de nombreuses brèches initiales ne peuvent pas être détectées par les capacités de prévention principales, soit parce qu'elles ne sont pas connues, soit parce qu'elles peuvent échapper aux capacités de prévention existantes.

En outre, une étude récente menée par l'entreprise berlinoise SRLabs a révélé que l'évasion des systèmes de détection des explosifs est un problème réel et qu'il est désormais possible de la rationaliser. Ils soulignent qu'il ne s'agit plus d'un "métier". Leur conclusion est tout à fait stupéfiante et doit être considérée comme un signal d'alarme : "Dans l'ensemble, les EDR ajoutent environ 12 % ou une semaine d'efforts de piratage lorsqu'il s'agit de compromettre une grande entreprise, sur la base du temps d'exécution typique d'un exercice d'équipe rouge.

En d'autres termes, l'EDR n'est pas le Saint-Graal : Ce n'est rien de plus qu'un élément indispensable d'une stratégie de sécurité à plusieurs niveaux.

Révisons nos bonnes pratiques en matière de cybersécurité

Pour atténuer le problème, nous devons revoir nos meilleures pratiques en matière de cybersécurité :

  • Les concepts de confiance zéro ne sont pas suffisants, notamment en raison de la complexité de leur mise en œuvre.
  • La sécurité à plusieurs niveaux est indispensable.
  • Les capacités de prévention ne suffisent pas non plus : Il y aura toujours au moins un labyrinthe dans le réseau.
  • Il faut investir dans une capacité de détection non invasive du réseau, combinée à une pratique d'orchestration complète pour réagir.

Toute entreprise soucieuse de la continuité de ses activités doit impérativement considérer la science des données comme un outil permettant de renforcer ses pratiques opérationnelles en matière de cybersécurité et d'en garantir l'efficacité.

La science des données ne peut toutefois pas traiter facilement une surcharge d'indicateurs de menace. La mise en œuvre économique consiste à tirer parti de la science des données pour passer du traitement rapide de peu d'indicateurs à l'obtention d'une valeur réelle en ne révélant qu'un nombre limité d'incidents de sécurité de grande valeur et dignes de confiance.

C'est le seul moyen de détecter les incidents significatifs avant qu'ils ne se transforment en violation. C'est en fait très simple.

Tout le monde connaît le défi de trouver une aiguille dans une botte de foin. Se frayer un chemin à travers le foin est votre facteur limitant, même si la science des données peut vous aider à traiter plus de foin. Mais ne serait-il pas préférable de ne pas produire de botte de foin à traiter en premier lieu, afin de voir l'aiguille qui se trouve devant vous ?

Tirer parti de la science des données signifie ne pas se concentrer sur les éléments constitutifs, comme la découverte d'une vulnérabilité de type "zero-day" ou d'un exploit utilisant une telle vulnérabilité. Elles sont trop nombreuses et interminables. Le meilleur choix est d'utiliser le potentiel de la science des données pour comprendre et voir ce qu'un attaquant pourrait faire une fois qu'il applique l'une de ces vulnérabilités à un système. En d'autres termes, il faut l'utiliser pour identifier les TTP et l'appliquer en conjonction avec un bon cadre, comme celui de MITRE.

Les actions ou tactiques disponibles après le jour zéro ne sont pas nombreuses mais très régulières.

Tout comme Hansel, qui s'efforça de créer un chemin de retour pour lui et Gretel à l'aide de pavés, un attaquant crée lui aussi un chemin au sein de votre réseau. Vectra peut aider à identifier ce chemin et à transformer les pavés en miettes de pain afin que l'attaquant se perde et qu'il soit possible de l'identifier.

Conclusion

N'essayez pas d'empêcher le jeu final de l'attaquant ; concentrez-vous plutôt sur la détection et le blocage du chemin créé avant que le jeu final ne puisse même se produire.

Sources :

https://www.verizon.com/business/resources/reports/dbir/

https://www.comparitech.com/blog/information-security/cybersecurity-vulnerability-statistics/ ‍

https://arstechnica.com/information-technology/2022/08/newfangled-edr-malware-detection-generates-billions-but-is-easy-to-bypass/