Les cyberattaques font la une des journaux du monde entier et le bruit qu'elles font ne semble pas près de s'arrêter. Pire que le bruit, ce sont bien sûr les dommages que ces attaques causent aux organisations touchées, qui doivent manifestement modifier certains de leurs comportements et stratégies pour contribuer à combler le fossé qui les sépare.

Dans cette optique, et pour mieux comprendre comment une organisation augmente ses chances de subir une violation, j'ai rassemblé quelques réflexions :

  • Concentrez-vous sur l'augmentation de vos environnements complexes avec de nouveaux types de points d'extrémité et de connexions cloud . Où commence votre réseau ? Où se termine-t-il ? Qui peut s'y connecter ? Apportez votre propre appareil (BYOD) ? Variété d'appareils. COVID-19. Il existe de nombreux points d'entrée ainsi que des services cloud et SaaS où des données sont échangées.
  • Des pirates plus sophistiqués, motivés par des incitations financières provenant de syndicats du crime organisé, par l'hacktivisme à motivation politique, par le vol de la propriété intellectuelle parrainé par l'État-nation. Comment se protéger contre des attaquants parrainés par des États et disposant d'un temps et de ressources illimités ? Ils entreront !
  • Les attaques de faible intensité et hautement qualifiées sont notoirement difficiles à détecter. L'utilisation de différents masques pour le mécanisme de transport malware et la source de l'attaque rend difficile l'obtention d'une vue d'ensemble. Avez-vous une vision holistique de votre posture de sécurité ?
  • Essayer de déchiffrer malware rétrospectivement et tenter d'apprendre de nouveaux modèles d'attaques est réactif. Même les analyses de bacs à sable et de journaux nécessitent un modèle connu et des instructions sur ce qu'il faut rechercher. Nous avons vu de nouveaux types d'attaques révolutionnaires comme SolarWinds/SUNBURST, Hafnium, Sodinikibi, Stuxnet avec une toute nouvelle approche, couvrant les environnements on-prem, cloud et SaaS.
  • Code mal écrit/vulnérable, portes dérobées non divulguées et certificats de signature volés/craqués. Des certificats racine ont été volés et utilisés pour signer malware en tant que paquets légitimes. Même la mise à jour de Windows a été corrompue.

Se mettre dans la peau d'un agresseur

Imaginez le scénario suivant : Un attaquant débarque sur un site aléatoire endpoint de votre organisation. Quel est son premier objectif ? Tout d'abord, il devra déterminer où il se trouve dans l'organisation, puis rechercher sur le site endpoint des informations mises en cache. Ces informations pourraient être les suivantes

  • Les informations d'identification sont temporairement stockées dans la mémoire et sauvegardées dans le navigateur.
  • Partages de fichiers connectés
  • Contrôleurs de domaine connectés
  • l'historique de navigation vers les ressources SharePoint (qui peut inclure des informations d'identification enregistrées)
  • Vulnérabilités à exploiter pour devenir administrateur local

Avant de passer à l'action, ils devront bien sûr éviter de déclencher un antivirus ou de laisser des traces.

La furtivité est le mot d'ordre, mais quelle est la prochaine étape ?

Ils doivent établir de multiples moyens de rester à l'intérieur du réseau de l'entreprise afin de se déplacer latéralement. Il convient également de noter que l'attaque du réseau et des infrastructures hybrides cloud peut s'avérer très efficace pour rester persistant. Une fois ces éléments établis, c'est parti ! Ils seront en mesure de :  

  • Récolter les informations d'identification - en particulier les informations d'identification administratives
  • Essayer de se connecter aux services utilisés par l'utilisateur
  • Éviter le balayage, en particulier entre les segments dotés de pare-feu.
  • Trouver des services vulnérables accessibles à exploiter
  • Utiliser des informations d'identification volées pour se déplacer avec les outils informatiques habituels (bureau à distance, SSH, PowerShell, etc.). Forcer les identifiants hors ligne et en ligne tels que Azure AD, etc.

La reconnaissance passe par l'observation et l'apprentissage, mais quels sont les principaux objectifs de l'attaquant ?  

  1. Obtenir un accès privilégié à l'infrastructure, au réseau sur site, à cloud et à SaaS. Cela pourrait leur permettre de lancer des escroqueries de type phishing ou d'ingénierie sociale, voire d'accéder à d'autres employés ou partenaires.
  2. S'étendre à l'ensemble de l'infrastructure, ce qui pourrait signifier la diffusion de malware, l'obtention d'un accès élevé et l'établissement d'un contrôle plus poussé des comptes compromis.
  3. Exécuter l'objectif et voler ou détruire les actifs clés. Outre la localisation des actifs clés, ils s'efforceront d'agréger des données, de voler la propriété intellectuelle, de transférer des fonds ou même de perturber la continuité de l'activité en lançant des attaques DDoS ou des ransomwares. Avant de quitter le réseau, ils peuvent même miner des bitcoins si l'occasion s'y prête.

Je sais, cela fait beaucoup de dégâts à la dernière étape. Mais la bonne nouvelle, c'est que si nous pouvons détecter et arrêter un attaquant avant cette étape, nous avons de très bonnes chances qu'il n'y ait pas de dommages réels.  

Mais que se passe-t-il si l'attaquant n'est pas détecté ou s'il a atteint ses objectifs ?

Ils peuvent effacer les preuves, les sauvegardes, les journaux et les fichiers malveillants. N'oubliez pas que les ransomwares sont efficaces pour détourner l'attention et crypter les preuves. De plus, l'accès futur peut également être vendu sur le dark web.

Comme nous l'avons tous vu à la une des journaux, c'est souvent "trop peu, trop tard" et tout ce qu'il vous reste à faire, c'est de vous poser de nombreuses questions.

  • Quel était le point d'entrée ?
  • Voulaient-ils voler, saboter ou extorquer ?
  • Qui m'attaque, de quelles ressources dispose-t-il et qu'est-ce qui le motive ?
  • Puis-je améliorer mes protections, mes détections, mes routines ou la sensibilisation des utilisateurs pour éviter cela ?

De quoi avez-vous besoin ?

Les opérations de sécurité doivent commencer à construire la prochaine génération de centres d'opérations de sécurité (SOC), ou SOC v2.0 si vous voulez. La raison d'être du concept SOC v2.0 est que les mesures actuelles - et la façon dont les opérations de sécurité sont construites avec un renouvellement continu des ressources clés, une surcharge d'informations et des outils technologiques cloisonnés - constituent un risque pour la sécurité, même si certains des outils sont adéquats.

Construire un SOC v2.0 signifie une approche plus abordable, moins dépendante d'un grand nombre de personnes, détectant les attaques plus rapidement, introduisant l'automatisation, de nouvelles techniques analytiques et prête pour la bataille contre des attaques jamais vues auparavant. Restez à l'écoute pour un prochain article dans lequel nous entrerons plus en détail dans le SOC v2.0.

Pour en savoir plus sur la façon dont vous pouvez aider votre organisation à éviter des violations coûteuses, tirez parti de nos ressources sur la protection contre les ransomwares, voyez comment Vectra peut améliorer la visibilité de votre SOC, ou contactez-nous pour planifier une démonstration.

Foire aux questions