Rencontrez-nous à la conférence RSA 2024
Réservez une démonstration de 15 minutes

Se mettre dans la peau d'un agresseur

13 mai 2021
Henrik Davidsson
Directeur principal de la stratégie, des programmes et de l'habilitation des partenaires mondiaux, Vectra
Se mettre dans la peau d'un agresseur

Les cyberattaques font la une des journaux du monde entier et le bruit qu'elles font ne semble pas près de s'arrêter. Pire que le bruit, ce sont bien sûr les dommages que ces attaques causent aux organisations touchées, qui doivent manifestement modifier certains de leurs comportements et stratégies pour contribuer à combler le fossé qui les sépare.

Dans cette optique, et pour mieux comprendre comment une organisation augmente ses chances de subir une violation, j'ai rassemblé quelques réflexions :

  • Concentrez-vous sur l'augmentation de vos environnements complexes avec de nouveaux types de points d'extrémité et de connexions cloud . Où commence votre réseau ? Où se termine-t-il ? Qui peut s'y connecter ? Apportez votre propre appareil (BYOD) ? Variété d'appareils. COVID-19. Il existe de nombreux points d'entrée ainsi que des services cloud et SaaS où des données sont échangées.
  • Des pirates plus sophistiqués, motivés par des incitations financières provenant de syndicats du crime organisé, par l'hacktivisme à motivation politique, par le vol de la propriété intellectuelle parrainé par l'État-nation. Comment se protéger contre des attaquants parrainés par des États et disposant d'un temps et de ressources illimités ? Ils entreront !
  • Les attaques de faible intensité et hautement qualifiées sont notoirement difficiles à détecter. L'utilisation de différents mécanismes d'obscurcissement du transport des logiciels malveillants et de la source de l'attaque ne permet pas d'avoir une vue d'ensemble. Avez-vous une vision globale de votre posture de sécurité ?
  • Essayer de déchiffrer les logiciels malveillants rétrospectivement et tenter d'apprendre de nouveaux modèles d'attaques est réactif. Même les analyses de bacs à sable et de journaux nécessitent un modèle connu et des instructions sur ce qu'il faut rechercher. Nous avons vu de nouveaux types d'attaques révolutionnaires comme SolarWinds/SUNBURST, Hafnium, Sodinikibi, Stuxnet avec une toute nouvelle approche, couvrant les environnements on-prem, cloud et SaaS.
  • Code mal écrit/vulnérable, portes dérobées non divulguées et certificats de signature volés/frappés. Des certificats racine ont été volés et utilisés pour signer des logiciels malveillants en tant que paquets légitimes. Même la mise à jour de Windows a été corrompue.

Se mettre dans la peau d'un agresseur

Imaginez le scénario suivant : Un attaquant débarque sur un site aléatoire endpoint de votre organisation. Quel est son premier objectif ? Tout d'abord, il devra déterminer où il se trouve dans l'organisation, puis rechercher sur le site endpoint des informations mises en cache. Ces informations pourraient être les suivantes

  • Les informations d'identification sont temporairement stockées dans la mémoire et sauvegardées dans le navigateur.
  • Partages de fichiers connectés
  • Contrôleurs de domaine connectés
  • l'historique de navigation vers les ressources SharePoint (qui peut inclure des informations d'identification enregistrées)
  • Vulnérabilités à exploiter pour devenir administrateur local

Avant de passer à l'action, ils devront bien sûr éviter de déclencher un antivirus ou de laisser des traces.

La furtivité est le mot d'ordre, mais quelle est la prochaine étape ?

Ils doivent établir de multiples moyens de rester à l'intérieur du réseau de l'entreprise afin de se déplacer latéralement. Il convient également de noter que l'attaque du réseau et des infrastructures hybrides cloud peut s'avérer très efficace pour rester persistant. Une fois ces éléments établis, c'est parti ! Ils seront en mesure de :  

  • Récolter les informations d'identification - en particulier les informations d'identification administratives
  • Essayer de se connecter aux services utilisés par l'utilisateur
  • Éviter le balayage, en particulier entre les segments dotés de pare-feu.
  • Trouver des services vulnérables accessibles à exploiter
  • Utiliser des informations d'identification volées pour se déplacer avec les outils informatiques habituels (bureau à distance, SSH, PowerShell, etc.). Forcer les identifiants hors ligne et en ligne tels que Azure AD, etc.

La reconnaissance passe par l'observation et l'apprentissage, mais quels sont les principaux objectifs de l'attaquant ?  

  1. Obtenir un accès privilégié à l'infrastructure, au réseau sur site, à cloud et à SaaS. Cela pourrait leur donner l'occasion de lancer des escroqueries par hameçonnage ou ingénierie sociale et même leur permettre d'établir un accès à d'autres employés ou partenaires.
  2. S'étendre à l'ensemble de l'infrastructure, ce qui pourrait signifier la diffusion de logiciels malveillants, l'obtention d'un accès élevé et l'établissement d'un contrôle plus poussé des comptes compromis.
  3. Exécuter l'objectif et voler ou détruire les actifs clés. Outre la localisation des actifs clés, ils s'efforceront d'agréger des données, de voler la propriété intellectuelle, de transférer des fonds ou même de perturber la continuité de l'activité en lançant des attaques DDoS ou des ransomwares. Avant de quitter le réseau, ils peuvent même miner des bitcoins si l'occasion s'y prête.

Je sais, cela fait beaucoup de dégâts à la dernière étape. Mais la bonne nouvelle, c'est que si nous pouvons détecter et arrêter un attaquant avant cette étape, nous avons de très bonnes chances qu'il n'y ait pas de dommages réels.  

Mais que se passe-t-il si l'attaquant n'est pas détecté ou s'il a atteint ses objectifs ?

Ils peuvent effacer les preuves, les sauvegardes, les journaux et les fichiers malveillants. N'oubliez pas que les ransomwares sont efficaces pour détourner l'attention et crypter les preuves. De plus, l'accès futur peut également être vendu sur le dark web.

Comme nous l'avons tous vu à la une des journaux, c'est souvent "trop peu, trop tard" et tout ce qu'il vous reste à faire, c'est de vous poser de nombreuses questions.

  • Quel était le point d'entrée ?
  • Voulaient-ils voler, saboter ou extorquer ?
  • Qui m'attaque, de quelles ressources dispose-t-il et qu'est-ce qui le motive ?
  • Puis-je améliorer mes protections, mes détections, mes routines ou la sensibilisation des utilisateurs pour éviter cela ?

De quoi avez-vous besoin ?

Les opérations de sécurité doivent commencer à construire la prochaine génération de centres d'opérations de sécurité (SOC), ou SOC v2.0 si vous voulez. La raison d'être du concept SOC v2.0 est que les mesures actuelles - et la façon dont les opérations de sécurité sont construites avec un renouvellement continu des ressources clés, une surcharge d'informations et des outils technologiques cloisonnés - constituent un risque pour la sécurité, même si certains des outils sont adéquats.

Construire un SOC v2.0 signifie une approche plus abordable, moins dépendante d'un grand nombre de personnes, détectant les attaques plus rapidement, introduisant l'automatisation, de nouvelles techniques analytiques et prête pour la bataille contre des attaques jamais vues auparavant. Restez à l'écoute pour un prochain article dans lequel nous entrerons plus en détail dans le SOC v2.0.

Pour en savoir plus sur la façon dont vous pouvez aider votre organisation à éviter les violations coûteuses, tirez parti de nos ressources sur la protection contre les ransomwares, découvrez comment Vectra peut améliorer la visibilité de votre SOC, ou contactez-nous pour planifier une démonstration.