Comportements de la menace dans le cycle de vie de l'attaque

20 juin 2019
Vectra AI Security Research team
Cybersécurité
Comportements de la menace dans le cycle de vie de l'attaque

Une cyberattaque active comporte plusieurs phases et chacune d'entre elles constitue un maillon périlleux d'une chaîne meurtrière complexe qui donne aux criminels la possibilité d'espionner, de diffuser et de voler des informations critiques dans les charges de travail natives et hybrides de cloud , ainsi que dans les dispositifs utilisateur et IoT.

En offrant une visibilité de haute fidélité sur l'ensemble des charges de travail et du trafic réseau, la plateforme Cognito, pilotée par l'IA, de Vectra détecte les comportements des menaces en temps réel à chaque phase du cycle de vie de l'attaque.

Phases du cycle de vie d'une attaque

Phase du cycle de vie de l'attaque, depuis le commandement et le contrôle jusqu'à l'exfiltration de données. Qu'il s'agisse d'une attaque ciblée ou d'une attaque opportuniste.

Il est essentiel de savoir quand une attaque passe d'une phase à l'autre. Par exemple, une attaque qui passe de la phase de reconnaissance interne à la phase de mouvement latéral peut être plus importante que la somme de ses parties.

Certains événements dans les phases du cycle de vie de l'attaque sont plus révélateurs d'attaques ciblées que d'autres. Par exemple, les comportements opportunistes de monétisation de réseaux de zombies peuvent indiquer la présence de logiciels criminels, mais ne constituent pas une attaque ciblée. En revanche, les comportements de reconnaissance interne et de déplacement latéral sont des indicateurs forts d'attaques ciblées.

Voici une décomposition et une description générale de chaque phase du cycle de vie de l'attaque.

Commandement et contrôle

Commandement et contrôle

Les comportements C&C se produisent lorsque les appareils semblent être sous le contrôle d'une entité malveillante externe. Le plus souvent, le contrôle est automatisé parce que l'appareil fait partie d'un réseau de zombies ou qu'il est équipé d'un logiciel publicitaire ou d'un logiciel espion. Plus rarement, mais surtout, un appareil peut être contrôlé manuellement par une personne extérieure malveillante. C'est le cas le plus menaçant et cela signifie souvent que l'attaque est ciblée sur une organisation spécifique

Reconnaissance interne

Reconnaissance interne

Les comportements de reconnaissance des attaquants se produisent lorsqu'un appareil est utilisé pour cartographier l'infrastructure de l'entreprise. Cette activité fait souvent partie d'une attaque ciblée, bien qu'elle puisse indiquer que les botnets tentent de se propager en interne à d'autres appareils. Les types de détection couvrent les analyses rapides et les analyses lentes des systèmes, des ports réseau et des comptes d'utilisateurs.


Mouvement latéral

Mouvement latéral

Le mouvement latéral couvre les scénarios d'action latérale visant à faire progresser une attaque ciblée. Il peut s'agir de tentatives de vol d'identifiants de compte ou de vol de données à partir d'un autre appareil. Il peut également s'agir de compromettre un autre appareil afin de renforcer la position de l'attaquant ou de se rapprocher des données cibles. Cette étape du cycle de vie des attaques est le précurseur de la pénétration dans les centres de données privés et les nuages publics.

Exfiltration de données

Exfiltration de données

Il y a exfiltration de données lorsque des données sont envoyées à l'extérieur d'une manière qui vise à dissimuler le transfert. Normalement, les transferts de données légitimes n'impliquent pas l'utilisation de techniques visant à dissimuler le transfert. L'appareil qui transmet les données, l'endroit où il les transmet, la quantité de données et la technique utilisée pour les envoyer sont des indicateurs d'exfiltration.

Vectra Monétisation des réseaux de zombies

Monétisation des réseaux de zombies

Les réseaux de zombies sont des comportements d'attaque opportunistes dans lesquels un appareil rapporte de l'argent à son gardien de zombies. Les moyens par lesquels un appareil infecté peut être utilisé pour produire de la valeur vont de l'extraction de bitcoins à l'envoi de spams en passant par la production de faux clics publicitaires. Pour réaliser des bénéfices, le bot herder utilise les appareils, leurs connexions réseau et, surtout, la réputation intacte des adresses IP qui leur ont été attribuées.

Pour plus d'informations sur les comportements des menaces à chaque phase du cycle de vie des attaques, téléchargez le rapport 2019 Attacker Behavior Industry Report ou contactez-nous sur vectra.ai/demo.

Foire aux questions