Le comportement des pirates informatiques modernes s'apparente à un parcours en plusieurs phases. Les pirates passent cloud à l'autre (identité, réseau, cloud ) en utilisant souvent des outils légitimes et en adoptant un comportement normal afin de rester discrets. Il ne suffit pas de voir les alertes individuelles si les équipes ne parviennent pas à relier les actions entre elles pour obtenir une progression cohérente.
Cette page explique ce qu'est le comportement des attaquants, ce qu'il n'est pas, pourquoi il est important aujourd'hui et comment les équipes de sécurité peuvent l'envisager de manière à accélérer et à améliorer la précision des enquêtes.
Le comportement des attaquants désigne les actions et les schémas utilisés par ces derniers au cours d'une intrusion. Les attaques modernes sont généralement des processus complexes en plusieurs phases qui passent par cloud de l'identité, du réseau et cloud . Les attaquants tentent souvent de se dissimuler dans le bruit légitime du système pendant qu'ils effectuent des reconnaissances, étendent leur accès et s'efforcent d'assurer leur persistance ou d'accéder aux données.
Dans la pratique, le comportement des pirates informatiques comprend des opérations de reconnaissance interne telles que des analyses de ports ou l'énumération des partages de fichiers, des tentatives visant à établir une persistance et des techniques qui se fondent dans les activités normales des administrateurs. Il s'agit d'une vision globale d'une intrusion, et non d'une simple alerte ou d'un simple indicateur.
Le comportement de l'attaquant est souvent confondu avec des signaux adjacents qui ne traduisent ni intention ni progression. Ceux-ci sont liés, mais ne sont pas identiques :
Les experts décrivent le comportement des attaquants comme une progression rapide en plusieurs étapes à travers l'identité, le réseau et cloud. Au lieu de traiter les attaques comme des événements distincts, les professionnels sont encouragés à les considérer comme un parcours continu au cours duquel l'attaquant se déplace latéralement à travers des environnements tels qu'Azure AD, M365 et les réseaux traditionnels.
Une nuance importante réside dans le recours intensif aux techniques LOTL (living-off-the-land). Les pirates peuvent exploiter des outils administratifs tels que PowerShell, utiliser l'API Graph ou interagir avec des assistants IA tels que Microsoft Copilot afin d'accélérer la reconnaissance et la découverte de données. Ils échappent souvent à la détection grâce à des modifications subtiles, telles que la création de comptes backdoor avec des noms visuellement similaires ou la modification des politiques d'accès conditionnel afin de traiter un emplacement contrôlé par le pirate comme fiable.
Les experts font également la distinction entre individu externes et individu . Par exemple, l'absence de comportement de reconnaissance peut être significative. L'absence de scan ou d'énumération des ports avant des actions malveillantes peut indiquer qu'il s'agit d'un individu connaît déjà l'environnement.
Les attaques modernes sont rapides, multidomaines et difficiles à interpréter lorsque les données sont fragmentées. Les pirates informatiques sophistiqués peuvent persister et commencer à exfiltrer des données dans les 15 minutes suivant leur accès initial, ce qui rend les workflows d'investigation manuels et lents peu fiables.
Dans le même temps, de nombreux workflows SOC exigent encore des analystes qu'ils naviguent dans des tableaux volumineux, des alertes disjointes et de multiples modules ou widgets. Cela augmente la charge cognitive et rend difficile la compréhension rapide de la séquence des événements, l'identification du point de compromission initial et la détermination du rayon d'impact d'un incident.
Découvrez comment 360 Response bloque les attaques hybrides en quelques minutes. Découvrez comment la sécurisation unifiée des identités, des appareils et du trafic permet aux défenseurs de reprendre le contrôle lors d'attaques actives.
Lorsque les équipes simplifient à l'extrême le comportement des attaquants, elles peuvent traiter les détections comme des événements isolés plutôt que comme une progression connectée. Cela peut entraîner un triage incorrect, une mauvaise interprétation des intentions et un retard dans la réponse.
Une erreur courante consiste à mal interpréter les signaux de reconnaissance. Un manque de reconnaissance peut être interprété comme une « faible menace », même s'il peut indiquer individu un individu déjà l'environnement. Une autre erreur courante consiste à sous-estimer les mouvements multidomaines. Si les équipes considèrent qu'une compromission dans un domaine est maîtrisée, elles peuvent négliger le fait que l'identité peut servir de passerelle vers d'autres cloud ou vers des systèmes sur site.
Il en résulte souvent un rayon d'action plus large, un confinement retardé et un risque accru que les attaquants atteignent leurs objectifs, tels que l'exfiltration de données.
Le comportement des attaquants couvre plusieurs catégories tactiques, notamment la persistance, le contournement des défenses, la découverte, les mouvements latéraux et l'accès aux données. Voici quelques exemples de comportements :
Les attaquants peuvent établir leur persistance en :
Les attaquants peuvent réduire la détection ou la télémétrie en :
Les attaquants procèdent généralement à une reconnaissance et à une exploration internes, notamment :
Découvrez comment le comportement des pirates est analysé dans la pratique. Découvrez l'anatomie d'une attaque moderne →
Le comportement des attaquants ne pose pas seulement des défis en matière de détection, mais aussi en matière de flux de travail. Les analystes travaillent souvent avec des données fragmentées, des alertes déconnectées et des signaux répartis sur plusieurs outils, qui doivent tous être rassemblés manuellement pour comprendre ce qui se passe réellement.
Lorsque les équipes appliquent un modèle de hiérarchisation clair, les entités sont classées par ordre d'urgence en fonction du comportement observé des attaquants et des privilèges ou de l'importance de l'identité ou de l'hôte affecté. Cela permet aux équipes de prendre des mesures urgentes, telles que la révocation des sessions actives pour déclencher une nouvelle demande d'authentification multifactorielle (MFA) ou le verrouillage des comptes, avant que l'attaque ne puisse progresser davantage.
Découvrez comment les équipes analysent le comportement des attaquants dans leur contexte avec la Vectra AI .
Les attaques modernes se propagent à travers les identités, les réseaux et cloud l'identité est devenue le principal pont entre les environnements. Une fois qu'une identité est compromise, les attaquants peuvent utiliser un accès légitime pour se déplacer latéralement à travers cloud et revenir dans les systèmes sur site. Considérer l'activité dans un domaine comme isolée peut masquer la portée et l'impact réels d'une intrusion.
Non. L'analyse du comportement des attaquants basée sur l'apprentissage automatique ne remplace pas les outils traditionnels d'alerte ou de détection. Les outils traditionnels mettent en évidence des événements individuels ou des violations de politiques, tandis que l'analyse comportementale se concentre sur la manière dont les actions s'enchaînent et évoluent au fil du temps. Elle est conçue pour interpréter les intentions des attaquants après qu'ils ont obtenu l'accès, en particulier lorsque leur activité se fond dans le comportement normal du système, plutôt que pour remplacer entièrement la détection au niveau des événements.
La détection précoce repose sur l'identification des comportements précurseurs plutôt que sur l'attente d'un impact. La reconnaissance, les changements de privilèges et l'utilisation inhabituelle d'outils natifs surviennent souvent avant le déploiement d'un ransomware ou l'exfiltration de données. L'IA aide à reconnaître ces comportements précoces comme faisant partie d'une progression plutôt que de les traiter comme des événements isolés et peu prioritaires.
L'analyse du comportement des attaquants consiste à relier les actions entre les différents domaines afin de reconstituer le parcours complet d'une attaque. Les identités compromises servent souvent de passerelle entre les environnements, permettant ainsi des mouvements latéraux depuis cloud vers les réseaux ou d'autres plateformes. Sans corrélation entre les domaines, les équipes risquent de ne pas comprendre comment l'activité dans un domaine peut avoir un impact ailleurs.
L'analyse comportementale basée sur l'IA ne remplace pas le jugement humain. Elle ne peut pas déterminer avec certitude l'intention dans chaque scénario ni prendre de décisions définitives en matière d'attribution. Les analystes doivent toujours valider les conclusions, interpréter le contexte et distinguer les activités malveillantes des tendances bénignes qui ressemblent à des comportements d'attaque.