Chaîne d'élimination de la cybersécurité

Comme toute forme de guerre traditionnelle, les cyberattaques les plus réussies commencent par une recherche détaillée d'informations. La reconnaissance est la première étape de la kill chain. Elle fait appel à de nombreuses techniques et à des outils différents, ainsi qu'à des fonctions de navigation Web courantes, comme les :

• Moteurs de recherche
• Archives Web
• Services cloud publics
• Registres de noms de domaine
• Commandes WHOIS
• Renifleurs de paquets (Wireshark, tcpdump, WinDump, etc.)
• Mappages réseau (nmap)
• Commandes DIG
• Ping
• Scanners de ports (Zenmap, scanner de ports TCP, etc.)

Il existe un large éventail d'outils et de techniques utilisés par les hackers pour recueillir des informations sur leurs cibles, chacun d'entre eux exposant différents éléments de données qui peuvent être utilisés pour trouver des portes d'entrée dans vos applications, réseaux et bases de données, qui sont de plus en plus souvent exploités via le cloud. Il est important que vous protégiez vos données sensibles à l'aide de mécanismes de défense SASE dans le cloud, d'un chiffrement et des pages Web sécurisées afin d'empêcher les hackers de tomber sur des informations compromettantes en parcourant vos ressources publiquement accessibles, y compris vos applications et services cloud.

Une fois qu'un hacker a recueilli suffisamment d'informations sur sa cible, il choisit un ou plusieurs vecteurs d'attaque pour commencer son intrusion dans votre espace. Un vecteur d'attaque est un moyen pour un pirate d'obtenir un accès non autorisé à vos systèmes et informations. Les vecteurs d'attaque vont de l'élémentaire au très technique, mais il faut garder à l'esprit que, pour les cybercriminels, les cibles sont souvent choisies en évaluant le coût par rapport au ROI.

Les hackers tiennent compte de tous les facteurs, de la puissance de traitement au délai de récupération. En général, ils se dirigent vers la solution offrant le moins de résistance, c'est pourquoi il est si important de considérer tous les points d'entrée possibles le long de la surface d'attaque (tous les points où vous êtes susceptible d'être attaqué) et de renforcer votre sécurité en conséquence.

Les vecteurs d'attaque les plus courants sont les suivants :

• Identifiants volés ou avec un niveau de sécurité faible
• Services d'accès à distance (RDP, SSH, VPN)
• Employés négligents
• Attaques internes
• Chiffrement faible ou inexistant
• Mauvaise configuration du système
• Relations de confiance entre les appareils/systèmes
• Phishing (social engineering)
• Attaques par déni de service
• Attaques de type « Man-in-the-middle » (MITM)
• Chevaux de Troie (trojans)
• Attaques par injection SQL
• Et bien d'autres

N'oubliez pas : un hacker n'a besoin que d'un seul vecteur d'attaque pour réussir son intrusion. Par conséquent, l'efficacité de votre sécurité se mesure à son point le plus faible et c'est à vous de découvrir où se trouvent ces vecteurs d'attaque potentiels. Les attaques par ransomware continuent d'exploiter les services d'accès à distance pour s'introduire, se déplacer latéralement dans vos actifs, détecter des données sensibles en vue de leur exfiltration, le tout avant de chiffrer et de demander une rançon.

En général, une fois qu'un hacker est entré, sa prochaine étape consiste à trouver différents moyens de se déplacer latéralement dans votre réseau ou vos ressources cloud et d'augmenter ses privilèges d'accès afin que son attaque permette de recueillir les informations les plus précieuses et en restant inaperçu le plus longtemps possible. Pour prévenir ce type de comportement, il faut adopter les principes du « Zero Trust » qui, appliqués à l'architecture réseau et de sécurité, exigent systématiquement la réaffirmation de l'identité des utilisateurs lorsqu'ils se déplacent d'une zone à l'autre au sein des réseaux ou des applications.

Rapports : Rapports Netskope Threat Labs

Maintenant qu'un hacker a accédé à vos systèmes, il dispose de la liberté nécessaire pour livrer la charge utile qu'il vous réserve (malwares, ransomwares, spywares, etc.). Il installera des programmes pour toutes sortes d'attaques, qu'elles soient immédiates, différées ou déclenchées par une certaine action (attaque par bombe logique). Parfois, ces attaques sont ponctuelles et d'autres fois, les hackers se connectent à distance à votre réseau afin de le surveiller constamment et de le gérer.

La détection des malwares avec les SWG de nouvelle génération pour le déchiffrement TLS et l'inspection du trafic Web et cloud sont des éléments clés pour empêcher la livraison de ces types de payloads. Le cloud est de plus en plus le véhicule de ces attaques, 68 % des malwares étant diffusés dans le cloud plutôt que sur le Web. L'exécution de services inline d'analyse des menaces pour le trafic Web et cloud, ainsi que le suivi de l'état de tous les points de terminaison, sont essentiels pour garantir que votre entreprise n'est pas infectée par des malwares.

Une fois que la charge utile prévue par le hacker est livrée, l'exploitation d'un système commence, selon le type d'attaque. Comme indiqué précédemment, certaines attaques sont différées et d'autres dépendent d'une action spécifique de la cible, ce que l'on appelle une bombe logique. Ces programmes intègrent parfois des fonctions de masquage afin de dissimuler leur activité et leur origine, et d'éviter ainsi toute détection.

Une fois le programme exécutable déclenché, le hacker pourra commencer l'attaque comme prévu, ce qui nous amène aux étapes suivantes, englobant différents types d'exploitations.

Si un hacker voit l'opportunité d'attaques futures, sa prochaine action sera d'installer une porte dérobée pour profiter d'un accès permanent aux systèmes de la cible. Il peut ainsi entrer et sortir du réseau sans courir le risque d'être détecté en rentrant par d'autres vecteurs d'attaque. Ces types de portes dérobées peuvent être établies via des rootkits et des identifiants peu robustes, et tant que leur comportement ne déclenche pas de signaux d'alarme pour une équipe de sécurité (comme des temps de connexion inhabituels ou des mouvements de données importants), ces intrusions peuvent être difficiles à détecter. L'architecture SASE unit les défenses de sécurité pour collecter des métadonnées riches sur les utilisateurs, les appareils, les applications, les données, l'activité et d'autres attributs afin de faciliter les enquêtes et d'améliorer la capacité de détection des anomalies.

Après avoir installé des programmes et portes dérobées, le hacker prendra le contrôle des systèmes et lancera les attaques qu'il vous réserve. Toutes les actions entreprises ici ont pour seul but de garder le contrôle sur la cible, ce qui peut prendre toutes sortes de formes, comme l'implantation d'un ransomware, d'un spyware ou d'autres méthodes d'exfiltration de données à l'avenir.

Malheureusement, lorsque vous êtes informé d'une intrusion et d'une exfiltration, il est probablement trop tard : les hackers ont déjà pris le contrôle de votre système. C'est pourquoi il est important de disposer de mesures de protection qui surveillent et évaluent les mouvements de données afin de détecter toute activité suspecte. Une machine est bien plus à même de détecter et de prévenir les comportements malveillants plus rapidement que n'importe quel administrateur réseau.

Livre blanc : Protéger les données à l'aide du machine learning

Tous ces efforts ont été entrepris pour en arriver là. Au cours de cette étape d'exécution continue, le hacker agit sur sa cible et peut chiffrer vos données pour obtenir une rançon, exfiltrer vos données à des fins lucratives, mettre votre réseau en échec via un déni de service ou surveiller les comportements de votre système pour détecter toute autre brèche via un spyware, pour ne citer que quelques menaces potentielles. L'espionnage et la surveillance sont les principales actions de cette dernière étape de la kill chain, au cours de laquelle les attaquants font profil bas et persistent.

C'est à ce moment-là que la surveillance en temps réel des mouvements de données et la détection des comportements suspects sont cruciales, car les hackers agiront aussi rapidement que possible pour atteindre leurs objectifs. Il n'y a jamais assez de temps pour réagir à toutes les éventuelles anomalies au sein d'une grande d'entreprise. Aussi, votre rôle de prévention doit être proactif plutôt que réactif.