Opinions
Pour arrêter les attaques ciblées, cherchez les signaux faibles !
Par La rédaction, publié le 30 août 2013
Un système qui tente de communiquer avec une mauvaise adresse IP, un exécutable lancé par un fichier Office… Pris séparément, ces dysfonctionnements n’éveillent pas les soupçons, mais corrélés ils peuvent signifier une attaque.
Nous savons tous que les hackers ont les ressources, l’expertise et la motivation pour compromettre n’importe quelle entreprise et à tout moment ; les hackers connaissent fondamentalement la nature des technologies de sécurité et des applications que vous utilisez, et exploitent les failles qui existent entre elles.
Ils mènent sans relâche leurs attaques, en utilisant bien souvent des outils spécifiquement développés pour contourner l’infrastructure de sécurité ciblée. Une fois qu’ils ont pénétré le réseau, ils font d’importants efforts pour passer inaperçus, en utilisant des technologies et des méthodes qui permettent d’être quasi indétectables par les outils de surveillance classiquement configurés.
Le défi, pour les sociétés qui doivent se protéger, tient au fait que les technologies de sécurité traditionnelles se concentrent sur la détection d’indicateurs forts de compromission (malware, exploit de vulnérabilité…) mais n’analysent pas ceux qui s’avèrent être plus faibles (comportement étranges). De plus, les technologies de sécurité traditionnelles sont uniquement en mesure de prendre une décision à un moment précis dans le temps.
Si la menace n’est pas identifiée au moment du passage sur la gateway ou le client, les responsables de la sécurité IT ne peuvent plus surveiller les fichiers une fois qu’ils sont entrés dans le réseau. Ils se retrouvent ainsi dans l’impossibilité de prendre les mesures nécessaires dans le cas où ces fichiers s’avèrent ultérieurement malicieux ou à l’origine d’une attaque ciblée. Les entreprises finissent par s’apercevoir qu’une attaque a eu lieu, mais comme pour la plupart d’entre elles, cela peut prendre des années avant de découvrir que l’on a été hacké (selon le dernier rapport Verizon 2013) et des mois pour y remédier efficacement.
Pour reprendre le contrôle après une attaque ciblée, il faut adopter une nouvelle approche intégrant un processus de défense en continu contre les menaces : avant, pendant et après une attaque. C’est grâce à une visibilité permanente sur les indicateurs de compromission et des capacités de détection rétrospective que les attaques pourront être rapidement stoppées.
Les exemples de signaux faibles qui peuvent signifier que quelque chose d’anormal se passe sur le réseau sont nombreux : un système qui tente de communiquer avec une mauvaise adresse IP ; une tentative d’accès à une partie du réseau depuis une IP d’imprimante, un exécutable lancé par un fichier Office ; le démarrage d’un nouveau service sur un serveur du datacenter… Prises séparément, chacune de ces activités n’est pas un événement de sécurité majeur, mais lorsqu’elles sont corrélées et permettent de remonter jusqu’à un fichier inconnu déposé sur un poste de travail, même apparemment bénin ou sans lien, elles peuvent signifier une attaque.
Une approche à deux niveaux
Pour être capable d’identifier ces indicateurs, que nous qualifions de signaux faibles, une fois qu’une menace a pénétré le réseau, il est nécessaire d’adopter une approche à deux niveaux :
1. Pouvoir bénéficier de réelles capacités d’analyse rétrospectives. Il devient important d’être capable de gérer la crise lorsque l’attaque est passée. Pour ce faire, il sera intéressant d’identifier et d’activer les outils du réseau capable d’enregistrer les trajectoires des fichiers, leur parentalité et leur liens afin d’être en mesure de réaliser une recherche en profondeur lorsqu’un indicateur de compromission vous alerte. Le fichier qui a permis le point d’ancrage n’ayant pas été détecté comme malware, il faut être capable d’investiguer sur celui-ci malgré l’absence de détection initiale. Le but étant de remonter au patient zéro, de mesurer l’ampleur de l’infection et de décider d’une remédiation efficace et globale. L’alerte initiale sur ce point d’ancrage non détecté sera donnée par un ensemble de signaux faibles. Il s’agit de pouvoir investiguer suite à une suspicion d’attaque réussie.
2. Bénéficier d’outils intelligents capables de vous fournir du contexte. Il est impensable de se lancer dans une investigation détaillée sur toutes les alertes issues de la surveillance de signaux faibles. L’important est de pouvoir concentrer ses efforts et ses moyens sur les zones et services représentant le risque le plus fort. L’utilisation d’outils capables d’intégrer la connaissance temps réel du réseau permet de prioriser les investigations. Ainsi, il est important de bénéficier d’une corrélation en temps réel entre les signaux faibles détectés et les ressources critiques du réseau, les services incriminés, les comptes utilisateurs utilisés et les applications touchées. Ainsi, votre tableau de bord de sécurité vous permettra d’identifier immédiatement les signaux faibles survenant dans une zone qui nécessite une investigation en priorité.
Les hackers bâtissent leurs attaques en supposant que les entreprises se reposent sur des technologies de détection et de prévention centrées sur le traitement des exploits frontaux (signaux forts). Ainsi, en pénétrant un réseau, ils s’appliquent à ne faire sonner aucune alarme de ce type et tachent de rester sous les radars en menant des actions qui ne génèrent que des signaux faibles. Bien que la détection et la prévention sont essentielles à toute stratégie de défense, les entreprises ont également besoin d’avoir la capacité de rapidement rattacher un ensemble d’événements indépendants pour identifier une menace qui aurait échappé aux systèmes de sécurité mis en place.
Cyrille Badeau, directeur Europe du Sud de Sourcefire
Cyrille Badeau, directeur Europe du Sud de Sourcefire