Quand un cheval de Troie dédié accède aux informations sensibles Les parades aux menaces persistantes avancées

Il est possible de se protéger contre les menaces persistantes avancées. Outre des "contre-mesures avancées", Nes fait également remarquer que certaines mesures de sécurité élémentaires auraient pu empêcher l'attaque.

 

1) Sensibilisation des utilisateurs.

Les attaques persistantes avancées, comme celle exposée lors de l'atelier, peuvent échouer si les utilisateurs sont correctement sensibilisés. L'intrusion n'a été possible que parce qu'un utilisateur a bien voulu exécuter un .exe.

"Il est crucial pour toute organisation de former ces employés critiques, en particulier ceux  qui ont accès à des informations sensibles, de reconnaître un mail potentiellement suspect" conseille aussi Nes, qui rappelle que l'attaque qu'elle a exposée aurait tout aussi bien pu réussir sans site Internet de hameçonnage, mais juste avec un fichier PDF piégé envoyé par mail. C'est d'ailleurs ce qui s'est passé chez RSA et plus précisément sa division dédiée aux tokens, SecurID, victime d'une fuite de donnée il y a quelques semaines.

 

les ateliers de la sécurité, au pré catelan.
Les Ateliers de la sécurité, au Pré Catelan. © CCMBenchmark

2) Bien analyser les logs

Les attaques persistantes avancées laissent des traces dans les journaux d'activité tant que le code malicieux est actif à l'intérieur de l'entreprise. "En revanche, il est possible de les effacer ensuite", explique le hacker de Nes et  "seul le regard attentif d'un expert pourra détecter l'attaque dans les logs"

 

3) Déployer une solution de DLP ou IPS de nouvelle génération.

Mettre en place une solution de Data Loss Prevention soit de prévention de fuite de données. "Peu évidente à mettre en place" selon l'aveu de Nes,  cette solution doit permettre de classer les documents, notamment ceux contenant les informations sensibles, afin de sécuriser les flux sortants. "Les IPS seconde génération ou des règles de firewall sortantes drastiques sont aussi une solution pour empêcher que sortent des informations", rappelle Nes.


Mettre à jour son parc et auditer les mots de passe


Evidemment, mettre à jour les logiciels utilisés dans un parc, y compris les antivirus, empêche les attaques par vulnérabilité connue. Cela concerne aussi Java et Adobe. "Aujourd'hui près de la moitié des malwares passent par des failles dans ces solutions", rappelle Nes, qui conseille aussi, évidemment de réaliser souvent des tests d'intrusion et des audits de sécurité. Mais elle reconnaît également qu'il est important de changer d'auditeur pour procéder différemment, et ainsi, mettre éventuellement en lumière d'autres failles.

 

Selon Nes, les audits doivent également bien se concentrer sur les mots de passe, et notamment ceux des comptes ayant beaucoup de droits. "C'est la première brique de sécurité", rappelle Raphaël Illouz de Nes, qui constate souvent de nombreux mots de passe mal configurés, très simples et... très vite cassables.

Virus / Cheval de Troie