Les Menaces Persistantes Avancées (APT), épouvantail ou vrai danger ?
Mises à jour des systèmes, déploiements de sécurité pertinents et utilisateurs avertis contribuent largement à la protection des entreprises contre les APT (Advanced Persistent Threats).
Une des plus grandes menaces pour les entreprises aujourd’hui est l’infiltration furtive, via le biais d’Internet, des cybercriminels cherchant à voler des informations sensibles. Ghostnet (botnet* déployé dans différents ministères et ambassades pour surveiller l’agenda du Dalai Lama), Shady RAT (un peu similaire à Ghostnet, mais, ayant pour cible les gouvernements et entreprises multinationales), l’Opération Aurora (surveillance des comptes Gmails de dissidents chinois en 2009) et Stuxnet (tentative d’interruption du programme iranien d’enrichissement d’uranium) en 2010 sont quelques exemples d’attaques de grosse ampleur.
Au cours de ces derniers mois, ces "Menaces Persistantes Avancées" (APT) sont devenues si endémiques et virulentes qu’elles obligent les entreprises à remettre en question le paradigme de sécurité actuel. Plutôt que de se concentrer à repousser les attaques, les entreprises commencent à accepter que des menaces puissent parfois entrer dans leurs réseaux. Par conséquent, elles cherchent à les détecter le plus tôt possible afin de minimiser les dégâts.
Une APT est une attaque très ciblée envers une organisation spécifique qui agit de manière silencieuse et souvent dans le temps pour s’infiltrer au sein d’une organisation, avec pour objectif de collecter des informations sensibles plutôt que de réaliser un gain financier immédiat.
Les définitions de APT varient mais on peut se faire une bonne idée de ses caractéristiques en décomposant le terme :
* Menaces – Les APT sont une véritable menace parce qu’elles démontrent à la fois la capacité et l’intention. Elles sont le fruit d’une implication humaine forte et coordonnée, plutôt que celui d’un bout de code simple et automatisé. Les cybercriminels ciblent les actifs de grande valeur et sont qualifiés, motivés, organisés et bien financés.
* Persistantes – Les cybercriminels privilégient une tâche spécifique, plutôt que la recherche opportuniste d’information permettant un gain financier ou d’autre nature. Une condition clé pour les APT, par opposition à un botnet “de tous les jours”, c’est de rester invisible le plus longtemps possible. A ce titre, les auteurs d’APT ont tendance à se concentrer sur des attaques “discrètes et lentes” leur permettant de passer furtivement d’un hôte compromis à un autre, sans générer de trafic réseau régulier ou prévisible, et ainsi chercher des données ou systèmes spécifiques cibles. Des efforts considérables sont mis en place pour s’assurer que les actions malveillantes ne soient pas remarquées par les opérateurs légitimes des systèmes.
* Avancées – Les cybercriminels ont à leur disposition un large choix de techniques de collectes d’informations. Celles-ci comprennent des techniques et technologies d’intrusions informatiques, mais également des collectes d’informations dites sensibles et méthodes de profilages classiques. Les logiciels malveillants peuvent aussi chercher et hameçonner des informations spécifiques à partir d’individus ciblés – cette information est ensuite utilisée lors de la seconde étape d’une attaque. Des techniques d’ingénierie sociale sont souvent employées à ce stade. Bien que les composants individuels des attaques ne sont pas particulièrement “avancés”, leurs auteurs peuvent développer des outils plus sophistiqués. Les cybercriminels associent souvent plusieurs méthodes de ciblage pour atteindre et compromettre leur cible puis en conserver l’accès.
Les Déficiences des Infrastructures Contribuent aux Infractions APT
Les APT pénètrent les réseaux d’entreprise par une grande variété de vecteurs, incluant les infections par logiciels malveillants sur Internet, par logiciels malveillants physiques et par l’exploitation externe. Les auteurs des APT n’ont pas nécessairement besoin de pénétrer les périmètres des réseaux externes − ils peuvent, et souvent, tirent profit d’initiés ou de vecteurs de connexion de “confiance” pour accéder à des systèmes ciblés.
Une fois que les attaquants APT entrent dans les réseaux d’entreprise, certaines déficiences provenant de l’infrastructure de l’organisation peuvent faciliter l’obtention de l’information souhaitée:
1.Pour faire face à leur développement, les organisations associent de nouveaux systèmes aux anciens, relient certains réseaux, et intègrent des prestataires de services tiers. Cette évolution complexe de l’infrastructure permet aux pirates de se dissimiler facilement et de trouver des vulnérabilités inconnues ou non corrigées. Les appareils personnels et les applications cloud ajoutent encore plus de confusion à l’ensemble.
2.La conception d’un réseau à plat est une autre faiblesse. Bien qu’opter pour un seul domaine de diffusion coûte moins cher et soit plus flexible que d’opter pour des réseaux isolés, cela facilite la tache des cybercriminels à parcourir le réseau et éventuellement atteindre des systèmes à forte valeur.
3.Les applications des entreprises contiennent généralement des millions de lignes de code, engendrant d’inévitables failles de sécurité exploitables. Pire encore, ces logiciels ne sont pas souvent mis à jour avec les derniers correctifs, qui permettent de résoudre certaines failles à mesure qu’elles sont découvertes et corrigées.
4.Beaucoup d’équipes de sécurité sont incapables de détecter des modèles d’attaques sophistiqués. Bien que les outils classiques permettent d’identifier des événements individuels, ils n’associent pas les événements entre eux pour en définir une vision plus large.
5.La structure organisationnelle peut être une autre limite. Les équipes de sécurité sont souvent trop cloisonnées pour interpréter avec précision des attaques multi-modales.
Protéger les organisations des APT
La "Sainte Trinité"de la sécurité aidera les entreprises à déjouer les APT:
1.Éduquer les utilisateurs et avoir des politiques de sécurité pertinentes
Les utilisateurs sont généralement considérés
comme le maillon faible de la
chaine par les cybercriminels, et sont souvent la cible de
l’infection
initiale. Les entreprises ont besoin de les éduquer sur les
vecteurs
d’infection et les techniques d’ingénierie sociale des APT.
Et, comme cela ne
garantira pas que les employés n’ouvriront jamais un document
infecté − par
exemple, Ghostnet s’est propagé en envoyant au personnel du
bureau du Dalai
Lama des documents PDF bien conçus et d’apparence légitimes
mais infectés – les
responsables IT devraient s’assurer que chaque utilisateur a
uniquement accès à ce
dont il/elle a besoin et pas plus. Par
exemple, le comptable ne devrait pas avoir accès aux
référentiels des codes
sources.
2. Mises à jour des systèmes
Les dernières mises à jour de sécurité doivent
être appliquées. La
maintenance des signatures au niveau de l’IT, généralement
obtenue par un
fournisseur de services de sécurité, devrait minimiser le
temps de mise en
application d’une nouvelle signature au minimum afin de
réduire les risques de
vulnérabilités et opérationnels.
3. Adopter une stratégie de sécurité
"intelligemment redondante"
Les entreprises ont besoin d’adopter une
approche multi-disciplinaire et
consolidée pour sécuriser tous les actifs IT. L’antivirus et
la prévention
d’intrusions sont essentiels mais les entreprises devraient
également considérer
les technologies de préventions des pertes de données (DLP).
Une stratégie
efficace doit comprendre un mix de politiques et de protection
contre le spectre
entier des menaces. L’antispam, le filtrage Web et le contrôle
des applications
contribuent chacun à bloquer les APT au cours des différentes
étapes de l’attaque.
La règle d’or est qu’aucune couche de sécurité n’est
infaillible, mais en les
intégrant intelligemment, elles peuvent repousser des menaces
multi-vectorielles.
Voici les couches dont les entreprises doivent se doter :
o Une protection efficace contre les attaques
multi-vectorielles. Cela implique une approche de grande envergure
avec des contrôles
techniques internes offrant une protection à un nombre de
niveaux et de vecteurs,
et devrait inclure les
mails, la
messagerie instantanée, les exploits Web, les applications,
les logiciels
malveillants et botnets.
o Le
renforcement des actifs en profondeur.
Cela
devrait couvrir les réseaux, les applications
Web, les données/bases de données, les ordinateurs
portables et les serveurs.
L’impact des attaques zero-day sont davantage minimisées par
une combinaison de
mises à jour rapides, le renforcement de tous ces actifs grâce
à une gestion de
configuration renforcée, basée sur les meilleures pratiques
(par exemple ‘moins
de privilèges’) et le déploiement judicieux de
l’authentification à
deux-facteurs pour l’accès aux services critiques.
o Le contrôle des applications.
Cela permet aux entreprises
d’utiliser des canaux applicatifs basés sur l’évaluation des
risques/menaces, le
peer-to-peer et le contrôle des botnets. Les employés seront
en mesure
d’accéder en toute sécurité aux plateformes de réseaux sociaux comme Facebook. Le
contrôle des botnets est
particulièrement important car les menaces les plus modernes
reposent sur un
canal de communication externe - bloquer cette communication
efficacement permet
de faire face à la plupart de ces menaces.
o Le suivi. Cela inclut la
surveillance de l’infrastructure dans
son ensemble pour réagir rapidement à toutes les attaques
réelles ou
potentielles, ainsi qu’aux signatures des menaces en temps
réel sur les
applications, réseaux, données et DLP. Il y a beaucoup trop de
cas connus de
menaces hébergées sur des systèmes et engendrant
éventuellement des millions de
dollars de dommages, simplement parce qu’elles ont pu demeurer
là pendant des
mois et, dans certains cas, des années.
Les entreprises doivent se
préparer à faire face à des cybercriminels
hautement qualifiés avec d’importants équipements de tests et
un pouvoir
d’achat élevé sur le marché du zero-day. Parce qu’un pirate
d’APT peut utiliser
des zero-day et tester ses exécutables sur tous les moteurs
connus des
constructeurs avant de les envoyer à sa cible, les antivirus
traditionnels et outils
de prévention d’intrusions ne repèrerons probablement pas
l’attaque initiale.
Ceci,
cependant, ne signifie pas que les entreprises ne devraient
pas installer des
solutions de sécurité pertinentes − au contraire, elles
doivent passer à
l’étape supplémentaire, qui est de rendre leur environnement
plus difficile à
comprendre et reproduire pour les pirates. Soulignons
également le fait que le
jugement humain − sur des choses comme les logs et les données
corrélées − est
un atout précieux. Ce jugement, pour le moment, n’est pas
facile à reproduire
dans un environnement de test.
La bonne nouvelle au sujet des
APT est qu’une
organisation peut les combattre grâce à son processus de
gestion régulier des risques
(ces mesures de protection vont au-delà des APT et permettent
d’adresser
également les attaques traditionnelles). Les APT élèvent tout
simplement le
niveau en matière de risques et d’impacts externes. Le budget
qu’une
organisation souhaite allouer à la lutte contre les APT
dépendra, comme
toujours, de son goût pour le risque.
Une chose, cependant,
est sûre − les
directions générales, directions IT et responsables de la
gestion des risques du
monde entier doivent en urgence évaluer leur exposition face
aux APT et
commencer à prendre des mesures préventives et correctives.