Apprenez à démasquer les menaces APT dont vous êtes victimes
Les auteurs des menaces de type APT (Advance Persistent Threats) mettent en œuvre tout un arsenal de techniques d’attaques pour cibler les gouvernements, les industries, des organisations spécifiques et les individus.
Les auteurs des menaces de type APT (Advance Persistent Threats) cherchent à gagner un accès et un contrôle permanent des infrastructures IT pour préméditer des actes de malveillance d’ordre politique, criminel ou financier. Ces attaques APT très sophistiquées, ne le sont pas uniquement par les techniques et technologies utilisées, mais aussi pour la nature déterminée de leurs auteurs.Les premières phases d’attaques sont généralement masquées, rendant difficile la détection.
En revanche, les méthodologies de prise de contrôle sont souvent plus consistantes, et donc plus difficile à maquiller pour l’assaillant, permettant ainsi un point d’identification efficace des attaques sur le trafic de prise de contrôle. Plutôt que de choisir la tâche extrêmement difficile de bloquer toutes les attaques APT sans impacter les performances de l'entreprise, il est généralement plus pragmatique d'accepter d’être exposé à ce type de menace et de chercher à l'identifier rapidement pour y remédier.
Lorsque vous essayez de vous défendre et de vous protéger contre de telles menaces, notre expérience, nos connaissances et nos compétences jouent un rôle déterminant pour prendre les bonnes décisions en matière de sécurité. Sans connaissance exacte de l’environnement et du contenu du trafic réseau, nous ne pouvons nous fier qu’à quelques certitudes qui ne pourront pas nous servir de preuves tangibles. Quand surviennent des problèmes de sécurité liés à des attaques APT, les professionnels de la sécurité sont automatiquement mis sous pression par leurs organisations pour expliquer et résoudre rapidement les problèmes. Les questions à se poser sont les suivantes : à quelle vitesse peut-on réagir efficacement face à une attaque APT suspectée ? Et, plus important encore, mettons-nous toutes les chances de succès de notre côté pour nous assurer que nos actions sont les plus appropriées et efficaces ?
Tout d’abord, nous allons examiner les ressources nécessaires à l’analyse sécuritaire. Les personnes répondant aux événements nécessitent des compétences pour utiliser les outils mis en place et pouvoir interpréter les données avec rapidité et précision. Ils doivent avoir une compréhension de la topologie réseau et une expérience des événements passés survenus sur ce réseau pour bénéficier d’une base de travail solide. Des tests approfondis et une documentation sur la façon dont les applications utilisent le réseau est idéal pour comprendre transaction par transaction comment l’application fonctionne sur le réseau de production. Pour ceux qui disposent des ressources, ces références sont souvent générées à partir d'une surveillance en direct d’un réseau de pré-production. Pour les cas où une telle approche n'est pas envisageable, alors la meilleure solution est de récupérer les données en direct à partir du réseau de production, bien qu’il s’agisse d'un environnement moins prédictible. Avec l’analyse statistique en temps-réel des connexions, toutes variations par rapport à une norme préétablie sont maintenant plus faciles à détecter sur n’importe quels accès réseaux.
Des outils de surveillance automatisés peuvent aider à identifier ces écarts de variation. La dernière pièce du casse-tête est de s'assurer que l’on dispose d’un workflow efficace et de processus adéquats pour l'équipe de sécurité. Ceci est une étape importante pour réduire le temps d’analyse et éliminer toute mauvaise communication entre les membres de l’équipe sécurité.
Ensuite, nous devons réunir les preuves liées à un événement suspect. La capture des paquets de données nous fournit la preuve irréfutable de ce qui a pu se passer. L’analyse du trafic du réseau, avant, pendant et après un évènement important nous aide à comprendre ce qui est arrivé et nous permet d’intervenir en toute connaissance de cause et d’accroitre nos chances de réussite. Selon la taille du réseau et des ressources disponibles, les approches pour capturer, indexer, rechercher et récupérer le trafic capturé peuvent varier en coût et en complexité, d’un simple logiciel open source installé sur un PC et déployé à cet effet, à un système complet d’enregistreurs réseaux intelligents de haute performance capable de fonctionner avec des débits jusqu'à 100 Gbps.
Disposer des compétences humaines et d’une solide base de référence ne suffira pas à y apporter la réponse adéquate. Pour être capable de décoder les paquets et en tirer une visibilité suffisante, un outil d'analyse approprié est nécessaire. Certains outils d'alertes et d'analyses fonctionnent de manière autonome et sont indispensables pour automatiser certains processus, mais ils sont malheureusement limités à une interprétation unique des données qui s’appuie souvent sur les signatures et le profil du trafic, ce qui n’est raisonnablement pas suffisant pour capturer toutes les menaces de sécurité. D’autre part, ces outils peuvent déclencher des alertes de types faux positifs pour des événements n’étant pas liés à des problèmes de sécurité. Cependant, Ils jouent un rôle important dans le dispositif global de sécurité d'une entreprise pour identifier le volume important des menaces élémentaires.
Mais quand on prend en compte les menaces de type APT, on se rend très vite compte que, par leur nature même, adaptés et souvent uniques, que l'analyse automatisée n’est pas suffisamment efficace. C'est pourquoi des outils d’analyse post-événement permettent aux analystes de la sécurité de disséquer et d’interpréter les paquets de données capturés, permettant ainsi une prise de décision plus confortable.
Les équipes sécurités doivent se demander si, à ce jour, elles disposent des équipements appropriés pour tenir leur rôle. Dans l'utilisation des paquets de données, les questions suivantes peuvent aider à déterminer le niveau d’expertise :
- Combien de temps faudrait-il pour accéder aux paquets liés à un événement sur le réseau ?
- Disposons-nous de la compétence nécessaire à l’analyse de ces paquets ?
- Comment fait-on la différence entre une connexion potentiellement malveillante et une connexion valide ?
La détection, l’alerte et la défense automatisées contre les menaces de type APT à travers le déploiement d’équipements dédiés à ce type de menace ont un rôle constructif à jouer dans le système de sécurité et il en existe de très bon sur le marché. Cependant, il est dangereux de penser que notre infrastructure IT est correctement sécurisée alors que nous sommes exposés à des menaces trompeuses. S'appuyer uniquement sur une analyse automatisée peut nous laisser vulnérable et les équipements de sécurité dédiés aux seules menaces de type APT ne sont pas suffisantes. Il n’y a que la preuve de ce qui a circulé sur le réseau, l’endroit, l’heure et la composition exacte de chaque paquet de données qui donne la véritable photo de ce qui s’est réellement passé.
La capture de paquets réseau permet d'avoir une connaissance et une certitude sur ce qui se passe, notamment grâce aux techniques d'inspection et de visualisation des paquets. Elle procure aux équipes sécurités et réseaux un confort d’analyse dans la traque des attaques APT.