Les stratégies gagnantes de cyberdéfense

Nous vivons dans un monde où les cyberattaques sont monnaie courante. Le problème est que les outils de cyberdéfense qui nous ont historiquement protégés des attaques ne sont désormais plus véritablement en capacité de le faire. Quel schéma suivent ces menaces et comment les bloquer ?

Nous vivons dans un monde où les cyberattaques sont monnaie courante. Les attaques DDoS font tomber les sites web que nous utilisons au quotidien. Des attaques de spear-phishing nous piègent pour nous amener à révéler des informations personnelles. Des compromissions ciblent les informations de nos cartes bancaires dans les bases de données des enseignes de la distribution. Il semblerait que nous soyons bien démunis face aux attaques incessantes qui visent absolument tout, des comptes Facebook aux systèmes SCADA qui contrôlent les usines et centrales électriques.

Le problème est que les outils de cyberdéfense qui nous ont historiquement protégés des attaques ne sont désormais plus véritablement en capacité de le faire. Par exemple, des pare-feu, outils anti-malwares et équivalents ne peuvent pas bloquer les attaques zero day. Celles-ci parviennent à contourner les outils constituant le périmètre de sécurité traditionnel et demeurent indétectées, libres de semer le trouble sur le réseau.

Le schéma d’une compromission de données

Les compromissions de données comme celles découvertes chez Target, Sony Pictures et ailleurs ne se font pas de façon aléatoire. Elles suivent un scénario prédéfini et sont très exigeantes en termes de planification et d’exécution.

Tout d’abord, le cybercriminel identifie sa cible et recherche des failles ou faiblesses de sécurité exploitables. Il est simple de trouver en ligne des outils et des sites (comme Shodan) pouvant analyser les systèmes à la recherche de vulnérabilités connues.

Une fois le point d’entrée identifié, l’agresseur a besoin d’accéder à un système pouvant servir de base pour se déplacer et escalader vers d’autres systèmes. De nouveau, des outils comme Metasploit facilitent les choses. Cette étape est généralement accomplie par une attaque en force ou en utilisant les identifiants dérobés à une personne de l’environnement ciblé, souvent via du social engineering.

Une fois que la remontée des privilèges est faite, les intrus sont totalement libres de leurs déplacements sur les systèmes compromis. Ils peuvent extraire des données, changer les paramètres système et installer des portes de service pour y revenir ultérieurement.

Se procurer des informations volées à une entreprise compromise et occulter les traces du passage est relativement simple pour les intrus grâce à des applications comme Corkscrew. Tor, ou d’autres services du deep web, peuvent servir à transférer l’information. Et les intrus ont généralement largement le temps de le faire. Selon le Ponemon Institute, les hackers sont présents sur le réseau 206 jours en moyenne avant d’être découverts.

Comment bloquer les malwares et menaces persistantes

Malgré la prévalence des cyberattaques et la tâche apparemment insurmontable pour les bloquer, les malwares et menaces persistantes avancées ont bien un talon d’Achille. Pour mener à bien leur mission de destruction, il leur faut un accès privilégié à un système. Le cas échéant, aucune attaque ne peut avoir lieu.

Encore trop peu utilisée, la pratique de cyberdéfense qui consiste à sécuriser les comptes privilégiés utilisés par les administrateurs, les services, les tâches etc. permet d’empêcher la progression des attaques qui pénètrent le périmètre puisque les accès sont sécurisés, nominatifs, limités dans le temps, attribués pour des actions bien précises et qu’un accès donné ne permet pas d’ouvrir les porters vers d’autres systèmes. Les entreprises utilisant la gestion des accès privilégiés ont ainsi une longueur d’avance et sont donc déjà plus en capacité à se défendre dans notre paysage actuel de guerre informatique.