Comment rompre le cycle d’attaque

Pour se préparer à infiltrer le réseau d’une entreprise et à en exfiltrer les données, les cyberattaquants définissent d’abord leur stratégie et les différentes étapes qui la composent. Ensemble, celles-ci constituent le cycle d’attaque. Pour parvenir à leur objectif, les hackers doivent franchir chaque étape une à une. Côté défenseurs, ces différents paliers constituent autant d’occasions de rompre la chaîne d’attaque. D’où l’importance de prendre les mesures de prévention à même de bloquer tout accès malveillant et mouvement latéral vers les données sensibles de l’entreprise. Retrouvez ci-dessous les différentes phases du cycle d’attaque et comment intervenir à chacune d’entre elles pour briser l’offensive.

1. Reconnaissance :

Tout d’abord, le cyberadversaire prépare minutieusement son plan d’attaque. Il effectue des recherches pour identifier et sélectionner les cibles qui lui donneront un maximum de chances de parvenir à ses fins. Entre les profils Twitter ou LinkedIn et les sites des entreprises, Internet regorge de sources d’informations à la disposition de tous, y compris des cybercriminels. En parallèle, l’attaquant lance des scans de vulnérabilité sur le réseau, les services et les applications ciblés, cartographiant ainsi les zones les plus faciles à exploiter. À ce stade, l’attaquant cherche les points faibles, tant sur le plan humain que technique. Quelques conseils pour lui compliquer la tâche :

• Inspectez continuellement les flux réseau pour identifier et prévenir les scans de ports et les balayages d’hôtes
• Formez et sensibilisez vos utilisateurs aux enjeux de sécurité pour qu’ils comprennent ce qu’ils peuvent et ne peuvent pas publier : documents sensibles, listes de clients, listes d’invités à un événement, détail des rôles et responsabilités (par ex., les outils de sécurité utilisés dans l’organisation, etc.)

2. Préparation et lancement de l’attaque :

L’attaquant détermine les méthodes qu’il va utiliser pour propager des payloads malveillants au sein de l’environnement. Il peut s’agir, entre autres, d’outils automatisés comme les kits d’exploit, d’attaques de spear-phishing avec des pièces jointes ou des liens malveillants, ou encore de malvertising. Nos conseils pour lui barrer la route :

• Obtenez un visibilité complète sur l’ensemble du trafic, y compris SSL, et bloquez les applications à haut risque Étendez ces protections aux appareils mobiles et distants
• Filtrez les URL pour bloquer les sites web à risque ou malveillants, et ainsi protéger le périmètre contre les tentatives d’intrusion
• Bloquez les exploits, malwares et communications C2 connus à l’aide de multiples méthodes de prévention des menaces : IPS, anti-malware, anti-C2, surveillance et sinkholing de DNS, et blocage des fichiers et des contenus.
• Détectez les malwares inconnus et déployez automatiquement des protections à l’échelle mondiale pour contrer les nouvelles attaques
• Assurez une formation continue des utilisateurs sur les sujets du spear-phishing, des e-mails d’adresses inconnues, des sites potentiellement dangereux, etc.

3. Exploitation :

À cette étape, l’attaquant déploie un exploit dirigé contre l’application ou le système vulnérable, en général à l’aide d’un kit d’exploit ou d’un document malveillant. Il peut ainsi établir une tête de pont dans l’environnement de l’entreprise. Voici comment lui faire échec :

• Bloquez les exploits de vulnérabilités connues et inconnues au niveau des terminaux
• Déployez de nouvelles protections à l’échelle mondiale pour bloquer toute attaque ultérieure utilisant le même schéma

4. Installation :

Une fois présent dans l’environnement, l’attaquant installe un malware qui lui permet de maintenir son accès, d’établir une persistance et d’escalader ses privilèges. Les moyens de protection à votre disposition :

• Empêchez l’installation de malwares connus ou inconnus sur le terminal, le réseau ou dans les services cloud
• Définissez des zones sécurisées avec contrôle strict des accès utilisateurs, et surveillance et inspection continues du trafic entre les différentes zones (modèle Zero Trust)
• Limitez les droits d’accès des administrateurs locaux
• Formez les utilisateurs à reconnaître les signes d’une infection par malware et à suivre la bonne procédure en cas d’incident

5. Communications C2 :

Une fois le malware installé, l’attaquant maîtrise les deux extrémités de la connexion, à savoir sa propre infrastructure malveillante et la machine infectée. Le voilà prêt à prendre pleinement contrôle du système et à enclencher les prochaines étapes de son plan. Le cyberattaquant met en place un canal de commande pour établir des échanges de données entre les appareils infectés et son propre serveur. Voici comment le neutraliser :

• Bloquez les communications C2 sortantes et les schémas douteux de chargement de fichiers et données
• Redirigez les communications sortantes malveillantes vers des sinkholes internes pour identifier et bloquer les hôtes infectés
• Filtrez les URL pour bloquer les communications sortantes en direction d’URL malveillantes
• Créez un référentiel de domaines malveillants et assurez la surveillance du DNS pour mettre en place une prévention mondiale
• Appliquez un contrôle granulaire des applications et bloquez toute application non autorisée pour limiter la capacité de latéralisation de l’attaquant au moyen d’outils et de scripts inconnus

6. Actions sur l'objectif :

Le cyberadversaire a désormais pris le contrôle du système et établi une communication permanente avec son serveur. Il est prêt à agir pour atteindre son objectif (extraction de données, sabotage d’infrastructures critiques, défacement de site web, propagation de la peur, extorsion, etc.). Les moyens de blocage à votre disposition :

• Traquez proactivement les indicateurs de compromission (IoC) sur le réseau à l’aide d’outils de Threat Intelligence
• Établissez des ponts entre le centre des opérations de sécurité (SOC) et le centre d’opérations réseau (NOC) pour déployer les contrôles de prévention adéquats
• Surveillez et inspectez en permanence le trafic entre les différentes zones, appliquez un contrôle strict des accès utilisateurs aux zones sécurisées
• Bloquez des communications C2 sortantes et les schémas douteux de chargement de fichiers et données
• Filtrez les URL pour bloquer les communications sortantes en direction d’URL malveillantes
• Appliquez un contrôle granulaire des applications et des utilisateurs afin d’implémenter des politiques de restriction des transferts de fichiers sur le réseau d’entreprise, éliminant ainsi les tactiques d’archivage et de transfert connues et limitant les déplacements latéraux par des outils et des scripts inconnus

Pour qu’une attaque avancée atteigne son but, l’adversaire doit passer par chacune des étapes détaillées précédemment. C’est là toute leur complexité. Si l’attaquant échoue à exploiter les vulnérabilités, il ne pourra pas installer les malwares ni établir des communications C2 avec le système.

La technologie n’est pas la seule arme défensive pour rompre le cycle d’attaque : l’humain et les processus ont aussi un rôle essentiel à jouer. D’où l’importance de former les collaborateurs aux enjeux de sécurité et de les familiariser avec les bonnes pratiques pour réduire au maximum les chances de progression de l’attaque au-delà de la première étape. En complément, des processus et des politiques de remédiation doivent être établis au cas où un acteur malveillant parviendrait à franchir toutes les étapes du cycle d’attaque.

La cybersécurité est une guerre asymétrique. L’attaquant doit tout faire correctement s’il veut atteindre son but, tandis que l’équipe de sécurité réseau n’a qu’à intervenir à l’une des étapes pour neutraliser l’attaque – et ces occasions d’intervention sont nombreuses. Pour plus d’informations sur les fonctionnalités de prévention offertes par Palo Alto Networks à chaque étape du cycle d’attaque, consultez notre livre blanc intitulé « Breaking the Attack Lifecycle ».