A S S O CI ATIONSADVANCED PERSISTENT THREAT (APT)                                                                         ...
Suite de la page 49        La firme américaine Mandiant se spécialise notamment           moyens de prévention et de défen...
Suite de la page 50 2 CONTRÔLER L’ACCÈS AUX RESSOURCES INFORMATIQUES                              Un élément en particulie...
Prochain SlideShare
Chargement dans…5
×

Article prot vs_def_secus_10_12

6 635 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
6 635
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5 698
Actions
Partages
0
Téléchargements
7
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Article prot vs_def_secus_10_12

  1. 1. A S S O CI ATIONSADVANCED PERSISTENT THREAT (APT) 1Quand se protégerne suffit plusPAR BSIDESQUÉBECSÉCUS est heureux de confierà BSidesQuébec la rédaction Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmerde la chronique technique du que l’industrie de la sécurité est tombée dans une déchirure spatio-magazine et espère que vousapprécierez cette section. temporelle. Le monde de la sécurité, dans son ensemble, accuse un retardPour plus d’informations sur d’au moins une dizaine d’années par rapport à celui des attaquants.BSidesQuébec, consultezbsidesquebec.org. Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus consti- tuaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart des attaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires. Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vecteurs d’attaque auxquels on fait face. En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de pro- tection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face. Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, et cela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que cela arrivera de nouveau ? », mais plutôt « quand cela arrivera-t-il ? » et « combien de fois encore ? ». « On est en train de perdre constat d’échec? peut-on la guerre, mais que faire vis-à-vis de ce » ADVANCED PERSISTENT THREAT (APT) L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsque vient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sont conçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Les attaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ils réussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire près de deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’APT. Un bon exemple d’APT est l’attaque qui a frappé l’entreprise RSA en 2011, où les secrets partagés (seeds), qui sont des composantes reliées aux jetons SecurID2, avaient été dérobés par des pirates3. Les auteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui ten- tent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se faire détecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite est impressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifs de façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler ou manipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintien- nent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant un accès leur permettant de revenir plus tard pour frapper de nouveau. Suite en page 50 Automne 2012 SÉCUS | 49 |
  2. 2. Suite de la page 49 La firme américaine Mandiant se spécialise notamment moyens de prévention et de défense mis en place, on constatedans la réponse aux incidents et publie un rapport annuel qui évidemment qu’un changement de paradigmes sur le plan dess’intitule M-Trends4. Le rapport de 2012 fait état de cas d’inci- stratégies traditionnelles de défense s’impose. Il faut voir lesdents traités au cours de la dernière année et dépeint un por- mesures préventives comme des moyens ayant pour but detrait très peu rassurant de cette nouvelle réalité que trop peu ralentir les attaques afin que les mesures de détection aientde gens et d’organisations connaissent. Voici quelques faits le temps de les identifier. La notion de détection évoquée icisaillants du M-Trends (2012) : n’inclut pas uniquement les mécanismes traditionnels tels s Seulement 6 % des organisations ont découvert les que les sondes de prévention et de détection des intrusions brèches elles-mêmes et 94 % d’entre elles ont été avi- (IDS et IPS), mais également les trois approches mention- sées par une source externe. nées plus loin. Une réponse adéquate aux incidents est s L’APT typique passe inaperçue pendant plus d’un an. nécessaire afin de tenter de maîtriser la situation avant que les s Les brèches sont de plus en plus découvertes lors de attaquants réalisent qu’ils ont été découverts. processus de fusions et d’acquisitions. Parmi les différentes approches de détection et réponses s Les attaques avancées visent plusieurs maillons de la possibles, voici trois types de contrôles qui devraient être for- « chaîne ». tement considérés et qui pourraient aider grandement dans les s Les logiciels malveillants (malware) racontent seule- situations où l’on doit faire face à des attaques de type APT : ment la moitié (54 %) de l’histoire. s L’utilisation d’outils publics ajoute de la complexité dans l’identification des acteurs derrière les menaces. s Les attaquants diversifient leurs mécanismes de persistance. s Les attaquants motivés par des objectifs financiers sont de plus en plus persistants. Il est important de porter attention à deux de ces points.Le premier concerne les attaques avancées qui visent plusieursmaillons de la chaîne. En fait, les attaquants tentent de passerpar un tiers pour atteindre leur cible. À titre d’exemple, despirates ont réussi à s’introduire dans quatre grands cabinetsd’avocats de la rue Bay à Toronto au cours de la dernière année, 1 AUGMENTER LES CONTRÔLESet ce, à l’aide de cyberattaques très sophistiquées conçues SUR LES COMMUNICATIONS SORTANTESpour détruire des données ou voler des documents sensibles Trop souvent, les communications sortantes ne sont pasen matière de fusions et d’acquisitions imminentes5. Évidem- ou sont mal contrôlées sur le plan du périmètre. La plupart desment, les cibles n’étaient pas les cabinets d’avocats, mais bien logiciels malveillants tenteront tôt ou tard de se connecter à unleurs clients. Le second concerne le fait que les logiciels malveil- centre de commandement (CC), que ce soit pour téléchargerlants ne racontent que la moitié (54 %) de l’histoire. Cela signifie des mises à jour, recevoir des instructions, voler et exfiltrer de l’in-que l’autre moitié des attaques (46 %) n’implique pas de logi- formation, etc. Or, les protocoles fréquemment utilisés en sortieciels malveillants. En fait, une fois qu’un système a été compro- vers Internet tels que HTTP, HTTPS ou DNS sont souvent utilisésmis par les attaquants à l’aide d’un logiciel malveillant, des par les logiciels malveillants afin de se fondre dans la masse dunoms d’utilisateur et mots de passe valides (credentials) sont trafic légitime d’une organisation pour ensuite se connectervolés sur le système. Ces derniers sont ensuite réutilisés par au CC. Il est donc essentiel d’exercer un contrôle adéquat à celes pirates pour se connecter à d’autres systèmes. Les con- niveau, par exemple en permettant uniquement aux serveursnexions à ces systèmes qui semblent alors légitimes passent DNS de faire des requêtes vers Internet sur les ports TCP et UDPsous le radar et n’attirent pas l’attention. 53 pour qu’un logiciel malveillant tentant d’utiliser ce protocole soit bloqué. De plus, un système situé sur le réseau interne nePRÉVENTION ET DÉFENSE PAR RAPPORT À LA DÉTECTION devrait jamais pouvoir rejoindre Internet directement sansET À LA RÉPONSE passer par un serveur mandataire (proxy). Toutes les connexions Il faut comprendre que les APT sont réelles et que leurs qui tentent de rejoindre Internet sans passer par un serveurauteurs disposent de plus de temps et d’argent pour s’intro- mandataire pourraient par exemple être redirigées via la routeduire dans les infrastructures que l’on a de temps et d’argent par défaut du réseau (0.0.0.0.) vers un pot de miel (honeypot)6pour les sécuriser. La plupart des organisations allouent la situé à l’interne. Cela contribuerait à bloquer les connexionsmajorité de leur budget et de leurs efforts à la sécurité sur les de type CC et à analyser le contenu du trafic clandestin outechniques de prévention et de défense pour malheureuse- malicieux et ainsi à détecter les systèmes potentiellementment négliger la détection et la réponse aux incidents. Alors, si infectés à l’interne et d’en apprendre plus sur l’attaque en coursl’on considère le fait que l’on se fera pirater peu importe les qui, parfois, est invisible autrement. Suite en page 51 Automne 2012 SÉCUS | 50 |
  3. 3. Suite de la page 50 2 CONTRÔLER L’ACCÈS AUX RESSOURCES INFORMATIQUES Un élément en particulier attire-t-il l’attention ? Est-ce Le nerf de guerre est l’information, et c’est exactement que des requêtes à intervalles fixes de six heures précises àce que les attaquants tentent d’obtenir lors qu’ils attaquent la seconde près sur une période de douze heures et toujoursune infrastructure. vers la même adresse sont faites par un humain ou par une « Que ce soitconfidentielles ou des bases machine ? Il y a de fortes chances que ce soit une machine. des fichiers contenant des informations IL Y A PLUS ! En plus de maintenir les contrôles traditionnels et de données avec des numéros de cartes d’exercer ceux qui sont mentionnés plus tôt, il est également de crédit, l’accès aux ressources recommandé d’effectuer régulièrement des analyses de informatiques doit être rigoureusement » vulnérabilité et des tests d’intrusion (pentest) de façon péri- contrôlé et journalisé. odique, ce qui est un excellent moyen de découvrir les failles et d’avoir la vision que les attaquants ont de l’environnement Par exemple, il n’est pas normal que des systèmes con- technologique. Il faut être conscient que ces deux activitéstenant de l’information de cette nature soient sur un réseau plat sont différentes, alors on doit prendre cette réalité enqui n’a aucune segmentation et qui n’offre aucun cloisonnement compte. Une analyse de vulnérabilité est ni plus ni moinsdes données. De plus, des solutions d’authentification forte de qu’un balayage (scan) de vulnérabilité suivi d’un rapport. Cetype Role Based Access Control (RBAC)7 combinées avec une ne devrait pas seulement être un copier-coller provenant dusolution de gestion des identités contribueront grandement à résultat d’un outil, mais bien une interprétation de ce dernier,sécuriser les données. Il faut comprendre que, même si l’on met incluant des recommandations et des solutions pour cha-les meilleurs mécanismes en place, cela ne rendra pas les sys- cune des vulnérabilités découvertes.tèmes impénétrables. Cependant, plus on met de bâtons dans Le test d’intrusion, quant à lui, pousse l’exercice plusles roues des attaquants, plus ils risquent de s’enfarger et d’être loin. Le testeur tente d’exploiter les vulnérabilités ayant étébruyants, ce qui permettra de repérer leurs activités qui ne découvertes, tout comme un vrai pirate le ferait, mais dansseraient peut-être pas détectées autrement. un cadre professionnel et contrôlé. Il faut noter que ces tests peuvent être effectués tant sur le plan du réseau, du 3 ANALYSER LES INFORMATIONS PERTINENTES serveur que de l’application. On peut même tester les Il ne suffit pas de tout journaliser. Encore faut-il savoir humains grâce à l’ingénierie sociale ! Mais c’est un autrequoi regarder et avoir les bons outils pour le faire. Voici l’exemple dossier... Suite en page 52de la série de requêtes DNS : s date-20XX 08:42:29.121 client 1.1.1.130#18759: query: drpxbbjbvcvcjllyqxsn.com IN A s date-20XX 08:42:29.218 client 1.1.1.130#18789: query: eh4t07sruha0x3betqa.com IN A –E Que remarque-t-on ? Est-ce que les noms de domaine« drpxbbjbvcvcjllyqxsn.com » et « eh4t07sruha0x3betqa.com »semblent légitimes ou ressemblent-ils à des requêtes quipourraient avoir été faites par un logiciel potentiellementmalveillant tentant de rejoindre un CC ? Il s’agit fort proba-blement de requêtes faites par un logiciel potentiellementmalveillant. Voici maintenant des requêtes ayant été journaliséespar un coupe-feu : s 2012 Mar 4 02:18:33 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html BSIDESQUEBEC, FIER PARTENAIRE DU CQSI, s 2012 Mar 4 08:18:34 1.1.1.111/1.1.1.111 S’UNIT À CUSIN SÉCURITÉ INC., %ASA-5-304001: 1.1.1.42 Accessed URL AFIN DE SOULIGNER L’IMPLICATION DE L’ASIQ 69.3.211.4:http://www.emcc.com/info.html s 2012 Mar 4 14:18:34 1.1.1.111/1.1.1.111 ET LES 20 ANS DU CQSI! %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html http://bsidesquebec.org http://cusin.ca

×