Close
  • Français
  • English

08/08/2013Une “Défense Active” pour lutter contre les attaques ciblées ? [Par Nicolas Caproni, BSSI]

Depuis plusieurs années, les motivations des attaquants ont évolué, tout comme le schéma de leurs cyber attaques. Si la cybercriminalité et les autres attaques opportunistes (l’hacktivisme notamment) n’ont pas disparues, bien au contraire, on a surtout vu émerger le phénomène des attaques ciblées (souvent désignées, à tort ou à raison, par le terme APT – Advanced Persistent Threat).

Les attaques ciblées ne sont pas forcément plus avancées techniquement ni toujours persistantes mais elles répondent généralement à un objectif spécifique pour une cible précise. Par exemple, un groupe d’attaquants souhaite dérober les données confidentielles liées à une prochaine opération de fusion-acquisition d’une entreprise du secteur énergétique. Si le vol de données sensibles (communément désigné comme du cyber espionnage) est le scénario classique d’une attaque ciblée, le sabotage peut également être une motivation pour certains attaquants (exemples de Stuxnet mais aussi de Saudi Aramco).

Les attaquants sont aujourd’hui plus déterminés que jamais pour pénétrer les réseaux informatiques des cibles qu’ils ont désignées ou qu’on leur a désignées. Le temps, les efforts ou encore les ressources ne sont pas un problème pour eux. Ils trouveront toujours une faille pour atteindre leurs objectifs.

Contre ces menaces, les défenses de la majorité des entreprises n’ont que très peu évolué. Les règles de sécurité mises en place depuis une dizaine d’années sont le plus souvent mal implémentées et peu adaptées à ces nouvelles cybermenaces. L’approche de la sécurité des systèmes d’information qui prédomine encore aujourd’hui est trop passive. On attend de détecter une attaque tout en faisant (aveuglément) confiance aux multiples outils de protection qu’on a mis en place et qui ne sont pas infaillibles.

Il est nécessaire de faire évoluer nos postulats et nos modèles en matière de sécurité des systèmes d’information. Pour cela, une nouvelle approche proactive est indispensable.

La Défense Active, un concept offensif ?

Le concept de Défense Active est récent et nous vient une nouvelle fois des Etats-Unis. Il est notamment évoqué en 2011 lorsque le Ministère américain de la Défense (DoD) publie sa stratégie pour opérer dans le cyberespace. Il y annonce mettre en place des capacités de Défense Active pour bloquer les intrusions visant ses réseaux et systèmes informatiques.

Le document américain ne détaille pas ce qu’il entend par Défense Active. En 2012, c’est une toute jeune société américaine, CrowdStrike, qui reprend le concept pour l’appliquer au monde des entreprises en créant le buzz avec un marketing orienté sur l’offensif (avec notamment son slogan “You Don’t Have a Malware Problem, You Have an Adversary Problem“).

[box style=’info’] CrowdStrike est une société californienne créée en 2012 par deux anciens dirigeants de l’éditeur de solutions de sécurité McAfee, George Kurtz et Dmitri Alperovitch. Ils sont rapidement rejoints par Shawn Henry, ancien directeur adjoint du FBI chargé de lutte contre le cybercime et également par Steven Chabinsky, ancien responsable et juriste de la division Cyber du FBI. Le recrutement de ces deux anciens du FBI a également été un moyen pour CrowdStrike de dissiper les doutes sur la légalité de ses offres souvent présentées comme “offensives”. [/box]

Le concept de Défense Active ne correspond en aucun cas à ce qu’on appelle communément le “Hack Back” et qui fait l’objet de nombreux articles dans les médias américains. Il ne s’agit pas de riposter à des attaques informatiques en contre-attaquant pour se venger ou simplement perturber l’infrastructure des attaquants.

Une stratégie de Défense Active est une approche proactive comportant des aspects offensifs qui reposent sur les principes suivants :

[list style=’check’] [list_item] Une détection en temps réel des tentatives d’intrusion : en se focalisant en premier lieu sur les techniques des attaquants, sur leurs objectifs et sur l’analyse des comportements au sein de l’organisation et non sur simplement des signatures ou des “indicateurs de compromission” ;[/list_item]

[list_item] L’identification des attaquants (et de leurs commanditaires le cas échéant) : pour tenter de comprendre qui ils sont et quels sont leurs objectifs ; [/list_item]

[list_item] Des réponses variées aux intrusions : une défense passive reste indispensable (prévention, remontée d’alertes…) mais d’autres options de réponses aux intrusions peuvent être mises en oeuvre. A l’image des techniques de contre-espionnage, cela inclut, par exemple, de tromper l’adversaire (deception en anglais) ou encore de le désinformer. Le but est de créer un doute et de la confusion dans la tête des attaquants pour les induire en erreur. On peut penser aux honeypot, mais pas seulement ; [/list_item]

[list_item] Une Kill Chain : aucun outil ne pourra jamais stopper une attaque ciblée. La Défense Active remet également au goût du jour une méthodologie de type “Kill Chain” (inventée par Lockheed Martin en 2010) qui repose sur un principe simple : une attaque ciblée peut être découpée en 6 ou 7 étapes (reconnaissance, installation du malware, persistance, exfiltration des données…). Le but est donc de tenter de mettre en place des actions défensives adaptées à chacune de ces étapes. Le blog exploitability.blogspot.fr propose une “Kill Chain” détaillée en français très intéressante ; [/list_item]

[list_item] L’entraînement / la simulation : les tests d’intrusion classiques ne sont pas une solution efficace pour se protéger des attaques ciblées. Les organisations doivent mettre à l’épreuve non seulement leurs systèmes informatiques mais aussi leur équipe sécurité pour tester leur comportement et leurs réactions en cas de détection d’une attaque ciblée. Les auditeurs doivent employer les mêmes techniques que celles utilisées par des attaquants en charge d’une opération ciblée et dans des conditions quasi réelles (on parle généralement d’audit « Red Team ») ; [/list_item]

[list_item] Le partage d’information : il faut partager avec la communauté sécurité des informations sur les techniques utilisées par les attaquants pour qu’ils ne puissent plus les exploiter. Il est également important d’engager des poursuites civiles, commerciales ou pénales en coopération avec d’autres entreprises et des agences gouvernementales ; [/list_item]

[/list]

Le concept de “Défense Active” met donc l’accent sur l’information ou, devrait-on dire, sur du  « renseignement cyber ». Le but est de capitaliser sur une meilleure connaissance et compréhension des attaquants. Car comprendre les personnes et les groupes responsables de ces activités et leurs modes opératoires va permettre d’augmenter le coût et les risques de leurs opérations, de les rendre moins efficace et pourquoi pas d’en dissuader certains. On rencontre également le terme de “Threat Intelligence” pour décrire ce type d’analyse.

Le concept de “Défense Active” insiste également sur le partage de ces informations. Car lutter contre ces attaquants devient plus facile s’il existe une véritable coopération ou des partenariats entre les différents acteurs (éditeurs de solutions de sécurité, FAI, hébergeurs web, forces de police, justice…). Partager les modes opératoires, les éléments d’attribution, les signatures des malwares ou des attaques va permettre de consolider une base de connaissance et ainsi d’améliorer la résilience des organisations ciblées.

Approche innovante ou simple marketing ?

Le concept de “Défense Active” n’est pas seulement un nouveau concept marketing même si le “flou” qui a entouré, par exemple, la création et le développement de la société CrowdStrike a pu donner cette impression.

Une “Défense Active” c’est finalement une nouvelle approche de la sécurité informatique qui va notamment mettre en avant l’analyse humaine pour se concentrer sur l’attaquant, ses modes opératoires, ses outils et ses motivations. C’est également une approche dynamique qui, tout en se basant sur les outils de base d’une défense passive (antivirus, firewall, IDS…), va chercher à s’adapter aux menaces auxquelles les organisations font face.

Pour mettre en place une “Défense Active“, plus que des outils, ce sont des compétences spécifiques qui sont indispensables :

[list style=’check’]
[list_item] Des analystes sur les cyber menaces et pourquoi pas dotés d’expérience en contre-espionnage ; [/list_item]
[list_item] Des experts en investigation numériqueOSINT (Open Source Intelligence) et en forensics ; [/list_item]
[list_item] Des experts en malware reverse engineering ; [/list_item]
[list_item] Des experts en réponse à incidents. [/list_item]
[/list]

Ces professionnels expérimentés s’appuieront sur des outils spécifiques comme des solutions de SIEM (Security Information and Event Management), de “Threat Intelligence” ou des outils sécurité “maison” développés spécifiquement  qui, combinés avec leur travail d’analyse (des logs, des malwares…) permettront de détecter le plus en amont possible ces attaques ciblées.

Ces compétences et ces outils sont à mettre en place dans des structures comme les SOC (Security Operation Center), véritables tours de contrôle de la sécurité, ou encore les équipes CERT / CSIRT (Computer Emergency Response Team / Computer Security Incident Response Team), des « cyber forces » de réaction rapide (qui jouent malheureusement plutôt le rôle de « cyber pompiers »).

Mais cette approche proactive ne peut être efficace que si les défenses passives traditionnelles, les règles d’hygiène informatique et les bonnes pratiques de sécurité sont déjà appliquées.

Sources :

Pour aller plus loin :