09 décembre 2020 | Recherche
  • Partager :

APT : Les attaques stratégiques exigent des tests stratégiques

Face aux menaces croissantes, les entreprises renforcent leur sécurité informatique à l’aide de mécanismes de défense spécialisés pour se protéger contre les attaques stratégiques et ciblées. En parallèle, d’autres stratégies de défense sont développées. Mais qu’en est-il de l’efficacité des nouveaux produits dans le domaine de la protection des terminaux (endpoints) et de la détection et réponse sur les terminaux contre les attaques APT ? L’institut AV-TEST donne un aperçu des nouvelles méthodes de test pour une évaluation professionnelle de ce type de solutions.

Les entreprises font face à des menaces croissantes:

Les entreprises nécessitent des mécanismes de défense spécialisés pour se protéger contre les attaques ciblées et renforcer leur sécurité informatique.

zoom

Aggravation de la cybercriminalité visant les entreprises et les institutions publiques

Pour les entreprises et les institutions publiques, se protéger des programmes malveillants de masse n’est pas suffisant, loin s’en faut. Car contrairement aux utilisateurs privés, outre le flux toujours plus important de logiciels malveillants de masse, elles sont également de plus en plus la cible de cyberattaques tactiques. Ces attaques visent à saboter des productions en cours ou, dans le cadre de l’espionnage industriel numérique, à détourner un savoir-faire concurrentiel et donc de coûteux travaux de recherche et de développement. Des attaques perpétrées ces derniers mois par de présumés attaquants russes et coréens contre sept instituts de recherche et fabricants de vaccins contre la COVID-19 le prouvent. Autre cible des attaquants : les données clients et autres informations commerciales importantes. Sans stratégies de défense appropriées, les entreprises mettent en danger non seulement leur activité et leur compétitivité, mais également leur réputation lorsqu’une attaque réussit. 

Le baromètre des risques 2020 d’Allianz souligne la précarité des conditions de sécurité informatique du côté des entreprises. Dans la 9e édition de cette enquête, Allianz Global Corporate & Specialty (AGCS) a interrogé plus de 2700 experts en risques d’entreprises dans plus de cent pays sur ce qu’ils considèrent comme les principaux risques pour une entreprise.  Dans le classement des principaux risques, les experts considèrent les cyberattaques contre leurs entreprises comme le risque majeur avec 39 %, nettement avant la crainte de guerres commerciales, d’augmentations des taxes douanières, de catastrophes naturelles ou du changement climatique.

APT – des attaques stratégiques et tactiques loin des maliciels de masse

Contrairement aux attaques largement diffusées via les maliciels de masse, les attaques tactiques visant des entreprises et des organismes publics utilisent des programmes malveillants très sophistiqués et des stratégies à long terme. Il s’agit de ce qu’on appelle les menaces persistantes avancées (ou APT, Advanced Persistent Threats), qui supposent des connaissances très précises de l’infrastructure technique des cibles visées. L’objectif de ces cyberattaques tactiques est d’infiltrer en profondeur le réseau attaqué le plus longtemps possible sans être détecté pour causer le plus de dommages possible.

Si l’on examine les attaques APT détectées et analysées jusqu’à présent, on s’aperçoit très rapidement qu’elles sont dangereuses et nécessitent des mesures de défense de grande ampleur. Les attaques APT sont effectuées de manière ciblée, souvent après avoir été planifiées pendant des mois voire des années, et elles se caractérisent par l’emploi de moyens financiers et techniques élevés ainsi que par la participation d’équipes hautement spécialisées. De telles conditions limitent au moins le nombre d’attaquants possibles : il s’agit fréquemment d’équipes d’experts au service d’État tiers ou d’organisations militaires. La liste des cyberincidents significatifs établie par le Center for Strategic & International Studies (CSIS) fournit un aperçu impressionnant des attaques découvertes ainsi que de leurs auteurs présumés. De plus, des analyses d’attaques connues dévoilent des procédés et des tactiques déjà identifiés qui de leur côté présentent régulièrement une combinaison de plusieurs techniques d’attaques. La matrice MITRE ATT&CK représente le standard reconnu en matière de tactiques et de techniques d’attaques APT.

Combinaison ciblée de techniques d’attaque

Si les attaques APT sont imprévisibles et très difficiles à détecter, c’est notamment à cause de l’absence de schémas d’attaque typiques et de la combinaison en constante évolution de différents procédés et vecteurs d’attaque. Toutefois, ces attaques ont ceci en commun qu’elles utilisent un mode d’attaque combiné et les procédés d’attaque les plus divers qui suivent généralement un certain schéma, c’est-à-dire qu’elles passent par une sorte de cycle de vie APT. 

La première phase d’une attaque APT consiste la plupart du temps à explorer la victime à l’aide de pratiques d’ingénierie sociale et à analyser techniquement l’infrastructure informatique ciblée (reconnaissance). Ensuite, il s’agit de sélectionner les outils et les techniques d’attaque (weaponization) et d’infiltrer les outils sélectionnés dans le réseau étranger (delivery). Une fois l’infiltration réussie (exploit), les prochaines étapes sont l’installation et l’ancrage des outils d’attaque dans le système détourné ainsi que la propagation dans le réseau. Une fois que les outils sont placés et installés et peuvent être commandés à distance (command & control), les attaquants ont atteint leur cible et peuvent développer leur effet nocif (action).
   
Pour les différentes techniques, les attaquants ont souvent recours durant la phase de reconnaissance à des pratiques d’ingénierie sociale qui leur permettent d’attaquer les victimes de manière ciblée par spear phishing.  Ensuite, outre les outils standards modifiés en permanence et adaptés à la situation, ils utilisent également des logiciels malveillants de pointe. Il n’est pas rare que ces derniers exploitent de coûteuses vulnérabilités zero-day dans des applications non corrigées et qu’ils soient donc d’autant plus difficiles à détecter. Pour identifier des attaques APT ou au mieux, s’en protéger, il faut s’équiper d’outils de détection et de défense appropriés ainsi que de stratégies et de formations globales. C’est le seul moyen de déceler les activités suspectes des attaquants dans le flux massif des fichiers journal.

Tests et formations : équipe rouge contre équipe bleue

Les tests et les formations en solutions de sécurité contre les attaques APT s’effectuent de manière optimale avec deux équipes, l’une rouge, l’autre bleue, qui travaillent l’une contre l’autre.  L’équipe rouge utilise les tactiques et les techniques utilisées par les attaquants eux-mêmes. Ceci suppose toutefois la mise à disposition d’outils appropriés, tels que des maliciels zero-day, et les connaissances sur la manière de s’en servir et sur les techniques d’attaque correspondantes.
 
En retour, l’équipe bleue tente de reconnaître une telle attaque APT, de l’analyser, et dans l’idéal, de la bloquer ou de l’empêcher. Les armes dont dispose l’équipe bleue consistent généralement à faire interagir des plates-formes de protection des terminaux (Endpoint Protection Platforms, EPP) et des plates-formes de détection et de réponse sur les terminaux  (Endpoint Detection & Response, EDR). Dans ce type de scénario, les systèmes de protection utilisés, leur configuration, mais aussi les administrateurs et les structures de sécurité d’une entreprise attaquée doivent faire leurs preuves.

Les attaques APT sont très difficiles à détecter.

Ces attaques ont ceci en commun qu’elles utilisent un mode d’attaque combiné qui suivent généralement un certain schéma (cycle de vie APT).

zoom ico
Les certificats A2EPP et A2EDR d’AV-TEST

garantissent aux fabricants de solutions EPP et EDR la preuve de l’efficacité de leurs produits contre les attaques APT.

zoom ico

1

Les attaques APT sont très difficiles à détecter.

2

Les certificats A2EPP et A2EDR d’AV-TEST

De quoi les plates-formes EPP et les EDR sont-elles capables ?

L’utilisation de plates-formes de protection des endpoints doit permettre de reconnaître et de bloquer la pénétration de logiciels malveillants et d’autres outils utilisés dans les attaques APT. Dans l’idéal, de telles plates-formes gèrent et contrôlent tous les terminaux utilisés dans le réseau et leur fournissent un grand nombre de techniques de sécurité, parmi elles des scanners antivirus, des pare-feux, des systèmes de prévention des intrusions (Intrusion Prevention System, IPS) et de prévention des pertes de données (Data Loss Prevention, DLP). La question de l’efficacité des EPP à repousser des maliciels zero-day et des attaques APT élaborées dépend entre autres des procédés de reconnaissance utilisés. En fonction des fournisseurs, les EPP misent sur des procédés d’analyse statiques et dynamiques, sur des analyses de comportement et sur le recours à l’intelligence artificielle.

En particulier, la reconnaissance d’outils d’attaque qui se trouvent déjà dans le système met souvent les EPP face à un problème insoluble. C’est pourquoi, dans l’idéal, elles sont assistées par des plates-formes de détection et de réponse sur les endpoints pour reconnaître les attaques APT. La tâche de ce type de systèmes consiste à enregistrer les activités de tous les terminaux opérant dans le réseau et à analyser les événements déclenchés par eux. Il peut s’agir de connexions d’utilisateurs, de consultations de données, d’accès aux registres et à la mémoire, de connexions réseau utilisées et de diverses autres activités. Les EDR comparent ces activités avec des modes opératoires connus sur la base d’attaques APT déjà analysées. Pour ce faire, elles utilisent de vastes banques de données actualisées en permanence dans lesquelles les vulnérabilités connues et les schémas d’attaques antérieures sont archivés et combinés et qui montrent les anomalies et les attaques potentielles dans le cadre d’une analyse des schémas de comportement. Ces données permettent aux responsables de la sécurité informatique des entreprises de prendre les mesures de défense appropriées en cas de détection d’une attaque.

Les tests approfondis d’AV-TEST sur des plates-formes EPP et EDR établissent l’efficacité de votre défense contre les attaques APT

L’institut AV-TEST simule des attaques réalistes sur le modèle de divers groupes d’APT ou sur la base de scénarios actuels, tels que des attaques de ransomwares ciblées, en utilisant des tactiques et des techniques décrites dans la matrice MITRE ATT&CK. Ces tests réalistes avec une équipe rouge permettent aux experts en sécurité de l’institut AV-TEST d’établir les points forts et les points faibles des solutions utilisées pour protéger votre entreprise.  Au moyen d’attaques combinées selon la matrice MITRE ATT&CK, les tests modifiés en permanence et adaptés aux menaces actuelles offrent non seulement la meilleure évaluation possible de l’efficacité de la défense, mais également la possibilité d’optimiser les systèmes EPP et EDR. Les structures des tests développées par AV-TEST sont toujours vérifiables et reproductibles à tout moment. 

Les tests vous fournissent des informations détaillées sur les performances de défense et de reconnaissance des systèmes EPP et EDR avec un récapitulatif précis de la capacité de résistance aux attaques APT selon la matrice MITRE ATT&CK. L’institut AV-TEST décerne le certificat A2EPP (APPROVED ADVANCED ENDPOINT PROTECTION) et le certificat A2EDR (APPROVED ADVANCED ENDPOINT DETECTION AND RESPONSE) aux solutions qui ont passé les tests avec succès, avec un rapport de test respectif. De cette manière, les produits de sécurité certifiés ont la preuve de leur résistance contre les attaques avancées et ciblées qui font appel à des tactiques et techniques que l’on peut retrouver dans les attaques APT actuelles. Les certificats A2EPP et A2EDR d’AV-TEST garantissent aux fabricants de plates-formes EPP et EDR la preuve de l’efficacité de leurs produits, ce qui leur procure un avantage concurrentiel décisif.

Plusieurs plates-formes de protection des terminaux et solutions de détection et de réponse sur les terminaux sont actuellement soumises au premier test avancé mené par l’institut AV-TEST. Ce test simule des attaques de ransomwares ciblant un réseau d’entreprise sécurisé par les systèmes EPP et EDR mis au banc d’essai, après une pénétration réussie du réseau à l’aide de techniques et de tactiques APT actuellement en application. AV-TEST publiera prochainement d’autres informations sur le test actuellement en cours.

Social Media

Nous voulons rester en contact avec vous !  Recevez simplement et régulièrement les dernières informations et les publications de test.