Promotion
Les menaces persistantes avancées (APT) représentent un défi unique avec des motifs, des techniques et des tactiques qui diffèrent des cyberattaques traditionnelles.
Une attaque APT est une cyberattaque sophistiquée et durable dans laquelle un intrus établit une présence non détectée dans un réseau pour voler des données sensibles sur une période prolongée.
Soigneusement planifiés et conçus pour infiltrer une organisation spécifique, les APT échappent aux mesures de sécurité existantes et passent sous le radar.
Les quatre principaux objectifs des APT sont :
- Hacktivisme : Les hackers qui se disent militants et piratent des systèmes vulnérables pour des causes sociales, politiques ou religieuses.
- Destruction : Détruire une organisation
Les cyber-voleurs ne cessent d'inventer des moyens inédits et de plus en plus sophistiqués pour faire des ravages, laissant les professionnels de la cybersécurité jouer les rattrapés pour concevoir des solutions essentielles. Dans ses prédictions annuelles sur la cybersécurité pour 2023, Forbes a détaillé les derniers efforts des cybercriminels, y compris des États-nations, pour faire des ravages sur les systèmes et les infrastructures.
Explorons cette menace de cybersécurité et les mesures à prendre pour protéger les infrastructures critiques, dont la plupart fonctionnent dans un environnement numérique accessible par Internet, ce qui crée certaines vulnérabilités. Cela rend la protection des infrastructures critiques et la sauvegarde des chaînes d'approvisionnement particulièrement difficiles dans les sociétés démocratiques qui sont, par nature, ouvertes et accessibles.
Les APT : Que sont-ils, d'où viennent-ils et comment fonctionnent-ils ?
Conçues par des hackers experts, les APT sont une forme subtile et persistante de cyberattaque qui peut rester indétectée pendant de longues périodes. Pendant la période entre l'infection et la remédiation, le pirate surveille, intercepte et relaie souvent des informations et des données sensibles. L'intention d'une APT est alors d'exfiltrer ou de voler des données plutôt que de provoquer une panne de réseau, un déni de service ou d'infecter des systèmes avec des logiciels malveillants.
Contrairement à d'autres cyber-hacks qui ont un impact instantané comme une bombe qui explose, une APT est une combustion lente furtive mais sauvagement destructrice, capable d'infliger des dommages potentiellement désastreux et à long terme aux systèmes et parties prenantes critiques comme le Département de la Défense, les systèmes bancaires et financiers, le réseau électrique et d'autres applications critiques liées aux communications et aux transports.
Les APT sont le fait d'”attaquants qualifiés possédant des outils de piratage avancés, des techniques sophistiquées et éventuellement de grandes équipes” et ont traditionnellement été utilisés par des États-nations ou des acteurs parrainés par l'État “pour extraire des informations à des fins d'espionnage ou de sabotage.”
Parce qu'une attaque APT nécessite un haut degré de sophistication et de personnalisation, les adversaires sont généralement des équipes de cybercriminels expérimentés et bien financés qui ont investi du temps et des ressources considérables pour rechercher et identifier les vulnérabilités au sein d'organisations, de plateformes et d'infrastructures critiques de grande valeur que ces mêmes équipes cherchent ensuite à cibler.
Par exemple, les groupes APT chinois ont utilisé des logiciels malveillants de type Remote Access Trojan (RAT) pour accéder aux ordinateurs et les compromettre, en exécutant des attaques PowerShell, tandis que les groupes APT iraniens ont utilisé une attaque PowerShell qui, parce qu'elle ne se lance pas, reste cachée des outils et des protections de sécurité. Bien que les équipes aient traditionnellement exécuté les attaques, une personne dévouée et avisée possédant des compétences avancées pourrait également déployer une APT. Parmi les exemples d'attaques bien connues au fil des ans, citons Titan Rain, Sykipot, Ghostnet, Ver Stuxnet et Deep Panda.
Les APT obtiennent l'accès aux systèmes grâce à diverses méthodes : systèmes de confiance, ingénierie sociale, accès physique aux installations, pots-de-vin et extorsion pour obtenir l'accès aux systèmes. Plus alarmant encore, une fois l'accès obtenu, il peut être maintenu via des portes dérobées implémentées dans les serveurs, l'installation de logiciels et l'ajout de matériel contrôlé aux réseaux.
Quelles sont les trois étapes d'une attaque APT ?
Avant de pouvoir mettre en place des sauvegardes et des protocoles de protection pour prévenir, détecter et résoudre une future APT, les systèmes et les professionnels de la cybersécurité formés doivent reconnaître leurs caractéristiques. La plupart des APT suivent le même cycle de vie de base : infiltrer un réseau, étendre l'accès et voler des données sensibles en les extrayant du réseau.
Étape 1 : Infiltration
Les APT gagnent souvent une traction initiale par le biais de l'ingénierie sociale ; par exemple, un email de phishing qui cible sélectivement des personnes de haut niveau comme des cadres supérieurs ou des leaders technologiques, souvent en utilisant des informations obtenues auprès d'autres membres de l'équipe qui ont déjà été compromis. L'email aura l'air officiel, comme s'il provenait d'un membre connu de l'équipe et peut même inclure des références précises à un projet en cours.
Étape 2 : Escalade et mouvement latéral
Une fois l'accès initial obtenu, les attaquants insèrent un malware dans le réseau d'une organisation pour passer à la deuxième phase, l'escalade, lorsqu'ils se déplacent latéralement pour cartographier le réseau et recueillir des informations d'identification telles que des noms de comptes et des mots de passe afin d'accéder à des informations commerciales critiques. Les APT peuvent également établir une “porte dérobée” qui leur permet de se faufiler dans le réseau pour mener des opérations furtives. Des points d'entrée supplémentaires sont souvent établis pour que l'attaque puisse se poursuivre si un point compromis est découvert et fermé.
Étape 3 : Exfiltration
En préparation de la troisième phase, les cybercriminels stockent généralement les informations volées dans un endroit sécurisé du réseau jusqu'à ce que suffisamment de données aient été collectées, puis les données sont “exfiltrées” sans être détectées. La tactique employée peut être une attaque par déni de service (DoS) pour distraire l'équipe de sécurité et immobiliser le personnel du réseau pendant l'exfiltration des données. Le réseau peut alors rester compromis, attendant le retour des voleurs à tout moment.
Quels sont les signes avant-coureurs ?
Bien que les APT soient toujours exceptionnellement difficiles à identifier, certains signes particuliers peuvent indiquer que quelqu'un a accédé à ton système. Ces signes sont notamment les suivants :
- Des exercices de compte client bizarres : Comme les connexions multiples ou les changements fréquents de mot de passe.
- Trojans : Tu verras que ton système utilise excessivement les chevaux de Troie ; les APT ont besoin de chevaux de Troie malveillants à porte dérobée pour continuer à accéder.
- Action étrange de l'ensemble de données : Comme apporter des modifications à des données sensibles et plusieurs tentatives d'accès aux données qui ont échoué.
- Des données ou des fichiers suspects dans le système : Les APT créent des fichiers de données pour stocker puis exfiltrer des informations.
Qui est le plus vulnérable ?
Aux États-Unis, la plupart des infrastructures essentielles, comme la défense, le pétrole et le gaz, les réseaux électriques, les ports, la navigation, les soins de santé, les services publics, les communications, les transports, l'éducation, la banque et la finance, appartiennent principalement au secteur privé et sont réglementées par le secteur public. Au sein du gouvernement, en particulier la défense, la sécurisation des infrastructures critiques et de la chaîne d'approvisionnement a été une priorité en constante évolution.
Bien qu'elle ne soit pas définie comme une infrastructure critique par la Département de la sécurité intérieure, l'espace est un atout prioritaire pour l'industrie et pour la sécurité nationale. Lorsque la Russie a envahi l'Ukraine, le fournisseur ukrainien de communications par satellite ViaSat a été perturbé. En cette ère numérique qui évolue rapidement, la sécurité des satellites et de l'espace revêt une importance naissante en raison de la dépendance aux satellites pour les communications, la sécurité, le renseignement et le commerce. Des milliers de satellites sont sujets à des cyber-vulnérabilités depuis le haut et le bas. Le Commandement des systèmes spatiaux américains a récemment annoncé un test bêta pour des directives de cybersécurité autour des satellites commerciaux. La Russie et la Chine sont deux des acteurs les plus redoutables pour les systèmes de communication spatiaux, tandis que l'Iran et la Corée du Nord restent des menaces viables.
Le Pentagone a récemment présenté sa feuille de route pour la stratégie zéro-confiance, tandis que l ? Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a mis à jour son cadre de résilience des infrastructures. Architectures à confiance zéro – l'idée que toute personne, tout appareil ou toute application qui tente d'accéder à un réseau ne peut pas être digne de confiance tant qu'elle n'est pas authentifiée et vérifiée – sont un élément central. Le DoD prévoit de mettre en place un cadre de confiance zéro entièrement d'ici 2027, et le Pentagone veut s'assurer que toutes les technologies connexes suivent le rythme de l'innovation industrielle, et que les politiques et le financement s'accordent avec les approches de confiance zéro. Le DoD a noté que ses systèmes sont soumis à une “attaque à grande échelle et persistante” de la part de groupes de menaces, notamment de la Chine et d'autres États-nations.
Ce qu'il faut faire
Les cibles de grande valeur doivent apprendre à se défendre contre les attaques APT. Les efforts actuels de réponse aux incidents demandent beaucoup de travail et peuvent prendre des mois. La défense est souvent en retard sur les capacités des attaquants à découvrir les vulnérabilités qui mènent aux actifs critiques. Il est urgent de générer des descriptions axées sur les données et lisibles par machine du comportement des outils des attaquants, du déroulement de leur parcours et de la manière d'étiqueter les comportements d'attaque observables pour les prévenir avant qu'ils ne soient détruits.
David McKeown, Chief Information Security Officer et Deputy Chief Information Officer au Département de la Défense, explique que si le DOD a excellé dans les défenses du périmètre lors des attaques précédentes, les APT peuvent gagner du terrain grâce au phishing, aux attaques par force brute sur les vulnérabilités des serveurs, aux attaques Web et au piratage du code. “Une fois qu'ils ont pris pied”, explique McKeown, “ce que nous avons constaté au fil du temps, c'est que nous devons lutter pour les trouver et finalement les éradiquer d'une application sur un réseau et avoir la certitude qu'ils ont disparu du réseau”. Le DOD continuera à s'associer à l'industrie et à toutes ses dernières offres de sécurité pour fournir de meilleures solutions de sécurité.
Le partage d'informations sur les menaces et les risques et la collaboration entre le gouvernement et l'industrie sont essentiels pour que tout le monde soit au courant des derniers virus, logiciels malveillants, menaces de phishing, ransomware et menaces d'initiés. Le partage d'informations entre les secteurs public et privé établit des protocoles de travail qui renforcent la résilience face aux cybercrimes.
Il y a les choses évidentes qu'une organisation peut faire, notamment limiter l'accès aux données sensibles, maintenir les correctifs de sécurité à jour, effectuer des scans réguliers et contrôler les espaces de ton réseau, y compris les applications qui peuvent être introduites par tes clients. Cependant, le point faible le plus évident et toujours le point d'accès le plus persistant est ton personnel.
Une organisation n'est aussi forte que le maillon le plus faible de sa chaîne de cybersécurité et les attaquants, peu importe l'argent que les entreprises ont dépensé en logiciels, matériel et services pour prévenir les cyberattaques, comptent sur quelqu'un (généralement un utilisateur final) pour mordre à l'hameçon et contourner ces coûteuses protections de cybersécurité. Il ne suffit pas que les employés regardent une vidéo sur la cybersécurité une fois par an et répondent à des questions. Les entreprises devront organiser des formations tout au long de l'année. La formation doit faire partie intégrante du travail et être intégrée à la culture de l'entreprise. En termes simples, les départements informatiques et les professionnels de la sécurité doivent investir davantage dans la formation à la cybersécurité.
Vois ce que CYRIN peut faire
Chez CYRIN, nous savons qu'à mesure que la technologie change, un professionnel de la cybersécurité doit développer les compétences nécessaires pour évoluer avec elle. Chez CYRIN, nous continuons d'évoluer et de développer des solutions avec des formations “pratiques” et nos cours enseignent des solutions fondamentales qui intègrent des outils cybernétiques réels provenant des laboratoires de CYRIN qui te permettent de t'exercer 24 heures sur 24, 7 jours sur 7, dans le cloud, sans logiciel spécial.
Ces outils et notre environnement virtuel sont parfaits pour une force de travail mobile et à distance. Les gens peuvent se former à leur rythme, avec tous les avantages du travail à distance, de la formation à distance et de la flexibilité.
Cyber est un travail d'équipe ; pour voir ce que notre équipe peut faire pour toi, jette un coup d'œil à notre catalogue de cours, ou mieux encore, contacte-nous pour obtenir de plus amples informations et ta démonstration personnalisée de CYRIN..
Fais un essai routier et vois par toi-même !
Tu pourrais aussi lire :
Ce qui t'attend en 2023 : Tendances en matière de cybersécurité:
