La détection et la prévention des APT sont difficiles mais possibles

Les attaquants ayant recours à des campagnes persistantes ciblées contre les entreprises et les administrations continuent d’exfiltrer des donnée,s mais n’en sont pas encore venus à détruire des systèmes ou à manipuler les données en question. Un ensemble d’experts intervenants sur RSA Conference 2011 cautionnent néanmoins l’idée selon laquelle ceci est du domaine du faisable. Et de débattre des répliques possibles à l’échelle des Etats.

«Nous n’avons jamais vu ces acteurs menaçants détruire des données, au-delà de la simple manipulation de fichiers de logs,» explique Kevin Mandia, Pdg de Mandiant Corp., un prestataire de sécurité informatique installé à Washington D.C, à propos des récentes attaques menés par des hackers sur des sociétés et des gouvernements . «Les attaquants ne manipulent pas les données, pour le moment. Nous verrons si leurs comportements deviennent plus intolérables en cas de suppressions ou de modifications.»

Le groupe d’intervenants - dont Heather Adkins, RSSI de Google, George Kurtz, CTO de McAfee, et Adam Meyers, ingénieur sécurité senior de SRA International - a partagé ses expériences sur des exemples réels d’attaques de type APT (Advanced Persistant Threat). Les attaques visant Google, rendues publiques en janvier 2010, ont permis d’introduire ce terme dans le lexique de la sécurité informatique. Adkins a expliqué que Google a depuis créé un groupe d’intervention spécifique, ainsi qu’un plan d’action décrivant précisant qui doit être impliqué dans le cas d’une telle attaque ainsi que quand et comment l’attaque mérite d’être remontée en interne et auprès des forces de l’ordre. «Ce qu’il faut, c’est un gestionnaire de crise - deux, en fait, parce que l’un des deux finira par tomber de fatigue,» a indiqué Adkins. «Vous avez besoin d’analystes en criminologie et en logiciels malveillants. Vous avez besoin d’un groupe de personnes dédiées qui peuvent prendre des décisions difficiles en matière de remédiation après l’incident.»

La menace des APT soulève d’abord la question des auteurs, selon des experts tels que Richard Bejtlich, directeur chargé de la réaction aux incidents de sécurité chez General Electric; des attaquants organisés et bien financés. Ceux-ci contrôlent la qualité de leur code et disposent d’équipes riches d’une forte expertise, patientes et déterminées à récupérer des secrets commerciaux et de la propriété intellectuelle. Malgré ce niveau d’organisation, leurs moyens de compromission initiaux sont parfois moins sophistiqués. La compromission de Google est venue d’un message instantané qui a dirigé la victime vers un site Web malicieux. Avec Stuxnet, les clés USB infectées ont conduit à la compromission d’une installation nucléaire iranienne.

«Le but est d’assurer sa position sur le réseau, puis d’exécuter l’attaque et de chercher les données,» expliquait Meyers. «Si l’attaque est réussie et qu’elle passe inaperçue, l’attaquant peut rester là, comme un agent dormant. Il suffit de laisser le logiciel malveillant en place et de lui demander de reprendre le contact dans trois mois. A ce stade, il suffira de déterminer si de nouvelles tâches peuvent lui être affectées.»

Kurtz compare cette persistance à un test de pénétration, un test dans lequel l’adversaire dispose d’une équipe plus étendue qu’une équipe de pen-testing interne classique. «La différence, c’est qu’un test de pénétration est encadré par des règles. Les attaquants n’ont pas de règles. Ils n’ont pas de chronologie à respecter, ni de rapport à établir. Ils peuvent attendre là durant des mois et c’est cela qui est inquiétant. C’est un peu comme un test de pénétration permanent.»

Et à l’inverse de certains tests de pénétration actuels, les intrusions APT intègrent presque toujours une phase de renseignement sur les victimes. Une phase conduite notamment en exploitant les données personnelles mise à disposition par les salariés sur les réseaux sociaux et qui permet de repérer des profils précis ou, plus simplement, en mettant en place de faux profils Twitter ou Facebook qui seront utilisés pour attirer la victime et l’amener à télécharger une application malicieuse. Le logiciel malveillant permet alors à l’attaquant de prendre le contrôle à distance d’une machine et de disposer des identifiants légitimes de sa victime pour accéder au réseau de l’entreprise.

«L’empreinte de la victime sur les réseaux sociaux n’est ni plus ni moins qu’une étape de reconnaissance,» explique Kurtz. «Cela revient à cartographier un réseau. Et si vous le comprenez, vous avez plus de chance de vous y infiltrer.» 

Et Mandia d’ajouter que les attaquants ciblent souvent leurs victimes suivant leur système d’exploitation. Par exemple, les problèmes de sécurité inhérents à la plateforme Windows ne sont généralement prises en compte qu’après les faits. Les applications en ligne ou de simples photocopieurs exploitant des versions embarquées non mises à jour de Windows sont également des cibles potentielles.

En matière de détection et de prévention des APT, les intervenants recommandent d’enregistrer les accès Web, les requêtes DHCP et DNS, ainsi que les authentifications sur les dépôts de code source, la supervision des déplacements de contenus sur les systèmes de messagerie, et les accès aux différents gisements de données de l’entreprise. Les organisations devraient également identifier et superviser leurs utilisateurs avec les privilèges élevés, améliorer leurs processus de gestion des correctifs, et penser à mettre en place des systèmes d’authentification forte sur les applications sensibles. Ils insistent en outre sur l’information et la formation des utilisateurs, tout particulièrement pour ceux qui sont présents sur les réseaux sociaux : il est important, souligne Meyers, qu’ils sachent qu’ils sont des cibles potentielles; et les entreprises devraient les encourager à transmettre les messages suspects à leur DSI ou RSSI; cela peut toujours être utile pour identifier des attaques potentielles ou en cours. «Faites que cela coûte cher à l’adversaire,» a conclu Mandia. «Faites qu’ils doivent mériter [vos données].»

Par Michael S. Mimoso, SearchSecurity.com. Adapté de l’anglais par la rédaction du MagIT

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)