Identifier des indicateurs clés de compromission
Connexions, mouvement latéral, point de transmission sont autant d’indicateurs de compromission du SI. François Amigorena, fondateur et PDG de la société, IS Decisions, vous aide à identifier le bon.
De nos jours, la menace de compromission est omniprésente, croissante et en constante évolution.
Mais à qui et à quoi avez-vous affaire ?
Les acteurs de menaces les plus communs se divisent en deux groupes. Le premier groupe est représenté par les acteurs externes (les hackers, les auteurs de malware, les organisations malveillante, etc.), qui représentent environ deux tiers des violations de données effectuées l’année dernière. Le second groupe est composé des acteurs internes ayant déjà accès à vos données importantes, ou qui piratent en interne pour en obtenir l’accès. Ce groupe représente un peu moins d’un tiers des violations de données, attribuant les compromissions restantes aux partenaires et aux multiples acteurs travaillant ensemble.
Il est essentiel de pouvoir identifier les indicateurs de compromission qui devront être étudiés et / ou traités sachant que chacun d’entre eux peut potentiellement représenter un évènement de compromission.
Quels sont les indicateurs de compromission ?
Prenons l’exemple d’une compromission utilisant un ensemble de niveaux d'accès (voir schéma) dans votre environnement – chaque niveau étant susceptible à l’attaque et, par conséquent, à la compromission - et regardons quels indicateurs résident à chaque niveau.
Le périmètre
A ce stade de votre environnement, les indicateurs de compromission nécessiteront une analyse.
Ils comprennent:
- Port non concordant / trafic d'applications – La communication avec les systèmes internes (pouvant inclure des commandes entrantes et une exfiltration de données sortantes) doit souvent s'effectuer sur des ports ouverts (par exemple le trafic HTTP sur le port TCP 80) pour atteindre un serveur externe.
- Augmentation du nombre de lectures / trafics de données – Le but est d'obtenir le plus de données possible; des lectures supplémentaires sur les bases de données, ainsi que l’augmentation du trafic sortant sont des indicateurs clairs qu’un problème existe.
- Irrégularités géographiques – Vous ne faites pas d’affaires en Ukraine. Pourquoi existe-t-il donc autant de trafic entre ce pays et votre organisation ? Les sources de communication anormales sont un signe évident que la connexion requiert votre attention.
Le point de transmission
Les indicateurs comprennent:
- Les processus rouges – Tout, des logiciels malveillants aux outils de piratage, est considéré comme un processus qui n'a jamais été exécuté sur un point de terminaison auparavant. Ce n'est pas toujours évident car certains hackers utilisent des commandes, des DLL et des exécutables, ou utilisent l'injection directe de mémoire pour éviter la détection.
- La persistance – La présence de tâches, les paramètres de registre à exécution automatique, les plug-ins du navigateur et même la modification des paramètres de service indiquent tous qu'un point de terminaison est compromis.
Les connexions
Les indicateurs incluent les anomalies de connexion suivantes :
- Le point de terminaison utilisé – Le PDG ne se connecterait jamais depuis une machine du service des comptes fournisseur, n’est-ce pas ?
- La date et l’heure d’utilisation – Un utilisateur travaillant de 9:00 à 17:00 et se connectant le samedi à 3 heures du matin? Oui, c'est relativement suspect.
- La fréquence – Un utilisateur, qui se connecte généralement une fois le matin et se déconnecte le soir, commence soudainement à se connecter et se déconnecter sur de courtes périodes, cela peut indiquer un problème.
- La concurrence - La plupart des utilisateurs se connectent depuis un point de terminaison unique. Un utilisateur se connectant soudain depuis plusieurs points de terminaison à la fois est une alerte évidente.
Le mouvement latéral
Les indicateurs comprennent:
- Une contradiction au niveau des utilisateurs/applications – Les utilisateurs de bas niveau n’utilisent que très rarement (voire jamais) d’outils liés à l’informatique, au scriptage, etc., et les utilisateurs n’utilisant jamais de session RDP, etc., sont également suspects.
- Un trafic réseau anormal – Les outils tels que Netcat peuvent diriger les communications sur les ports autorisés, et tout type d'existence ou d'excès de trafic qui n'est pas normal (par exemple, SMB, RPC, RDP, etc.) indiquent une compromission potentielle.
L’accès aux données
La recherche des anomalies suivantes peut indiquer une compromission:
- La date et l’heure d’accès – Tout comme pour les connexions, l’accès des utilisateurs à toute sorte de données est généralement cohérent dans le temps. Méfiez-vous des connexions en dehors des heures de travail.
- Le lieu d’accès – Il faut surveiller les données importantes (accédées généralement par des points de terminaisons au sein du réseau) lorsqu’elles sont accédées par des points de terminaison soit externes au réseau soit sur le périmètre.
- La quantité de données – Il convient de surveiller le périmètre pour détecter les augmentations de données envoyées depuis le réseau, de lectures de données, d’exportation ou de copies/sauvegardes de toute donnée importante.
Concentrer vos efforts sur un indicateur commun
Chacun de ces niveaux d'accès fournissent beaucoup de matière à réflexion car il y a beaucoup à surveiller. Il est initialement impossible de tout surveiller en même temps, il convient donc de déterminer lequel de ces indicateurs est le plus facilement détectable, tout en fournissant le meilleur indicateur de compromission.
Alors sur quoi devez-vous concentrer vos efforts ?
Une vérité fondamentale aide à cibler votre point de départ - un attaquant est incapable de faire quoi que ce soit dans votre organisation à moins de pouvoir compromettre un ensemble d'identifiants internes. Autrement dit: pas de connexion, pas d'accès. 81% des violations liées au piratage ont exploité des mots de passe volés ou faibles, faisant des connexions l’activité la plus commune de tous les modèles d’attaque.
À l'exception des attaques périmétriques (où les méthodes d'attaque telles que les injections SQL ne nécessitent pas d’identifiants pour accéder aux données), tous les autres niveaux mentionnés dans cet article requiert une connexion à un moment donné. Les points de terminaison ont besoin de connexions pour l'accès, les mouvements latéraux de tout type nécessitent une authentification pour accéder à un point de terminaison cible, et l'accès aux données nécessite d'abord une connexion authentifiée.
Donc, si vous devez donc choisir un domaine sur lequel vous concentrer, choisissez la connexion.
En assumant que la connexion est un indicateur clé, vous pouvez identifier une compromission avant que les actions clés (tel que le déplacement latéral et l'accès aux données) n’aient lieu. Cela fait des connexions l'un des véritables indicateurs anticipant, car les indicateurs associés au mouvement latéral et à l'accès aux données ne se produisent qu'une fois l'action survenue. Mais les connexions, lorsqu'elles sont surveillées et traitées de manière appropriée, peuvent être liées à des réponses automatisées à l'aide de solutions tierces. Celles-ci qui pourront prendre des mesures telles que la déconnexion des utilisateurs et la mise en place de restrictions d'utilisation des comptes, et ainsi contrecarrer les auteurs des menaces, et protéger les données des sociétés.
François Amigorena est le fondateur et PDG de IS Decisions, et un commentateur expert sur les questions de cybersécurité