Par Ivan Vinogradov, Solution Architect, LogPoint
Qu’est-ce que la détection des menaces ?
La détection des menaces est généralement décrite comme une activité liée à l’identification des menaces au sein d’une entreprise. Souvent cette tâche est, au minimum, partiellement automatisée et implique le traitement d’importants volumes de données, et plus particulièrement dans des environnements étendus. En réalité, dans la plupart des entreprises modernes, l’automatisation devient une nécessité pour la détection avancée des menaces.
Que recherchent les attaquants ?
Lorsque vous traquez des menaces, il est utile de savoir quelles sont pour vous les ressources les plus précieuses et celles qui sont les plus vulnérables vis-à-vis de potentielles attaques. Souvent, nous n’avons pas le luxe de disposer des renseignements suffisants pour reconnaître les menaces dans leur phase finale et visible, il faut donc investiguer via une démarche permettant de remonter aux origines.
Les attaquants ont tendance à être opportunistes et recherchent souvent des appareils non corrigés comme point d’entrée. Habituellement, ce type de situation se rencontre après des mises à jour majeures qui révèlent publiquement des vulnérabilités. L’autre vecteur principal reste l’humain : en effet, cliquer sur des liens malveillants est un moyen redoutable de compromettre son réseau. Une fois sur le réseau, l’activité de l’attaquant peut varier : de la collecte de données et d’identifiants aux ransomwares basiques mais efficaces. C’est particulièrement le cas des attaques non ciblées et hautement opportunistes. Il n’est donc pas surprenant que 86% des violations soient motivées par des raisons financières (Verizon, 2020 Data Breach Investigations Report).
Les motivations des attaquants
L’argent : sans grande surprise, il s’agit effectivement de la motivation la plus répandue. Les cybercriminels organisés ciblent les entreprises et les particuliers à des fins purement financières. Ces derniers utilisent souvent un ransomware pour chiffrer des fichiers ou saturent les réseaux avec des attaques DDoS jusqu’à ce que la rançon soit payée.
Les Informations Personnelles Identifiables (PII) : lorsque des cybercriminels recherchent des données personnelles, c’est souvent pour les utiliser dans le but d’usurper des identités. Les informations personnelles précieuses, comme les numéros de sécurité sociale, peuvent être utilisées pour ouvrir des comptes bancaires, créer des cartes de crédit ainsi que d’autres actifs critiques.
La propriété intellectuelle : les cybercriminels organisés peuvent également être des États-nations ou même des concurrents qui cherchent à obtenir un avantage concurrentiel dans un secteur particulier. Une propriété intellectuelle à forte valeur comprend les bases de données clients, les roadmaps produits, les secrets commerciaux ainsi que d’autres informations connues uniquement de l’entreprise.
La vengeance et l’amusement : les cybercriminels peuvent être des ex-employés mécontents cherchant à se venger, ou des opposants politiques cherchant à nuire à leurs adversaires, et ce dans leur propre intérêt. Enfin, parfois, il n’existe pas de véritable motivation, si ce n’est l’amusement des attaquants.
Exemples de cybermenaces avancées
Bien sûr, cette liste n’est pas exhaustive. En effet, il existe actuellement des groupes qui se distinguent par leurs importantes capacités en matière de ressources, lesquelles ont tendance à provenir d’un gouvernement, leur permettant ainsi de lancer des attaques hautement sophistiquées, ciblées et stratégiquement avancées. Dans de tels cas, la détection automatisée est insuffisante. On ne peut que vous recommander d’établir un programme de traque des menaces et d’être à jour au niveau de vos renseignements sur ces dernières. Ce cas de figure concerne particulièrement les entreprises dans des secteurs très ciblés.
Voici des exemples courants de cybermenaces :
- Malwares : les malwares pénètrent au sein du réseau par le biais de vulnérabilités, il peut s’agir de spywares, ransomwares, virus et vers (worms).
- Utilisation abusive des privilèges : les privilèges associés à un compte particulier sont utilisés pour nuire au réseau de l’entreprise.
- Ingénierie sociale : les attaquants incitent les utilisateurs à divulguer des informations confidentielles pouvant être utilisées ensuite de manière frauduleuse.
- Déni de service (DoS) : les attaques de type DoS inondent les systèmes, les serveurs ou les réseaux avec du trafic visant à saturer les ressources et la bande passante, rendant ainsi les systèmes indisponibles pour des demandes légitimes.
- Erreur humaine : des actions non intentionnelles, ou l’absence d’action, de la part des utilisateurs provoquent ou permettent à une violation de se produire, généralement via des erreurs de configuration, d’acheminement ou de publication.
- Menaces persistantes avancées : un adversaire a accès au réseau et y reste sans être repéré pendant une période assez longue, lui laissant le temps de lancer son attaque.
- Ransomwares : ils chiffrent les fichiers de la victime et exigent une rançon pour restaurer l’accès aux données.
Consultez nos ressources pour en savoir plus sur chaque menace et sur la manière avec laquelle la détection avancée des menaces peut aider à identifier ces dernières.
Détection des menaces : comment les identifier ?
Une détection de menaces réussie dépend fortement de la maturité des capacités locales en matière de cybersécurité. Il est relativement simple de connaître le paysage, d’être au courant des renseignements et des ressources liées au secteur et de disposer d’un programme interne pour identifier les vulnérabilités. Cependant, plus un environnement se développe, plus la demande en termes de solutions pouvant aider à la détection avancée des menaces, au minimum partiellement automatisée, devient nécessaire. De plus, les acteurs expérimentés qui ciblent votre entreprise peuvent ne pas être si faciles à identifier. Par exemple, vous ne pouvez jamais être entièrement sûr qu’un acteur étatique s’est intéressé à vous véritablement, un doute qui a été à l’origine de nombreuses violations très médiatisées.
Comment répondre aux cybermenaces ?
La réponse aux menaces avant un incident réel implique toujours une préparation. La préparation est utile dans presque tous les domaines de la cybersécurité. Cependant, les entreprises ont des ressources limitées. Par conséquent, il faut identifier leurs actifs critiques, leur budget pour les contrôles de sécurité et leur faire adopter une posture appropriée pour leur permettre de mitiger les risques en matière de menaces. Il n’existe pas de solution universelle. Cependant, un bon début serait de sensibiliser le personnel aux problèmes de sécurité liés à leur mission immédiate et mettre en œuvre au moins le programme de correctifs le plus élémentaire.
Idéalement, les équipes de sécurité et les SOC peuvent détecter les cybermenaces et y répondre avant qu’elles ne deviennent actives et aient un impact sur l’entreprise. Cependant, une fois qu’un incident a eu lieu, il est essentiel de disposer d’un plan de réponse aux incidents pour que votre équipe puisse identifier, réagir et se remettre de cet incident de sécurité. Pour mettre en œuvre une réponse appropriée et rapide, le personnel du SOC doit comprendre la cyber-menace spécifique. Profiter des frameworks comme MITRE ATT&CK peut aider l’équipe de sécurité à comprendre l’adversaire et son fonctionnement, accélérant ainsi encore davantage la détection et la réponse aux menaces.
Enfin, les analystes SOC peuvent tirer parti de manière significative des outils sophistiqués mis à disposition tels que l’analyse comportementale (UEBA) et les capacités de traque des menaces pour faciliter la détection avancée de ces dernières.