Que sont les menaces persistantes avancées et comment se protéger des APT
Les cybercriminels mettent de plus en plus d’efforts et de créativité dans la réalisation d’attaques. Par conséquent, ils préfèrent des cibles beaucoup plus attrayantes telles que les organisations. Les menaces persistantes avancées (APT) en sont la preuve. Savez-vous en quoi il consiste ? Quel est l’impact que cela pourrait avoir sur votre organisation? Nous vous dirons tout ce que vous devez savoir.
Qu’est-ce qu’une menace persistante avancée ou APT ?
Menace persistante avancée ou également connue sous le nom de menace persistante avancée , cependant, il est normal de l’appeler APT . C’est un type de cyberattaque qui est menée à grande échelle dans le but de voler des données et/ou d’espionner des systèmes. Sa particularité est qu’il fonctionne sur une longue durée, principalement parce que les cybercriminels responsables sont très dévoués. Ils sont chargés d’enquêter sur la cible et de définir la raison de l’attaque. De plus, ils investissent beaucoup en ressources économiques pour préparer leurs infrastructures et ainsi s’assurer que l’attaque est menée avec succès. Les attaques menées via les APT incluent des logiciels malveillants entièrement personnalisés en fonction de la cible choisie.
La motivation de la création d’une APT va bien au-delà du simple préjudice causé à une ou plusieurs victimes. Ces types d’attaques ciblent des organisations et/ou des individus qui peuvent générer un niveau élevé de profits. Soit financièrement, par exemple, si vous voulez gagner beaucoup d’argent d’un coup. D’autre part, la motivation peut aussi être politique. L’espionnage politique est l’un des facteurs de motivation pour la création d’attaques APT.
Au début des APT, ils étaient associés à des protagonistes politiques en général qui voulaient s’approprier des données sensibles du gouvernement de l’époque ou des données qui avaient à voir avec une certaine industrie. Aujourd’hui, ces attaques se sont étendues en termes d’application et sont utilisées pour voler des données sensibles ou de la propriété intellectuelle qui sont ensuite vendues ou monétisées d’une manière ou d’une autre.
Ce qui ressort le plus et ne devrait pas surprendre, pour des raisons évidentes, c’est la rapidité avec laquelle ils deviennent de plus en plus sophistiqués . Par conséquent, à l’échelle mondiale, il existe des experts en sécurité informatique à plein temps et à coût élevé qui sont chargés de concevoir, créer et mettre en œuvre des APT. Ces personnes sont soutenues par des organisations importantes et des personnalités ayant des intérêts spécifiques, c’est pourquoi les attaques sont presque toujours exécutées avec plus de succès. Certaines des tâches qu’ils effectuent sont l’accès à des informations confidentielles, la création et l’insertion de code malveillant. Un exemple récurrent est celui des portes dérobées, qui garantissent un accès permanent aux systèmes de la cible.
Caractéristiques d’un APT
Ces types d’attaques sont très réussis, principalement par des cybercriminels dévoués et responsables, ils ne veulent pas faire les choses rapidement, mais préfèrent plutôt prendre leur temps pour remplir correctement la mission. Aussi, ils choisissent de le faire avec tout le temps nécessaire car un faux pas pourrait les exposer.
Un fait intéressant est que la plupart de ces attaques commencent par des vulnérabilités connues, et qui n’ont pas été corrigées. Parce que? Car de cette manière, la victime aura du mal à réaliser qu’il s’agit justement d’une APT et non d’une attaque classique. Cependant, comment distinguer une attaque APT ?
Augmentation des enregistrements de connexion la nuit
L’une des caractéristiques des attaques APT est qu’à partir du moment où elles prennent le contrôle d’un ordinateur, elles parviennent à se propager aux autres en quelques heures. Pour ce faire, ils lisent une base de données avec des authentifications, à partir de laquelle ils volent les informations d’identification et les utilisent pour se connecter à tous les ordinateurs qu’ils localisent. Les APT reconnaissent et « apprennent » quels comptes d’utilisateurs ou services ont des niveaux élevés d’autorisations et de privilèges. Ils préfèrent donc accéder à ces types de comptes pour compromettre les actifs les plus importants de l’organisation cible.
Maintenant, nous avons mentionné qu’il faut faire attention aux volumes de connexion élevés la nuit, car une bonne partie des auteurs d’APT vivent dans des zones où le décalage horaire est considérable . Cependant, chaque responsable informatique sait à quel moment des volumes élevés de connexions et d’autres activités liées à leur réseau doivent être enregistrés. Par conséquent, il est bon d’effectuer une surveillance permanente de cette activité à la recherche d’accès suspects.
Présence de backdoors de type cheval de Troie
Une habitude est l’installation de portes dérobées de type cheval de Troie sur les ordinateurs concernés. Ils le font pour assurer un accès permanent à l’environnement de l’organisation cible quand ils le souhaitent. Ils maintiendront même ces accès si les utilisateurs compromis modifient leurs informations d’identification.
Aujourd’hui, l’ingénierie sociale est l’un des principaux vecteurs responsables de l’insertion de ces portes dérobées de Troie. Des millions de personnes chaque année en sont victimes. Puisqu’ils sont contactés par téléphone ou par mail pour mener des actions soi-disant urgentes. Cette urgence à laquelle nous nous référons et la peur certaine que nous donne de ne pas obéir à un « ordre », fait tomber plusieurs personnes dans le piège.
Flux de données supérieur à la normale
Il est important de faire attention aux flux de données de grande taille. Surtout s’ils proviennent d’appareils qui se trouvent dans le réseau ou d’appareils externes dont vous ne connaissez pas l’origine. Ces flux de données peuvent être de serveur à serveur, de serveur à client ou de réseau à réseau.
Ces flux de données peuvent avoir une source particulière et cette source, à son tour, est destinée à une cible particulière. Il existe des clients de messagerie tels que Gmail qui ont la possibilité de vous informer de la dernière connexion de l’utilisateur et d’où un certain message a été consulté pour la dernière fois. Cependant, cette dernière est un peu plus compliquée qu’elle ne devrait l’être en raison des connexions via des tunnels VPN.
Aujourd’hui, de nombreuses organisations bloquent ou interceptent tout type de trafic HTTPS non défini ou non approuvé à l’aide de dispositifs d’inspection de sécurité. Ces appareils déconstruisent le trafic HTTPS à l’aide d’un proxy, inspectent le trafic, puis le rechiffrent avant de l’envoyer à la destination d’origine. Il est donc conseillé d’adopter ce type de mesures.
Transport de données suspect
Un très bon signe mais inquiétant que votre réseau pourrait être compromis par un APT est un volume élevé de données dans des endroits où il ne devrait pas l’être. Un autre signe est le format avec lequel ils sont compressés, s’il s’agit d’un format que vous ne reconnaissez pas ou s’il est connu, mais n’est généralement pas adopté dans votre organisation, vous devez être vigilant.
Campagnes de phishing très spécifiques (Spear Phishing)
Il n’y a rien de plus frustrant que de penser qu’une organisation entière pourrait s’effondrer en quelques e-mails. Il existe un type de phishing qui est le Spear Phishing , qui est créé et exécuté d’une manière très spécifique. C’est-à-dire que les victimes sont assez bien sélectionnées en fonction des intentions et des intérêts de l’agresseur. Ils reçoivent des e-mails avec des pièces jointes, bien qu’ils puissent également vous demander de cliquer sur un certain lien pour saisir des données personnelles ou d’organisation.
Les pièces jointes peuvent être dans des formats courants tels que .docx, .xslsx, .pdf et bien d’autres. Bien qu’ils puissent aussi être des exécutables de type .exe ou simplement, des formats que nous ne connaissons pas. Du côté des liens, ils semblent avoir le format d’une URL bénigne, certaines lettres en plus et d’autres en moins. Par conséquent, il est extrêmement important que nous prêtions attention aux e-mails que nous recevons. Attendons-nous vraiment un message comme celui-ci ? Est-il nécessaire pour moi d’accéder à un certain lien pour garder mon compte actif, soi-disant ? Une minute d’attention supplémentaire fait toute la différence.
Comment protéger mon entreprise des APT ?
- Sensibilisation à la sécurité . Il est essentiel que tous les travailleurs ou collaborateurs soient suffisamment sensibilisés à la sécurité, et qu’ils soient conscients de leurs activités au sein du réseau. Il est important d’encourager la création de stratégies afin que toutes les leçons en matière de cybersécurité, de sécurité de l’information et de confidentialité des données puissent avoir un véritable impact positif sur les personnes.
- Un bon plan de réponse aux incidents . Cela aide non seulement à prévenir les attaques APT potentielles, mais minimise également les dommages si un événement comme celui-ci se produit. En plus d’avoir clairement défini qui effectue chaque activité, il est très important de s’assurer que toutes les preuves des événements de sécurité qui peuvent se produire, qu’il s’agisse d’APT ou de toute autre attaque, soient conservées. Un outil d’assistance est la connaissance de la Cyber Kill Chain , qui vous indique avec un haut niveau de détail chaque étape d’une cyberattaque.
- Mise en œuvre de la défense en couches. Lorsque nous parlons de ce point, nous nous référons au contrôle des points d’entrée et de sortie du réseau via des pare-feux à la pointe de la technologie. Des systèmes de détection et de prévention des intrusions (IDS) et de prévention (IPS) et des systèmes de type SIEM doivent également être mis en place pour une gestion efficace des événements de sécurité. Il ne faut pas oublier les systèmes de gestion des vulnérabilités, pour avoir une maîtrise complète et une vue d’ensemble de chacun d’eux. En bref, une attention particulière doit être accordée aux utilisateurs du réseau, en gérant correctement leurs informations d’identification via des systèmes de gestion des identités (IAM) et d’authentification. Tous les types de logiciels doivent être à jour avec les mises à jour et chacun des terminaux il doit avoir ses systèmes de protection correspondants.
- Techniques de surveillance et de détection. Nous ne devons pas abandonner les activités de surveillance où nous pouvons avoir accès aux journaux. Ce qui nous permettra de détecter le trafic ou toute autre activité suspecte. Le réseau doit être surveillé en permanence, tant le trafic entrant que sortant, ainsi que les appareils qui y sont connectés. Tout enregistrement du trafic réseau peut être utilisé comme preuve médico-légale en cas d’attaque.
- Optez pour des services de renseignement sur les menaces. Ces services complémentaires sont proposés par les différentes sociétés spécialisées dans la sécurité de l’information et la cybersécurité. La Threat Intelligence est chargée d’analyser les données brutes ( données brutes ) à la recherche de menaces, toutes ces données ont des sources différentes et une fois celles-ci analysées, il y a des informations utiles qui mènent à une prise de décision réussie. Ainsi, chaque membre de l’organisation responsable de la sécurité du réseau aura la possibilité d’identifier rapidement les menaces à très haut risque.
Comme vous l’avez vu, les APT sont une menace très dangereuse, mais il existe des mesures qui nous permettront d’atténuer les effets et d’essayer de contrôler qu’ils ne violent pas notre sécurité.