- 1re partie. Atténuation du risque lié aux APT. Théorie appliquée
- 2e partie. Les 4 stratégies d’atténuation principales qui couvrent 85 % des menaces
- 3e partie. Stratégies en-dehors du Top 4. Pour une défense imperméable
- 4e partie. Mieux vaut prévenir que guérir : la stratégie de détection à appliquer aux menaces avancées persistantes
1re partie. Atténuation du risque lié aux APT. Théorie appliquée
Les attaques ciblées modernes comme l’opération Turla ou El Machete sont très probablement toujours actives. Même si cela n’était pas le cas, l’équipe GReAT (équipe internationale de recherche et d’analyse) de Kaspersky Lab détecte régulièrement des campagnes d’espionnage similaires de grande envergure à travers le monde.
Les menaces avancées persistantes (APT) sont des attaques complexes qui reposent sur de nombreux composants différents, dont des outils de pénétration (message de harponnage, codes d’exploitation, etc.), des mécanismes de propagation sur le réseau, des spywares, des outils de dissimulation (rootkit/bootkit), etc. ainsi que des techniques souvent sophistiquées qui ne poursuivent qu’un seul objectif : accéder à l’insu de la victime à des informations sensibles.
Les attaques APT s’intéressent aux informations sensibles de tout type : les victimes ne se limitent pas seulement aux agences gouvernementales, aux grandes institutions financières ou aux sociétés énergétiques. Même un revendeur modeste dispose d’informations sensibles sur ses clients ; les petites banques gèrent des plateformes de service à distance pour leurs clients et les entreprises de toute taille traitent et conservent des informations de paiement qui pourraient être exploitées à mauvais escient si elles tombaient entre de mauvaises mains. Du point de vue des attaquants, la taille n’a aucune importance : tout ce qui compte, ce sont les informations. Même les petites entreprises sont vulnérables aux APT et doivent prévoir des stratégies d’atténuation de ce risque.
Les campagnes APT sont devenues plus fréquentes. Epic Turla est un exemple de campagne active et très efficace.
Stratégies contre les APT : les théories actuelles
Plusieurs organisations de renom axées sur les technologies ont déjà mis au point des stratégies qui permettent de faire face aux attaques ciblées. Prenons l’exemple de Gartner qui a publié des recommandations sur la manière de gérer les techniques d’ingénierie sociale, y compris le recours à la formation sur la sécurité de l’information1 afin de ne pas perdre le rythme de l’évolution des menaces.
Parmi les questions de sécurité techniques abordées par Gartner, il y a deux recommandations clé : « Mise à niveau de la sécurité du périmètre et du réseau » et « Concentration des stratégies de protection sur le contenu malveillant ». Dans ce contexte, Gartner cite Kaspersky Lab parmi les principaux éditeurs de solutions de contrôle des applications et de gestion de listes blanches2 capables d’offrir toutes les capacités requises pour atténuer le risque lié aux APT.
L’US Information Assurance Directorate (Direction de la protection des informations des Etats-Unis, IAD) a également publié des Stratégies d’atténuation pour garantir la protection des informations qui reprennent quelques références aux APT. L’IAD a regroupé les mesures en quatre domaines clé : intégrité du périphérique, limitation des dégâts, protection des comptes et sécurité et disponibilité du transport. Un des guides les plus intéressants sur l’atténuation du risque lié aux intrusions cybernétiques ciblées a été publié par l’Australian Signals Directorate. Vous trouverez de plus amples informations à ce sujet ci-après.
Stratégies d’atténuation efficaces : quelques exemples
Aucune gestion des infrastructures et des communications ne peut être sûre à 100 %. Toutefois, il existe des mesures raisonnables que toute organisation peut adopter en vue de réduire sensiblement le risque de cyberintrusion. Grâce à une analyse globale et détaillée des attaques et menaces locales, l’Australian Signals Directorate (ASD) a déterminé que le risque de 85 % des cyberintrusions auxquelles elle réagissait pouvait être atténué à l’aide de quatre stratégies de base :
- Utilisation de listes blanches d’applications pour empêcher l’exécution de programmes malveillants et d’applications non autorisées
- Applications de correctifs pour Java, les visionneuses PDF, Flash, les navigateurs Internet et Microsoft Office
- Elimination des vulnérabilités du système d’exploitation
- Limitation des privilèges d’administration des systèmes d’exploitation et des applications sur la base des fonctions de l’utilisateur.3
L’efficacité de ces mesures est telle que leur mise en œuvre a été recommandée pour toutes les agences gouvernementales australiennes. Sur la base de sa riche expérience dans la lutte contre les APT et de la profondeur des analyses réalisées, Kaspersky Lab estime que cette démarche serait efficace non seulement pour les agences gouvernementales et les grandes entreprises, mais également pour les organisations commerciales plus modestes.
Aucune organisation ne doit penser que ses données possèdent peu de valeur ou aucune. Les attaquants ne recherchent pas uniquement des informations top secrètes. Ils sont intéressés également par des détails professionnels sensibles, la propriété intellectuelle, des données scientifiques ou des politiques de gouvernement. Et quand bien même vos données n’intéresseraient pas les criminels, ceux-ci pourraient avoir un intérêt pour votre réseau informatique qui deviendrait alors la tête de pont d’une attaque contre une cible plus intéressante.
Kaspersky Lab considère que le Top 35 des stratégies d’atténuation du risque établi par l’ASD est un des documents en circulation le plus important pour lutter contre les cybermenaces ciblées. Nous l’avons analysé soigneusement et nous avons mis chacun de ces points en rapport avec les technologies proposées dans nos produits. Si vous décidez d’appliquer les 35 stratégies d’atténuation du risque formulées par l’ASD, sachez que les produits de Kaspersky Lab non seulement vous faciliteront la tâche, mais rendront la mise en œuvre plus efficace et plus sûre.
La liste complète des stratégies d’atténuation du risque de l’Australia‘s Signals Directorate comprend 35 points.
Que proposent exactement les principales stratégies d’atténuation du risque de l’ASD ?
Comme indiqué ci-dessus, la liste des stratégies d’atténuation du risque élaborée par l’ASD reprend 35 points qui peuvent être organisés en quatre types logiques selon la démarche adoptée pour la mise en œuvre :
| Mesures | Brève description |
| Administration | Formation, sécurité physique |
| Mise en réseau | Ces mesures sont plus simples à mettre en œuvre au niveau du matériel réseau |
| Administration système | Le système d’exploitation contient tous les éléments nécessaires à la mise en œuvre |
| Solutions de sécurité spécialisées | Un logiciel de sécurité spécialisé peut être utilisé |
Les premières mesures sont purement administratives : éducation et formation de l’employé, amélioration de la sécurité physique du bureau, etc. Le matériel et le logiciel ne sont pratiquement pas cités, sauf dans le cadre de mesures de déploiement de systèmes de contrôle de l’accès physique ou de formation en ligne.
De nombreuses mesures d’atténuation du risque peuvent être adoptées au niveau du réseau. Par exemple, le point 10 de la liste (« Segmentation et ségrégation du réseau ») est classé comme « excellent » au niveau de l’efficacité de la sécurité globale. Le point 23 (« Refuser l’accès Internet direct depuis les postes de travail ») est classé comme « bon » (troisième note après « essentiel » et « excellent ») au niveau de l’importance pour la sécurité.
Une fois que le matériel réseau a été installé, de nombreuses mesures peuvent être adoptées rien qu’en utilisant les fonctions du système d’exploitation. Le renforcement des systèmes contre les attaques ciblées peut générer une charge de travail considérable pour les administrateurs système. Tout d’abord, une mesure sur quatre vise à limiter les privilèges d’administration. Il est également vivement conseillé d’activer tous les mécanismes intégrés (comme ASLR ou autres) de défense logicielle. Du point de vue de Kaspersky Lab, la fonction des « solutions de sécurité spécialisées » est importante. Il s’agit d’un domaine où les logiciels et les technologies de Kaspersky Lab peuvent contribuer énormément, comme vous allez le découvrir.
La majorité des étapes de la stratégie d’atténuation du risque peut être mise en œuvre à l’aide des solutions de sécurité de Kaspersky Lab.
Au moins 85 % des intrusions auxquelles l’ASD a réagi en 2011 impliquaient des adversaires qui avaient choisi des techniques élémentaires et dont le risque aurait pu être atténué en appliquant simultanément les quatre stratégies principales d’atténuation du risqu: liste blanche d’applications, mises à jour/correctifs pour les applications, mises à jour/correctifs pour les systèmes d’exploitation et réduction des privilèges d’administration. Les produits de Kaspersky Lab proposent des solutions technologiques qui recouvrent les trois premières grandes stratégies ; qui plus est, plus de la moitié de la liste de l’ASD pourrait être mise en œuvre à l’aide de nos solutions spécialisées de sécurité de l’information. Nous aborderons ce point plus en détails dans la deuxième partie de ce rapport consacré aux Stratégies d’atténuation du risque lié aux menaces avancées persistantes (APT).
| Classement ASD | Stratégie d’atténuation du risque, nom bref | Technologies de Kaspersky Lab |
| 1 | Liste blanche d’applications | Liste blanche dynamique |
| 2 | Correction des vulnérabilités des applications | Evaluation des vulnérabilités et gestion des correctifs |
| 3 | Correction des vulnérabilités du système d’exploitation | |
| 5 | Durcissement de la configuration des applications utilisateur | Contrôle Internet (blocage des scripts dans les navigateurs Internet), Antivirus Internet |
| 6 | Analyse dynamique automatisée des e-mails et du contenu Internet | Antivirus Courrier, Antivirus Internet, Security for Mail Server, Security for Internet Gateway, DLP for Mail et extensions de collaboration |
| 7 | Atténuation du risque lié aux codes d’exploitation génériques du système d’exploitation | Prévention automatique des codes d’exploitation |
| 8 | HIDS/HIPS | System Watcher et contrôle des privilèges des applications |
| 12 | Pare-feu d’application logiciel pour trafic entrant | Pare-feu avancé |
| 13 | Pare-feu d’application logiciel pour trafic sortant | Pare-feu avancé |
| 15 | Consignation des événements de l’ordinateur | Kaspersky Security Center |
| 16 | Consignation des activités réseau | Kaspersky Security Center |
| 17 | Filtrage du contenu des e-mails | Kaspersky Security for Mail Server |
| 18 | Filtrage du contenu Internet | Contrôle Internet |
| 19 | Liste blanche des domaines Internet | Contrôle Internet |
| 20 | Blocage des faux e-mails | Anti-Spam |
| 22 | Logiciel antivirus qui utilise l’analyse heuristique et le classement automatique sur la base de la réputation Internet | Anti-Malware |
| 26 | Contrôle des supports amovibles et portables | Contrôle des périphériques |
| 29 | Inspection des fichiers Microsoft Office sur le poste de travail | Anti-Malware |
| 30 | Logiciel antivirus avec signatures | Anti-Malware |
Stratégies d’ASD qui peuvent être mises en œuvre efficacement à l’aide des produits de Kaspersky Lab.