Stratégies d’atténuation des menaces persistantes avancées ( APTS )

1re partie. Atténuation du risque lié aux APT. Théorie appliquée

Les attaques ciblées modernes comme l’opération Turla ou El Machete sont très probablement toujours actives. Même si cela n’était pas le cas, l’équipe GReAT (équipe internationale de recherche et d’analyse) de Kaspersky Lab détecte régulièrement des campagnes d’espionnage similaires de grande envergure à travers le monde.

Les menaces avancées persistantes (APT) sont des attaques complexes qui reposent sur de nombreux composants différents, dont des outils de pénétration (message de harponnage, codes d’exploitation, etc.), des mécanismes de propagation sur le réseau, des spywares, des outils de dissimulation (rootkit/bootkit), etc. ainsi que des techniques souvent sophistiquées qui ne poursuivent qu’un seul objectif : accéder à l’insu de la victime à des informations sensibles.

Les attaques APT s’intéressent aux informations sensibles de tout type : les victimes ne se limitent pas seulement aux agences gouvernementales, aux grandes institutions financières ou aux sociétés énergétiques. Même un revendeur modeste dispose d’informations sensibles sur ses clients ; les petites banques gèrent des plateformes de service à distance pour leurs clients et les entreprises de toute taille traitent et conservent des informations de paiement qui pourraient être exploitées à mauvais escient si elles tombaient entre de mauvaises mains. Du point de vue des attaquants, la taille n’a aucune importance : tout ce qui compte, ce sont les informations. Même les petites entreprises sont vulnérables aux APT et doivent prévoir des stratégies d’atténuation de ce risque.

Uroburos_inf_sm

Les campagnes APT sont devenues plus fréquentes. Epic Turla est un exemple de campagne active et très efficace.

Stratégies contre les APT : les théories actuelles

Plusieurs organisations de renom axées sur les technologies ont déjà mis au point des stratégies qui permettent de faire face aux attaques ciblées. Prenons l’exemple de Gartner qui a publié des recommandations sur la manière de gérer les techniques d’ingénierie sociale, y compris le recours à la formation sur la sécurité de l’information1 afin de ne pas perdre le rythme de l’évolution des menaces.

Parmi les questions de sécurité techniques abordées par Gartner, il y a deux recommandations clé : « Mise à niveau de la sécurité du périmètre et du réseau » et « Concentration des stratégies de protection sur le contenu malveillant ». Dans ce contexte, Gartner cite Kaspersky Lab parmi les principaux éditeurs de solutions de contrôle des applications et de gestion de listes blanches2 capables d’offrir toutes les capacités requises pour atténuer le risque lié aux APT.

L’US Information Assurance Directorate (Direction de la protection des informations des Etats-Unis, IAD) a également publié des Stratégies d’atténuation pour garantir la protection des informations qui reprennent quelques références aux APT. L’IAD a regroupé les mesures en quatre domaines clé : intégrité du périphérique, limitation des dégâts, protection des comptes et sécurité et disponibilité du transport. Un des guides les plus intéressants sur l’atténuation du risque lié aux intrusions cybernétiques ciblées a été publié par l’Australian Signals Directorate. Vous trouverez de plus amples informations à ce sujet ci-après.

Stratégies d’atténuation efficaces : quelques exemples

Aucune gestion des infrastructures et des communications ne peut être sûre à 100 %. Toutefois, il existe des mesures raisonnables que toute organisation peut adopter en vue de réduire sensiblement le risque de cyberintrusion. Grâce à une analyse globale et détaillée des attaques et menaces locales, l’Australian Signals Directorate (ASD) a déterminé que le risque de 85 % des cyberintrusions auxquelles elle réagissait pouvait être atténué à l’aide de quatre stratégies de base :

  • Utilisation de listes blanches d’applications pour empêcher l’exécution de programmes malveillants et d’applications non autorisées
  • Applications de correctifs pour Java, les visionneuses PDF, Flash, les navigateurs Internet et Microsoft Office
  • Elimination des vulnérabilités du système d’exploitation
  • Limitation des privilèges d’administration des systèmes d’exploitation et des applications sur la base des fonctions de l’utilisateur.3

L’efficacité de ces mesures est telle que leur mise en œuvre a été recommandée pour toutes les agences gouvernementales australiennes. Sur la base de sa riche expérience dans la lutte contre les APT et de la profondeur des analyses réalisées, Kaspersky Lab estime que cette démarche serait efficace non seulement pour les agences gouvernementales et les grandes entreprises, mais également pour les organisations commerciales plus modestes.

Aucune organisation ne doit penser que ses données possèdent peu de valeur ou aucune. Les attaquants ne recherchent pas uniquement des informations top secrètes. Ils sont intéressés également par des détails professionnels sensibles, la propriété intellectuelle, des données scientifiques ou des politiques de gouvernement. Et quand bien même vos données n’intéresseraient pas les criminels, ceux-ci pourraient avoir un intérêt pour votre réseau informatique qui deviendrait alors la tête de pont d’une attaque contre une cible plus intéressante.

Kaspersky Lab considère que le Top 35 des stratégies d’atténuation du risque établi par l’ASD est un des documents en circulation le plus important pour lutter contre les cybermenaces ciblées. Nous l’avons analysé soigneusement et nous avons mis chacun de ces points en rapport avec les technologies proposées dans nos produits. Si vous décidez d’appliquer les 35 stratégies d’atténuation du risque formulées par l’ASD, sachez que les produits de Kaspersky Lab non seulement vous faciliteront la tâche, mais rendront la mise en œuvre plus efficace et plus sûre.

mitigation

La liste complète des stratégies d’atténuation du risque de l’Australia‘s Signals Directorate comprend 35 points.

Que proposent exactement les principales stratégies d’atténuation du risque de l’ASD ?

Comme indiqué ci-dessus, la liste des stratégies d’atténuation du risque élaborée par l’ASD reprend 35 points qui peuvent être organisés en quatre types logiques selon la démarche adoptée pour la mise en œuvre :

Mesures Brève description
Administration Formation, sécurité physique
Mise en réseau Ces mesures sont plus simples à mettre en œuvre au niveau du matériel réseau
Administration système Le système d’exploitation contient tous les éléments nécessaires à la mise en œuvre
Solutions de sécurité spécialisées Un logiciel de sécurité spécialisé peut être utilisé

Les premières mesures sont purement administratives : éducation et formation de l’employé, amélioration de la sécurité physique du bureau, etc. Le matériel et le logiciel ne sont pratiquement pas cités, sauf dans le cadre de mesures de déploiement de systèmes de contrôle de l’accès physique ou de formation en ligne.

De nombreuses mesures d’atténuation du risque peuvent être adoptées au niveau du réseau. Par exemple, le point 10 de la liste (« Segmentation et ségrégation du réseau ») est classé comme « excellent » au niveau de l’efficacité de la sécurité globale. Le point 23 (« Refuser l’accès Internet direct depuis les postes de travail ») est classé comme « bon » (troisième note après « essentiel » et « excellent ») au niveau de l’importance pour la sécurité.

Une fois que le matériel réseau a été installé, de nombreuses mesures peuvent être adoptées rien qu’en utilisant les fonctions du système d’exploitation. Le renforcement des systèmes contre les attaques ciblées peut générer une charge de travail considérable pour les administrateurs système. Tout d’abord, une mesure sur quatre vise à limiter les privilèges d’administration. Il est également vivement conseillé d’activer tous les mécanismes intégrés (comme ASLR ou autres) de défense logicielle. Du point de vue de Kaspersky Lab, la fonction des « solutions de sécurité spécialisées » est importante. Il s’agit d’un domaine où les logiciels et les technologies de Kaspersky Lab peuvent contribuer énormément, comme vous allez le découvrir.

La majorité des étapes de la stratégie d’atténuation du risque peut être mise en œuvre à l’aide des solutions de sécurité de Kaspersky Lab.

Au moins 85 % des intrusions auxquelles l’ASD a réagi en 2011 impliquaient des adversaires qui avaient choisi des techniques élémentaires et dont le risque aurait pu être atténué en appliquant simultanément les quatre stratégies principales d’atténuation du risqu: liste blanche d’applications, mises à jour/correctifs pour les applications, mises à jour/correctifs pour les systèmes d’exploitation et réduction des privilèges d’administration. Les produits de Kaspersky Lab proposent des solutions technologiques qui recouvrent les trois premières grandes stratégies ; qui plus est, plus de la moitié de la liste de l’ASD pourrait être mise en œuvre à l’aide de nos solutions spécialisées de sécurité de l’information. Nous aborderons ce point plus en détails dans la deuxième partie de ce rapport consacré aux Stratégies d’atténuation du risque lié aux menaces avancées persistantes (APT).

Classement ASD Stratégie d’atténuation du risque, nom bref Technologies de Kaspersky Lab
1 Liste blanche d’applications Liste blanche dynamique
2 Correction des vulnérabilités des applications Evaluation des vulnérabilités et gestion des correctifs
3 Correction des vulnérabilités du système d’exploitation
5 Durcissement de la configuration des applications utilisateur Contrôle Internet (blocage des scripts dans les navigateurs Internet), Antivirus Internet
6 Analyse dynamique automatisée des e-mails et du contenu Internet Antivirus Courrier, Antivirus Internet, Security for Mail Server, Security for Internet Gateway, DLP for Mail et extensions de collaboration
7 Atténuation du risque lié aux codes d’exploitation génériques du système d’exploitation Prévention automatique des codes d’exploitation
8 HIDS/HIPS System Watcher et contrôle des privilèges des applications
12 Pare-feu d’application logiciel pour trafic entrant Pare-feu avancé
13 Pare-feu d’application logiciel pour trafic sortant Pare-feu avancé
15 Consignation des événements de l’ordinateur Kaspersky Security Center
16 Consignation des activités réseau Kaspersky Security Center
17 Filtrage du contenu des e-mails Kaspersky Security for Mail Server
18 Filtrage du contenu Internet Contrôle Internet
19 Liste blanche des domaines Internet Contrôle Internet
20 Blocage des faux e-mails Anti-Spam
22 Logiciel antivirus qui utilise l’analyse heuristique et le classement automatique sur la base de la réputation Internet Anti-Malware
26 Contrôle des supports amovibles et portables Contrôle des périphériques
29 Inspection des fichiers Microsoft Office sur le poste de travail Anti-Malware
30 Logiciel antivirus avec signatures Anti-Malware

Stratégies d’ASD qui peuvent être mises en œuvre efficacement à l’aide des produits de Kaspersky Lab.

  1. Gartner : Best Practice for Mitigating Advanced Persistent Threats (ID du document G00256438).
  2. Le cas échéant, vérifiez les termes dans le glossaire technique.
  3. Australian Signals Directorate, Strategies to Mitigate Targeted Cyber Intrusions