Introduction aux menaces persistantes avancées (APT)

Une menace persistante avancée est une attaque ciblée qui est une opération à long terme effectuée par ses créateurs (pirates) en livrant la charge utile de l'attaque par des méthodes sophistiquées (c'est-à-dire en contournant les solutions traditionnelles de protection des points d'extrémité) qui exécute ensuite secrètement les actions prévues (comme le vol d'informations) étant détecté.
Habituellement, la cible de telles attaques est choisie avec beaucoup de soin et une reconnaissance minutieuse est d'abord effectuée. La cible de telles attaques est généralement les grandes entreprises, l'organisation gouvernementale, souvent inter-gouvernement crée rival et lancer de telles attaques les uns sur les autres et mine des informations très sensibles.

Voici quelques exemples de menaces persistantes avancées:

  • Pluie de titans (2003)
  • GhostNet (2009) -Stuxnet (2010) qui a failli détruire le programme nucléaire iranien
  • Hydre
  • Deep Panda (2015)

Les caractéristiques et la progression des menaces persistantes avancées

Les APT diffèrent des menaces traditionnelles de nombreuses manières différentes:

  • Ils utilisent des méthodes sophistiquées et complexes pour pénétrer le réseau.
  • Ils restent non détectés pendant une durée beaucoup plus longue, tandis qu'une menace traditionnelle peut simplement être détectée au niveau du réseau ou au niveau de la protection des terminaux ou même s'ils ont de la chance et passent par des solutions de terminaux, un contrôle de vulnérabilité régulier et une surveillance continue attraperont le menace tandis que les menaces persistantes avancées passent juste par toutes les couches de sécurité et se dirigent finalement vers les hôtes et ils y restent plus longtemps et effectuent leur opération.
  • Les APT sont des attaques ciblées tandis que les attaques traditionnelles peuvent / peuvent ne pas être ciblées.
  • Ils visent également à infiltrer l'ensemble du réseau.

Progression des menaces persistantes avancées

  1. Sélection et définition de la cible - Une cible doit être définie, c'est-à-dire quelle organisation doit être victime d'un attaquant. Pour cela, l'attaquant recueille d'abord autant d'informations que possible via l'empreinte et la reconnaissance.
  2. Trouver et organiser les complices - L'APT implique des techniques avancées et sophistiquées qui sont utilisées pour attaquer et la plupart du temps, l'attaquant derrière ATP n'est pas seul. Ainsi, la seconde serait de trouver le «partenaire dans le crime» qui possède ce niveau de compétence pour développer des techniques sophistiquées pour mener des attaques APT.
  3. Construire et / ou acquérir des péages - Pour mener à bien les attaques APT, les bons outils doivent être sélectionnés. Les outils peuvent également être construits pour créer un APT.
  4. Reconnaissance et collecte d' informations - Avant de lancer une attaque APT, l'attaquant essaie de rassembler autant d'informations qu'il le peut pour créer un plan du système informatique existant. L'exemple de la collecte d'informations pourrait être la topologie du réseau, les serveurs DNS et DHCP, la DMZ (zones), les plages IP internes, les serveurs Web, etc. Il convient de noter que la définition d'une cible peut prendre un certain temps, compte tenu de la taille d'une organisation. Plus une organisation est grande, plus il faudra de temps pour préparer un plan directeur.
  5. Test de détection - Dans cette phase, nous recherchons les vulnérabilités et les points faibles et essayons de déployer une version plus petite du logiciel de reconnaissance.
  6. Point d'entrée et déploiement - Voici le jour, le jour où la suite complète est déployée via un point d'entrée qui a été choisi parmi de nombreux autres points faibles après une inspection minutieuse.
  7. Intrusion initiale - L'attaquant est enfin à l'intérieur du réseau ciblé. À partir de là, il doit décider où aller et trouver la première cible.
  8. Connexion sortante lancée - Une fois que l'APT va sur la cible, se définit, il essaie ensuite de créer un tunnel à travers lequel l'exfiltration des données aura lieu.
  9. Expansion of Access and Credentials Hunt - Dans cette phase, l'APT essaie de se propager dans le réseau et essaie d'obtenir autant d'accès que possible sans être détecté.
  10. Renforcer l'ancrage - Ici, nous essayons de rechercher et d'exploiter d'autres vulnérabilités. Ce faisant, un pirate augmente les chances d'accéder à d'autres emplacements d'accès élevés. Les hackers augmentent également les chances d'établir plus de zombies. Un zombie est un ordinateur sur Internet qui a été compromis par un pirate.
  11. Exfiltration de données - Il s'agit du processus d'envoi des données à la base du pirate. Le pirate essaie généralement d'utiliser les ressources de l'entreprise pour chiffrer les données, puis les envoyer à leur base. Souvent pour distraire, les pirates utilisent des tactiques de bruit pour distraire l'équipe de sécurité afin que les informations sensibles puissent être déplacées sans être détectées.
  12. Couvrir les traces et rester non détecté - Les pirates informatiques veillent à effacer toutes les traces pendant le processus d'attaque et une fois qu'ils ont quitté. Ils essaient de rester aussi furtifs que possible.

Détection et prévention des attaques Apt

Essayons d'abord de voir les mesures préventives:

  • Sensibilisation et formation à la sécurité requises - Les organisations sont bien conscientes que la plupart des failles de sécurité qui se produisent ces jours-ci, cela se produit parce que les utilisateurs ont fait quelque chose qui n'aurait pas dû être fait, peut-être qu'ils ont été attirés ou qu'ils n'ont pas suivi une sécurité appropriée mesures tout en faisant quoi que ce soit dans les bureaux tels que le téléchargement de logiciels à partir de mauvais sites, la visite de sites malveillants, a été victime de phishing et bien d'autres! Ainsi, une organisation doit continuer à organiser des sessions de sensibilisation à la sécurité et faire en sorte que ses employés travaillent sur un environnement sécurisé, sur les risques et l'impact des violations de sécurité.
  • Contrôles d'accès (NAC et IAM) - Le NAC ou les contrôles d'accès au réseau ont une variété de politiques d'accès qui peuvent être mises en œuvre pour bloquer les attaques. Il en est ainsi parce que si un appareil échoue à l'un des contrôles de sécurité, il sera bloqué par NAC. La gestion des identités et des accès (IAM) peut aider à éloigner les pirates qui tentent de voler notre mot de passe essaient de le casser.
  • Test de pénétration - C'est un excellent moyen de tester votre réseau contre la pénétration. Donc, ici, les gens de l'organisation eux-mêmes deviennent des pirates informatiques qui sont souvent appelés des pirates informatiques éthiques. Ils doivent penser comme un pirate pour pénétrer à l'intérieur du réseau organisationnel et ils le font! Le expose les contrôles et vulnérabilités existants qui sont en place. En fonction de l'exposition, l'organisation met en place les contrôles de sécurité requis.
  • Contrôles administratifs - Les contrôles administratifs et de sécurité doivent être intacts. Cela implique des correctifs réguliers des systèmes et des logiciels, avec des systèmes de détection d'intrusion en place accompagnés de pare-feu. Les IPS accessibles au public de l'organisation (tels que les serveurs proxy, les serveurs Web) doivent être placés dans la DMZ (zone démilitarisée) afin d'être séparés du réseau interne. Ce faisant, même si un pirate prend le contrôle d'un serveur en DMZ, il ne pourra pas accéder aux serveurs internes car ils se trouvent de l'autre côté et font partie du réseau séparé.

Maintenant, nous allons parler des mesures de détection

  • Surveillance du réseau - Le centre de commandement et de contrôle (C&C) est l'aile des menaces persistantes avancées pour transporter respectivement les charges utiles et les données confidentielles. L'hôte infecté dépend du centre de commande et de contrôle pour exécuter la prochaine série d'actions et communique généralement périodiquement. Donc, si nous essayons de détecter les programmes, les requêtes de noms de domaine qui se produisent dans un cycle périodique, il vaudrait la peine d'étudier ces cas.
  • Analyse du comportement des utilisateurs - Cela implique l'utilisation de l'intelligence artificielle et de solutions qui garderont un œil sur l'activité de l'utilisateur. L'attente est - la solution devrait être capable de détecter toute anomalie dans les activités d'un hôte.
  • Utilisation de la technologie de déception - Cela sert un double avantage pour l'organisation. Dans un premier temps, les attaquants sont attirés par de faux serveurs et autres ressources protégeant ainsi les actifs d'origine d'une organisation. Maintenant, l'organisation utilise également ces faux serveurs pour apprendre les méthodes que les attaquants utilisent lorsqu'ils attaquent l'organisation, ils apprennent leur chaîne de cyber-tuer.

Réparation et réponse

Nous devons également apprendre la procédure de réponse et de réparation en cas d'attaques APT (Advanced Persistent Threats). Au début, APT pourrait être pris dans sa phase initiale si nous utilisons les bons outils et technologies et dans sa phase initiale, l'impact sera beaucoup moins important parce que le principal motif d'APT est de rester plus longtemps et de ne pas être détecté. Une fois détecté, nous devons essayer d'obtenir autant d'informations à partir des journaux de sécurité, de la criminalistique et d'autres outils. Le système infecté doit être réimagé et il faut s'assurer qu'aucune menace n'est supprimée de tous les systèmes et réseaux infectés. Ensuite, l'organisation doit effectuer une vérification approfondie de tous les systèmes pour vérifier si elle a atteint plus d'endroits. Le contrôle de sécurité doit ensuite être modifié pour empêcher de telles attaques ou toute attaque similaire qui pourrait se produire à l'avenir.
Maintenant, si les menaces persistantes avancées (APT) ont passé des jours et ont été détectées à un stade beaucoup plus avancé, les systèmes doivent immédiatement être mis hors ligne, séparés de toutes sortes de réseaux, tous les serveurs de fichiers affectés doivent également être vérifiés. . Ensuite, une réimagerie complète doit être effectuée des hôtes affectés, une analyse approfondie doit être effectuée pour révéler la chaîne de cyber-destruction qui a été suivie. Le CIRT (Cyber ​​Incident Response Team) et Cyber ​​Forensics devraient être engagés pour lutter contre toutes les violations de données qui se sont produites.

Conclusion

Dans cet article, nous avons vu comment fonctionne une attaque APT et comment nous pouvons prévenir, détecter et répondre à de telles menaces. Il faut avoir une idée de base d'une chaîne de cyber-tuerie typique impliquée dans les attaques APT. J'espère que vous avez apprécié le didacticiel.

Articles recommandés

Ceci est un guide des menaces persistantes avancées (APT). Nous discutons ici de l'introduction, des caractéristiques et de la progression des menaces persistantes avancées, de la détection et de la prévention des attaques APT. Vous pouvez également consulter nos autres articles suggérés pour en savoir plus.

  1. Qu'est-ce que WebSocket?
  2. Sécurité des applications Web
  3. Défis de cybersécurité
  4. Types d'hébergement Web
  5. Dispositifs pare-feu

Catégorie:

Développement de logiciels