Home > Uncategorized > ADVANCED PERSISTENT THREAT (APT): Quand se protéger ne suffit plus.

ADVANCED PERSISTENT THREAT (APT): Quand se protéger ne suffit plus.

October 22nd, 2012 Leave a comment Go to comments

En juillet dernier, je vous invitais à écrire un article dans le cadre du partenariat entre BSidesQuébec la revue Secus, afin que ce dernier soit publié dans la parution d’automne. Comme nous n’avons reçu aucun article du public, je me suis donc porté volontaire pour écrire le premier qui s’intitule : « ADVANCED PERSISTENT THREAT (APT): Quand se protéger ne suffit plus ».

Cet article traite d’un sujet d’actualité qui est malheureusement trop méconnu. J’espère que vous l’apprécierez et qu’il vous donnera le gout de contribuer au prochain numéro de Secus. Bonne lecture!

– Michel

________________________________________________________________________________

 

Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmer que l’industrie de la sécurité est tombée dans une déchirure spatiotemporelle. Le monde de la sécurité, dans son ensemble, accuse un retard d’au moins une dizaine d’années par rapport à celui des attaquants.

Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus constituaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart des attaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires. Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vecteurs d’attaque auxquels on fait face.

En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de protection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face. Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, et cela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que cela arrivera de nouveau? », mais plutôt « quand cela arrivera-t-il? » et « combien de fois encore? ».

 

“On est en train de perdre la guerre, mais que peut-on faire vis-à-vis de ce constat d’échec?”

 

Advanced Persistent Threat  (APT)

 

L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsque vient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sont conçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Les attaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ils réussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire près de deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’APT. Un bon exemple d’APT est l’attaque qui a frappé la compagnie RSA en 2011, où les secrets partagés (seeds), qui sont des composantes reliées aux jetons SecurID , avaient été dérobés par des pirates . Les auteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui tentent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se faire détecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite est impressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifs de façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler ou manipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintiennent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant un accès leur permettant de revenir plus tard pour frapper de nouveau.
La firme américaine Mandiant se spécialise notamment dans la réponse aux incidents et publie un rapport annuel qui s’intitule M-Trends. Le rapport de 2012 fait état de cas d’incidents traités au cours de la dernière année et dépeint un portrait très peu rassurant de cette nouvelle réalité que trop peu de gens et d’organisations connaissent. Voici quelques faits saillants du M-Trends (2012):
•    Seulement 6 % des organisations ont découvert les brèches elles-mêmes et 94 % d’entre elles ont été avisées par une source externe.
•    L’APT typique passe inaperçue pendant plus d’un an.
•    Les brèches sont de plus en plus découvertes lors de processus de fusions et d’acquisitions.
•    Les attaques avancées visent plusieurs maillons de la « chaîne ».
•    Les logiciels malveillants (malware) racontent seulement la moitié (54 %) de l’histoire.
•    L’utilisation d’outils publics ajoute de la complexité dans l’identification des acteurs derrière les menaces.
•    Les attaquants diversifient leurs mécanismes de persistance.
•    Les attaquants motivés par des objectifs financiers sont de plus en plus persistants.

Il est important de porter attention à deux de ces points. Le premier concerne les attaques avancées qui visent plusieurs maillons de la chaîne. En fait, les attaquants tentent de passer par un tiers pour atteindre leur cible. À titre d’exemple, des pirates ont réussi à s’introduire dans quatre grands cabinets d’avocats de la rue Bay à Toronto au cours de la dernière année, et ce, à l’aide de cyberattaques très sophistiquées conçues pour détruire des données ou voler des documents sensibles en matière de fusions et d’acquisitions imminentes . Évidemment, les cibles n’étaient pas les cabinets d’avocats, mais bien leurs clients. Le second concerne le fait que les logiciels malveillants ne racontent que la moitié (54 %) de l’histoire. Cela signifie que l’autre moitié des attaques (46 %) n’implique pas de logiciels malveillants. En fait, une fois qu’un système a été compromis par les attaquants à l’aide d’un logiciel malveillant, des noms d’utilisateur et mots de passe valides (credentials) sont volés sur le système. Ces derniers sont ensuite réutilisés par les pirates pour se connecter à d’autres systèmes. Les connexions à ces systèmes qui semblent alors légitimes passent sous le radar et n’attirent pas l’attention.

 

Prévention et défense par rapport à la détection et à la réponse

 

Il faut comprendre que les APT sont réelles et que leurs auteurs disposent de plus de temps et d’argent pour s’introduire dans les infrastructures que l’on a de temps et d’argent pour les sécuriser. Honnêtement, la plupart des organisations allouent la majorité de leur budget et de leurs efforts à la sécurité sur les techniques de prévention et de défense pour malheureusement négliger la détection et la réponse aux incidents. Alors, si l’on considère le fait que l’on se fera pirater peu importe les moyens de prévention et de défense mis en place, on constate évidemment qu’un changement de paradigmes sur le plan des stratégies traditionnelles de défense s’impose. Il faut voir les mesures préventives comme des moyens ayant pour but de ralentir les attaques afin que les mesures de détection aient le temps de les identifier. La notion de détection évoquée ici n’inclut pas uniquement les mécanismes traditionnels tels que les sondes de prévention et de détection des intrusions (IDS et IPS), mais également les trois approches mentionnées plus loin. Une réponse adéquate aux incidents est nécessaire afin de tenter de maîtriser la situation avant que les attaquants réalisent qu’ils ont été découverts.

 

Parmi les différentes approches de détection et réponses possibles, voici trois types de contrôles qui devraient être fortement considérés et qui pourraient aider grandement dans les situations où l’on doit faire face à des attaques de type APT :

 

1 . Augmenter les contrôles sur les communications sortantes

 

Trop souvent, les communications sortantes ne sont pas ou sont mal contrôlées sur le plan du périmètre. La plupart des logiciels malveillants tenteront tôt ou tard de se connecter vers un centre de commandement (CC), que ce soit pour télécharger des mises à jour, recevoir des instructions, voler et exfiltrer de l’information, etc. Or, les protocoles fréquemment utilisés en sortie vers Internet tels que HTTP, HTTPS ou DNS sont souvent utilisés par les logiciels malveillants afin de se fondre dans la masse du trafic légitime d’une organisation pour ensuite se connecter au CC. Il est donc essentiel d’exercer un contrôle adéquat à ce niveau, par exemple en permettant uniquement aux serveurs DNS de faire des requêtes vers Internet sur les ports TCP et UDP 53 pour qu’un logiciel malveillant tentant d’utiliser ce protocole soit bloqué. De plus, un système situé sur le réseau interne ne devrait jamais pouvoir rejoindre Internet directement sans passer par un serveur mandataire (proxy). Toutes les connexions qui tentent de rejoindre Internet sans passer par un serveur mandataire pourraient par exemple être redirigées via la route par défaut du réseau (0.0.0.0.) vers un pot de miel (Honeypot)   situé à l’interne. Cela contribuerait à bloquer les connexions de type CC et à analyser le contenu du trafic clandestin ou malicieux et ainsi à détecter les systèmes potentiellement infectés à l’interne et d’en apprendre plus sur l’attaque en cours qui, parfois, est invisible autrement.

 

2 . Contrôler l’accès aux ressources informatiques

 

Le nerf de guerre est l’information, et c’est exactement ce que les attaquants tentent d’obtenir lors qu’ils attaquent une infrastructure. Que ce soit des fichiers contenant des informations confidentielles ou des bases de données avec des numéros de cartes de crédit, l’accès aux ressources informatiques doit être rigoureusement contrôlé et journalisé. Par exemple, il n’est pas normal que des systèmes contenant de l’information de cette nature soient sur un réseau plat qui n’a aucune segmentation et qui n’offre aucun cloisonnement des données. De plus, des solutions d’authentification forte de type Role Based Access Control (RBAC)  combinées avec une solution de gestion des identités contribueront grandement à sécuriser les données. Il faut comprendre que, même si l’on met les meilleurs mécanismes en place, cela ne rendra pas les systèmes impénétrables. Cependant, plus on met de bâtons dans les roues des attaquants, plus ils risquent de s’enfarger et d’être bruyants, ce qui permettra de repérer leurs activités qui ne seraient peut-être pas détectées autrement.

 

3. Analyser les informations pertinentes

 

Il ne suffit pas de tout journaliser. Encore faut-il savoir quoi regarder et avoir les bons outils pour le faire. Voici l’exemple de la série de requêtes DNS :
•    date-20XX 08:42:29.121 client 1.1.1.130#18759: query: drpxbbjbvcvcjllyqxsn.com IN A
•    date-20XX 08:42:29.218 client 1.1.1.130#18789: query: eh4t07sruha0x3betqa.com IN A –E

Que remarque-t-on? Est-ce que les noms de domaine « drpxbbjbvcvcjllyqxsn.com » et « eh4t07sruha0x3betqa.com » semblent légitimes ou ressemblent-ils à des requêtes qui pourraient avoir été faites par un logiciel potentiellement malveillant tentant de rejoindre un CC? Il s’agit fort probablement de requêtes faites par un logiciel potentiellement malveillant.

Voici maintenant des requêtes ayant été journalisées par un coupe-feu :
•    2012 Mar 4 02:18:33 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html
•    2012 Mar 4 08:18:34 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html
•    2012 Mar 4 14:18:34 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html

Un élément en particulier attire-t-il l’attention? Est-ce que des requêtes à intervalles fixes de six heures précises à la seconde près sur une période de douze heures et toujours vers la même adresse sont faites par un humain ou par une machine? Il y a de fortes chances que ce soit une machine.

 

Mais attendez! Il y a plus!

En plus de maintenir les contrôles traditionnels et d’exercer ceux qui sont mentionnés plus tôt, il est également recommandé d’effectuer régulièrement des analyses de vulnérabilité et des tests d’intrusion de façon périodique, ce qui est un excellent moyen de découvrir les failles et d’avoir la vision que les attaquants ont de l’environnement technologique. Il faut être conscient que ces deux activités sont différentes, alors on doit prendre cette réalité en compte. Une analyse de vulnérabilité est ni plus ni moins qu’un balayage (scan) de vulnérabilité suivi d’un rapport. Ce ne devrait pas seulement être un copier-coller provenant du résultat d’un outil, mais bien une interprétation de ce dernier, incluant des recommandations et des solutions pour chacune des vulnérabilités découvertes (voir autre article à ce sujet).

Le test d’intrusion (pentest), quant à lui, pousse l’exercice plus loin. Le testeur tente d’exploiter les vulnérabilités ayant été découvertes, tout comme un vrai pirate le ferait, mais dans un cadre professionnel et contrôlé. Il faut noter que ces tests peuvent être effectués tant sur le plan du réseau, du serveur que de l’application. On peut même tester les humains grâce à l’ingénierie sociale! Mais c’est un autre dossier…

Toujours aussi confiant?

En terminant, posez-vous les trois questions suivantes:
1)    Si l’on vous demandait, à la suite de la lecture de ce texte, si vous avez déjà été piraté, répondriez-vous non avec certitude?
2)    Vous sentez-vous prêt à faire face à cette nouvelle réalité?
3)    Si oui, comment? Sinon, qu’allez-vous faire?

Contrairement au dicton qui dit que « ce que l’on ne sait pas ne fait pas mal », dites-vous qu’en sécurité, c’est ce que l’on ne sait pas qui fait mal!

Vous vous sentez démunis face aux APT? Vous ne savez pas par quel bout commencer? Vous êtes à la recherche de solutions pouvant vous aider?  Contactez-nous.

_____

Cet article est également disponible dans le Vol. 4 No. 3 Automne 2012 la revue Secus et également dans la section “Présentations / Publications” de mon blogue.

_____

 

Bookmark and Share
  1. No comments yet.

Powered by Netfirms