Comment détecter les cyberattaques de demain ? | Stormshield

Dans un jeu de chat et de souris en ligne, les cyber-criminels semblent toujours avoir une longueur d’avance. Mais comment renverser le paradigme ? Pour mieux protéger, comment anticiper et détecter les cyberattaques de demain (et d'aujourd'hui) ? Éléments de réponse.

Les professionnels de la cybersécurité sont en permanence sur une ligne de crête, à cheval entre présent et futur, réaction et anticipation. En parvenant à se faire toujours plus innovants, les cyber-criminels anticipent donc les techniques de protection mises en œuvre par les solutions de cybersécurité et parviennent parfois à se jouer des systèmes les plus performants. Plongée dans les signaux forts et signaux faibles pour identifier comment détecter dès aujourd’hui les cyberattaques de demain.

 

Cyberattaque, une activité en constante évolution

En matière de sophistication des attaques, les cyber-criminels ont toujours démontré leur capacité à développer de nouvelles stratégies pour accéder à leurs cibles finales. Vous connaissiez le phishing, cette technique d’usurpation qui détourne la vigilance des utilisateurs pour dérober par exemple des informations personnelles ; l’attaque par spear-phishing, un hameçonnage doublé d’ingénierie sociale ; le polymorphisme, la capacité à duper les antivirus en multipliant les empreintes contradictoires ; ou encore le désormais classique ransomware accompagné de ses triples extorsions. Vous avez peut-être entendu parler des fileless malwares, des attaques ne s’exécutant que dans la mémoire des systèmes d’information. Il vous faudra désormais être en alerte sur des menaces comme par exemple le browser-in-the-browser attaque, la création d’une fausse fenêtre pop-up destinée à tromper les utilisateurs pour récupérer un maximum de données personnelles.

Il faut dire que les surfaces d’attaques des entreprises n’ont cessé d’augmenter ces dernières années. Adoption massive du cloud et des appareils mobiles (connectés ou non), développement d’API sans considération de sécurité, convergence IT-OT dans l’industrie et désormais environnements hybrides et multicloud, le monde de la cybersécurité assiste à un enchevêtrement progressif des systèmes d’information. De quoi susciter tous les jours de nouvelles failles dans leur sécurité. Les professionnels de la cybersécurité passent « beaucoup de temps à auditer les systèmes et les produits », confirme Arnaud Pilon, responsable de l’équipe de réponse à incidents chez Synacktiv. Un état de veille constant qui vise à « détecter les nouvelles vulnérabilités, tout en ayant la capacité, par effet miroir, d’imaginer de nouveaux modes de détection », et qui se traduit par la création dans les plus grandes entreprises d’équipes entières de Cyber Threat Intelligence (CTI). Mais toutes n’ont pas le luxe d’en bénéficier… « Notre action consiste à dérouler le fil des événements, complète Arnaud Pilon. On recherche notamment la présence d’un acteur malveillant dans les systèmes en déroulant des scénarios de détection ».

 

La difficile analyse entre signaux forts et signaux faibles

Cette recherche s’appuie sur l’analyse de signaux faibles et de signaux forts. Plus difficile à repérer, les signaux faibles comme un déplacement latéral dans le système d’information ou la présence d’obfuscation dans un fichier renvoient à la possibilité d’une cyberattaque qui doit être confirmée par un croisement fin des données. Les signaux forts sont quant à eux un indicateur fiable de la menace, sous la forme de « marqueurs de codes malveillants ou bien de patterns, c’est-à-dire des modes opératoires déjà identifiés comme malveillants », précise Arnaud Pilon.

C'est en fait un ensemble presque infini de logs que vont remonter les différents équipements de surveillance des entreprises, entre la galaxie des solutions de protection endpoint d'un côté et leurs équivalents réseaux de l'autre. Pour analyser toutes ces données, les entreprises systématisent le recours à des systèmes centralisés de gestion des événements et des informations de sécurité tels que des SIEM (Security Information & Event Management). Les équipes de SOC (Security Operation Center, ou centre opérationnel de sécurité en français) dissèquent alors toutes ces données pour identifier signaux forts et faibles de cyberattaques. Et pour les aider, certaines solutions SIEM sont capables d'apprentissage automatique et d'analyse comportementale pour identifier des pratiques suspectes, compiler des rapports contextuels et même placer en quarantaine certains terminaux. L’efficacité est par contre souvent très variable selon les types d’attaques, et comporte un risque plus ou moins important de faux positifs. « Les systèmes de machine learning ou de statistiques avancées fonctionnent sur des cas d’usage particuliers, le phishing par exemple, mais cette méthode ne peut pas être appliquée de manière universelle », complète Arnaud Pilon. Ceci oblige une intervention humaine complémentaire, surtout pour étudier des signaux plus faibles comme des comportements inhabituels.

Une méthode qui comporte toutefois des limites. Quel analyste n’a pas eu l’impression de, chaque jour, remonter le rocher de Sisyphe face au volume sans cesse croissant de logs à traiter ? Surmenage, lassitude, baisse d’efficacité et, par analogie, augmentation des taux de faux positifs sont des problématiques additionnelles à un corps de métier qui n’en a pas besoin. Pour optimiser les ressources et hiérarchiser les activités, les plateformes SOAR (Security Orchestration, Automation and Response) aident désormais les équipes d’analystes avec leur capacité de triage et d'actions de sécurité automatisées.

 

Comment anticiper aujourd'hui les cyberattaques de demain ?

Dans ce jeu de chat et de souris en ligne, les cyber-criminels cherchent donc continuellement à supplanter la technologie et à cibler les angles morts de l’arsenal de détection et de protection. En conséquence, bien anticiper la menace de demain ne revient pas seulement à s’appuyer sur des outils et algorithmes, mais oblige à développer une méthodologie de contrôle et de protection qui s’adapte aux environnements de travail. L’équation comprend en amont un mélange entre audit systématique, remontée et compréhension fine de la donnée, partage en interne en s’appuyant sur les principes de l’intelligence collective. Côté aval, l’association systématique entre connaissance de l’attaquant, Threat Hunting et systématisation des SOC constitue un socle solide.

La cybersécurité se doit également d’être proactive. Par exemple en s’appuyant sur le Cyber Threat Hunting, la recherche active de menaces et comportements encore inconnus, pour rechercher sans cesse les modes opératoires de demain. Pour les éditeurs, avoir une équipe de Cyber Threat Intelligence paraît incontournable afin d’adapter en continu ses moteurs de protection, ses règles et de pouvoir mettre à disposition de ses clients des flux de données en temps réel pour protéger contre les menaces identifiées. En se basant sur les tactiques, techniques et procédures (TTP), les indicateurs d’attaque (IoA) et de compromission (IoC) de cyberattaques ayant touché des environnements semblables, ces équipes peuvent identifier de manière indépendante des pistes de compromission ou de nouveaux malwares, sans être influencées par les alertes déclenchées par le SOC. Le recrutement de hunters n’est cependant pas chose aisée en ces temps de tension sur le marché du travail, c’est surtout un luxe que la plupart des entreprises ne peut se payer.

Un problème encore plus prenant dans l’univers industriel : les profils de hunters ayant une connaissance des environnements IT et OT existent-ils vraiment sur le marché ? Car la convergence IT/OT et l’émergence de l’industrie 5.0 qui replace l’humain au centre de l’usine accentuent les zones de risques dans les environnements de production. Le premier facilite le déplacement latéral des ransomwares d’un environnement à l’autre quand le second augmente une nouvelle fois la dépendance de l’humain à son environnement informatique. Aussi, l'application systématique d’audit de conformité des machines de production et d’audit de sécurité des infrastructures IT et OT doit permettre de s’assurer de la segmentation des réseaux et de l’application des bonnes pratiques de cybersécurité. Autre piste, la multiplication des sondes de détection dans les environnements IT et OT doit permettre de remonter aux analystes SOC des indicateurs d’attaques. Pour être utilisées, ces données doivent être corrélées, contextualisées et partagées sous la forme d’un flux de CTI, dans le but de capitaliser sur la connaissance de l’attaquant et de ses modes opératoires. Pour être efficace, ce travail doit être mené de front par tous les acteurs d’une même filière. Comment ? Demain, les analystes CTI devront être en capacité d’acquérir une connaissance spécifique aux environnements industriels. Ce qui passe par une compréhension du fonctionnement d’un réseau opérationnel, de ses composants (différents de ceux de l’IT), de ses enjeux particuliers (comme la priorité à la disponibilité du système), mais aussi des solutions de sécurité utilisées. Une tâche loin d'être simple car il faut faire avec l’existant, parfois développé il y a plusieurs dizaines d’années. « Si l’analyste CTI n’a pas de compréhension des communications échangées sur le réseau industriel, et donc du fonctionnement des protocoles industriels, il ne sera en mesure de les analyser et d’en déduire un comportement légitime ou suspect, confirme Vincent Nicaise, Responsable des partenaires et de l'écosystème industriels chez Stormshield. Cette connaissance doit permettre, par exemple, à des sondes IT traditionnelles de détecter des automates et d'identifier la version du firmware en place pour ensuite effectuer des mises à jour. »  Pour répondre à ces problématiques, les sondes OT possédant cette capacité de compréhension et la création d’équipes transversales composées d’experts en cybersécurité et en OT sont au cœur des tendances. En attendant la concrétisation de ces deux pistes, la combinaison d'outils de détection et de protection reste la meilleure solution pour assurer la sécurité des infrastructures industrielles.

Enfin, pour les environnements les plus critiques, la sécurité dite déconnectée (qui permet d’éviter toute intrusion informatique venant de l’extérieur) représente une solution radicale. Les infrastructures ne communiquant pas avec le réseau Internet, elles sont seulement mises à jour manuellement et au cas par cas par les équipes informatiques. Mais même dans ces environnements coupés du monde, l’épisode Stuxnet a démontré que les attaques directes sur les machines peuvent advenir.

 

Par ailleurs, dans un contexte où les attaques sont protéiformes et multiplient les points d’entrée, l’humain reste un maillon central de la chaîne. Les analystes devront demain faire face à l’émergence de technologies facilitant l’usurpation comme les deep fakes pour les vidéos et le visage et même la voix. Ou encore le text augmentation qui permet de générer des milliers d’emails véhiculant le même message avec des nuances dans les textes différents, une technique qui permet de passer au travers des signatures de détection. Demain, il faudra certainement durcir les méthodes d’identification pour s’assurer que la personne avec laquelle nous parlons est bien une personne en chair et en os, et la bonne ! L’entreprise Uber vient récemment de faire les frais d’un pirate qui a, tout simplement, demandé les accès via un chat à l’une des salariées de l’entreprise. Face aux pratiques de social engineering de ce type, ce qui se passe « entre la chaise et le clavier » est plus que jamais d’actualité.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Avec les firewalls Stormshield Network Security, bénéficiez d’une solution pour détecter (IDS, Intrusion Detection System) et prévenir (IPS, Intrusion Prevention System) les attaques les plus sophistiquées. Recherche protocolaire ciblée et protection par signature : avec la solution Stormshield, disposez d’un système de prévention d’intrusion de grande qualité assurant la disponibilité et l’intégrité de vos systèmes, tout en évitant la multiplication des faux positifs.
Notre équipe de Cyber Threat Intelligence remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
À propos de l'auteur
mm
Sébastien Viou Directeur Cybersécurité Produits & Cyber-Évangeliste, Stormshield

Adepte des sports de combats (ju-jitsu, kick-boxing, hockey sur glace), Sébastien se passionne également pour la mécanique. La vraie, celle où on démonte et remonte toutes les pièces jusqu'à en comprendre tous les mécanismes. Un parallèle évident avec ses missions chez Stormshield, où il est en charge d'apporter un éclairage sur les évolutions, les innovations et les tendances sur les cyber-menaces du moment.