Les cyberattaquants opèrent en analysant les réseaux et les applications de leurs organisations cibles (leur surface d'attaque numérique ) pour élaborer des attaques en plusieurs étapes en utilisant plusieurs techniques et procédures qui exploitent les vulnérabilités découvertes et zero-day. Dans cet article, nous examinons plusieurs classes de menaces contre lesquelles les entreprises doivent se défendre et soulignons l’utilisation des principes de confiance zéro pour augmenter les chances de contenir les dommages causés par les activités des adversaires. Nous examinons ensuite brièvement les tactiques, techniques et procédures des attaquants, qui sont codifiées dans le cadre MITRE ATT&CK. Enfin, nous discutons du framework MITRE D3FEND et le mettons en correspondance avec les principes de confiance zéro. 

Dans son glossaire du Computer Security Resource Center (CSRC), le National Institute of Standards and Technology (NIST) propose une définition abstraite de la « surface d’attaque » comme étant « l’ensemble des points situés à la frontière d’un système, d’un élément de système ou d’un environnement où un attaquant peut tenter d’entrer, de provoquer un effet sur ce système, cet élément de système ou cet environnement ou d’en extraire des données ».

Une autre façon de penser à la « surface d’attaque » est de considérer toutes les vulnérabilités connues et inconnues qui se cachent dans divers composants de l’environnement numérique. Une liste non exhaustive de ces composants comprendrait : 

• Ressources physiques et virtuelles de réseau, de calcul et de stockage
  
• Hyperviseurs, machines virtuelles, systèmes d'orchestration de conteneurs, maillages de services
  
• Logiciels qui s'exécutent sur ces actifs, tels que les micrologiciels, les systèmes d'exploitation, les logiciels de gestion de base de données, les logiciels d'application
  
• Référentiels d'images de conteneurs, référentiels d'images de machines virtuelles, référentiels de code
  
• API internes et externes, points de terminaison de microservices, portails d'applications
  
• Services externes à l'environnement local, mais consommés localement, tels que les services de validation d'identité, les serveurs de temps et le stockage de données à distance
  
• Magasins d'identité, bases de données de comptes utilisateurs, magasins de données d'entreprise

Pour minimiser les risques pour l’entreprise, les organisations doivent défendre leurs propres actifs numériques et leur propriété intellectuelle ainsi que la confidentialité de leurs clients et employés, tout en se conformant à toutes les exigences de conformité réglementaire. Ils doivent le faire tout en garantissant simultanément que les flux de travail et les expériences numériques de l’entreprise continuent d’être disponibles et fiables. La solution à ce défi est d’adhérer aux principes de confiance zéro : utiliser le moindre privilège, vérifier explicitement, évaluer en continu et supposer une violation.¹ Ce faisant, les organisations peuvent faire face à un certain nombre de classes de menaces différentes, comme indiqué dans les sections suivantes.

Les données sont l’élément vital des entreprises numériques modernes ; par conséquent, les attaquants ont de fortes motivations financières pour s’en prendre aux données d’une organisation. Une fois volées, les données peuvent être vendues sur le dark web et utilisées par d’autres parties pour nuire davantage au propriétaire des données. Une organisation peut également être la proie d’un ransomware, où les attaquants rendent les données de l’organisation indisponibles, soit en chiffrant les données en place, soit en les supprimant entièrement de l’infrastructure de l’organisation. Les attaquants peuvent alors exiger un paiement – une « rançon » – de la victime en échange de la restauration des données. Une troisième classe d’attaques de données, utilisée par des acteurs qui souhaitent simplement faire du mal, consiste à corrompre subtilement les données, perturbant ainsi les processus commerciaux et les expériences numériques qui en dépendent. 

Une fuite de données, ou violation de données, se produit lorsqu'un adversaire accède à des informations confidentielles sans le consentement du propriétaire. Outre l’impact sur la propriété intellectuelle, ces attaques entraînent souvent des atteintes à la marque et une perte de confiance. La loi oblige les organisations victimes d’une violation à signaler toute perte de données contenant des informations personnelles identifiables. Les techniques d’hameçonnage, l’exploitation des vulnérabilités des applications publiques et l’utilisation de compromissions de la chaîne d’approvisionnement sont toutes des méthodes courantes pour infiltrer l’environnement numérique dans lequel les données sont stockées.

Un exemple récent notable est l’attaque de la chaîne d’approvisionnement de SolarWinds,² que les adversaires ont utilisé pour infiltrer des milliers d’entreprises et d’organisations gouvernementales. Cet accès initial a servi de tremplin aux étapes ultérieures d’exploitation de l’attaque en établissant une présence persistante dans l’infrastructure numérique, permettant ainsi un mouvement latéral à travers plusieurs applications et réseaux victimes. En fin de compte, ces tactiques ont conduit à l’objectif final de l’attaquant : compromettre les informations d’identification/mots de passe et exfiltrer les données de la victime. 

Une autre forme d’attaque contre les données est celle des attaques par « ransomware », dans lesquelles les pirates déploient des logiciels malveillants pour perturber ou bloquer entièrement les processus commerciaux clés. Le plus souvent, les données commerciales cruciales sont cryptées ou supprimées, perturbant ainsi les flux de travail critiques. Dans certains cas, les données du magasin de données d’authentification d’identité sont également cryptées ou supprimées, excluant ainsi complètement les utilisateurs légitimes du système. Ce n’est qu’après réception de la « rançon » que les attaquants rétablissent l’accès au système ou décryptent les données. En mai 2021, une attaque de ransomware a paralysé Colonial Pipeline,³ qui transporte de l'essence et du kérosène vers le sud-est des États-Unis.

Certains adversaires utilisent une approche plus nuancée dans leurs attaques de données. Plutôt que d’exfiltrer les données ou de les rendre indisponibles, ces attaquants sophistiqués apportent un petit nombre de modifications soigneusement ciblées aux données in situ de l’organisation victime, le tout étant récompensé par les flux de travail externes normaux de l’application. Les exemples incluent l’augmentation de la fraction de sièges d’avion qui doivent être vendus à prix réduit, la manipulation d’une base de données d’approvisionnement en stock pour faire croire que plus ou moins d’articles sont à vendre, ou l’ajout d’un code de réduction spécial sur un site de vente en ligne. Ces changements « furtifs », qui sont souvent difficiles à détecter jusqu’à ce que le mal soit fait, tirent parti des propres flux de travail de l’entreprise victime pour extraire de la valeur pour l’attaquant. 

Les pirates informatiques lancent des attaques qui consomment des ressources dans le réseau et l'infrastructure informatique, de sorte que les processus commerciaux s'arrêtent ou fonctionnent de manière inefficace. Les objectifs de telles attaques varient de l’atteinte à la marque de l’organisation ciblée à l’extorsion de fonds, en passant par l’obtention d’un résultat commercial spécifique, comme rendre la vente de billets en ligne indisponible. De plus, les attaquants avancés utilisent souvent ce type d’attaque comme écran de fumée tout en effectuant d’autres étapes d’une attaque simultanée plus sophistiquée. 

Les attaquants utilisent des botnets pour diriger le trafic d’attaque vers les ressources de la cible afin de lancer des attaques par déni de service distribué (DDoS). Les attaques DDoS volumétriques inondent le réseau de la cible de trafic, consommant toute la bande passante disponible. Les attaques DDoS de protocole envoient un trafic spécialisé pour remplir les tables de connexion sur les périphériques réseau avec état, tels que les pare-feu, afin que les connexions légitimes soient abandonnées. Les attaques DDoS des applications consomment des ressources sur les serveurs avec des requêtes illégitimes. 

Les attaquants peuvent obtenir un accès non autorisé aux ressources de calcul pour effectuer des calculs pour le compte de l’attaquant, dont les résultats sont renvoyés à un serveur de commande et de contrôle. Cela est le plus souvent fait pour exécuter du code de crypto-minage en arrière-plan, à l'insu du propriétaire de l'ordinateur. Le phishing et les téléchargements intempestifs sont des méthodes courantes utilisées pour déployer du code de crypto-minage sur les ordinateurs. Les pirates informatiques utilisent la tactique de mouvement latéral MITRE ATT&CK pour augmenter la capacité de leur processeur volé et la tactique de persistance pour maintenir leur capacité à exécuter des calculs non autorisés.

Les acteurs malveillants causent du tort aux organisations en abusant d’un flux de travail ou d’une expérience utilisateur souhaité. Ces menaces peuvent entraîner une perte de revenus, une image de marque ternie et des coûts opérationnels plus élevés pour lutter contre la fraude.

Les pirates informatiques, motivés par le profit personnel, utilisent des processus commerciaux légitimes pour nuire aux organisations. Par exemple, ils peuvent utiliser l’automatisation pour acheter un nombre important de billets pour un événement populaire, rendant ainsi impossible l’achat par d’autres, puis les vendre à un prix plus élevé. 

Les informations commerciales peuvent être extraites du site Web public d’une organisation ou volées à partir de systèmes internes, puis utilisées de manière préjudiciable à l’organisation. À titre d’exemple, un concurrent peut collecter des informations sur les prix et baisser ses propres prix pour attirer les clients. 

Les pirates informatiques peuvent modifier le contenu d’un site Web public et le dégrader pour embarrasser une organisation. Ils peuvent également modifier le contenu pour fournir des informations incorrectes aux utilisateurs du site Web. 

Les fraudeurs trouvent des moyens d’effectuer des transactions financières au nom d’autres utilisateurs afin de tirer profit de ces transactions. Ils utilisent des informations d'identification volées pour prendre le contrôle d'un compte ou inciter des utilisateurs sans méfiance à se rendre sur un site qui ressemble à celui qu'ils utilisent habituellement et à divulguer leurs informations d'identification de compte. Ce type de fraude se produit généralement sur des sites de commerce électronique ou des portails d’institutions financières. Pendant la période de la COVID, de nombreux fraudeurs se sont livrés à des fraudes au chômage, où ils ont déposé de fausses demandes d’allocations chômage en utilisant des identités volées et ont dirigé les prestations vers eux-mêmes.⁴

Un adversaire persistant qui lance une menace contre une organisation est patient, organisé et hautement qualifié. Pour causer des dommages, l’attaquant doit atteindre plusieurs objectifs tactiques, tels que recueillir des renseignements, obtenir un accès initial, établir une tête de pont, voler des informations, exfiltrer des données, etc. Le cadre MITRE ATT&CK⁵ énumère les objectifs tactiques, les techniques pour atteindre les objectifs tactiques et les procédures pour mettre en œuvre ces techniques. Les défenseurs peuvent utiliser ce cadre pour décortiquer toute attaque en son ensemble de tactiques, techniques et procédures (TTP), qui peuvent être trouvés sur le site du cadre MITRE ATT&CK . Nous constatons que pour chaque tactique et ses techniques associées, l’adhésion aux principes de confiance zéro dans l’environnement numérique réduit la probabilité de succès de l’attaquant et augmente la probabilité de détection précoce de son activité, comme le montre la figure 1. 

Le cadre D3FEND offre une base de connaissances sur les contre-mesures et un graphique de connaissances qui « contient des types et des relations sémantiquement rigoureux qui définissent à la fois les concepts clés du domaine des contre-mesures de cybersécurité et les relations nécessaires pour lier ces concepts entre eux ».⁷ Ce cadre aide les praticiens de la sécurité à déterminer les capacités nécessaires pour se défendre contre les menaces liées à leur environnement numérique.

En outre, il est possible de penser au risque de sécurité en termes de préparation contre les différents TTP énumérés dans le cadre MITRE ATT&CK en faisant le point sur la capacité à exécuter les contre-mesures pertinentes répertoriées dans le cadre D3FEND. Le tissu conjonctif entre les deux cadres est l’abstraction « artefact numérique ». Lorsque les attaquants utilisent un ensemble de TTP pour mener leur attaque, leur activité produit des artefacts numériques observables. Le cadre D3FEND aide les praticiens à noter spécifiquement comment rechercher les artefacts numériques produits par l’activité de l’adversaire et aide à élaborer un plan défensif exploitable.

Nous notons que les catégories de contre-mesures MITRE D3FEND correspondent parfaitement aux techniques de sécurité Zero Trust basées sur les principes Zero Trust comme le montre la figure 2. 

Les applications et expériences numériques d’aujourd’hui sont motivées par le désir des entreprises d’un engagement plus riche auprès d’une plus grande variété de clients cibles, y compris les humains et les appareils intelligents, dans le contexte plus large d’un écosystème d’entreprises numériques interconnectées répondant aux besoins d’une main-d’œuvre et d’une clientèle mobiles croissantes. Simultanément, l’exigence d’une agilité et d’une efficacité commerciales toujours croissantes a conduit les architectures d’application à exploiter beaucoup plus les composants open source et SaaS. Par conséquent, l’application principale dépend aujourd’hui d’une infrastructure plus profonde et moins contrôlée que jamais auparavant. Les exigences commerciales modernes ont entraîné une complexité accrue de l’architecture des applications, ce qui a entraîné l’exposition d’une surface de menace plus large et plus dynamique, qui est exploitée par des adversaires sophistiqués, mieux financés et plus motivés que jamais.

Le cadre MITRE ATT&CK offre une nomenclature organisée pour les tactiques, techniques et procédures que les mauvais acteurs utilisent pour composer des attaques complexes. Le cadre MITRE D3FEND spécifie un graphique de connaissances des contre-mesures que les organisations peuvent utiliser pour détecter les artefacts numériques observables produits par les TTP utilisés dans une attaque. Les contre-mesures MITRE D3FEND peuvent être associées à divers principes de confiance zéro, et le respect de ces principes rend le mécanisme spécifique de mise en œuvre de la contre-mesure plus efficace. 

Télécharger le rapport