En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site E-Commerce pour des professionnels des métiers de bouche
    < 10 000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de prêt-à-porter
    < 1 500 €
    > En savoir plus
  • Création d'un site vitrine pour une association
    <250 €
    > En savoir plus
banniere_FIC2018_leaderboard

Mode de défense : Defense-in-Depth contre Kill Chain

BlueMind_Nouvelle version_pave

Quel mode de défense choisir ? Maintenir impérativement l’attaquant hors du système d’information ou admettre qu’il puisse le pénétrer et agir en conséquence ? Defense-in-Depth vs Kill Chain : le point de vue de Frédéric Braibant, manager intégration chez Nomios.

Nous avons tous en tête le concept de ‘’Defense-in-Depth’’ présentant la défense du système d’information comme une couche de barrières successives permettant de maintenir l’attaquant en dehors de celui-ci. Sa représentation la plus commune est une suite de cercles concentriques au centre desquels se trouve la donnée à protéger et à l’extrémité la défense dite périmétrique. En schématisant très grossièrement, dans la pratique, les composantes Perimeter, Network et Host du modèle comprennent généralement un ensemble de solutions de filtrage et de prévention d’intrusion dont la fonction est de bloquer les attaques externes.

Ce n’est clairement pas la bonne façon de concevoir notre mécanisme de défense ! L’avènement récent, tout du moins du point de vue marketing, des attaques dites ciblées a mis à mal le concept. En le suivant, nous ne pouvons que ralentir un attaquant motivé et non l’empêcher de pénétrer le réseau.

A l’issue de l’attaque, très médiatisée de par la préalable compromission de l’intégrité des tokens de la société RSA, subit en 2011 par Lockeed Martin les analystes sécurité de la société de défense américaine ont défini un nouveau principe de défense, ‘’Kill Chain’’ qui a été repris depuis par les éditeurs de solutions de sécurité pour illustrer les capacités de leurs produits.

Les sept points de passage obligés d’un attaquant

Pour être en mesure de l’établir, ils sont allés à l’encontre du concept de ‘’Defense-in-Depth’’. Au lieu d’essayer impérativement de le maintenir hors de celui-ci, ils admettaient que l’attaquant puisse pénétrer le système d’information. Une fois ce pas franchi, ils ont défini un workflow présentant les sept points de passage obligés d’un attaquant. Bien évidemment, sur certaines attaques, les plus basiques, toutes les étapes ne sont pas obligatoires. Les six premières étapes sont : Reconnaissance – Weaponization – Delivery – Exploitation – Command and Control ; c’est seulement une fois celles-ci réalisées que l’attaquant pourra tenter d’atteindre son objectif final : exfiltrer de la propriété intellectuelle, voler des numéros de carte de crédit, ‘’défacer’’ le site institutionnel, se répandre dans le réseau à la recherche de la cible etc. Le concept de ‘’Kill Chain’’ est de détecter et bloquer l’attaquant sur l’une de ces sept étapes, le plus tôt est bien évidemment le mieux.

Mais quels sont les outils pour appliquer le concept ?

Un firewall pour bloquer la reconnaissance, un IPS pour bloquer la weaponization, du filtrage d’URL pour bloquer le delivery, du patching pour bloquer l’exploitation etc. Finalement les mêmes outils que nous utilisions pour mettre en application le concept de ‘’Defense-in-Depth’’. La sécurité n’est donc définitivement pas une question d’outil, enfin pas essentiellement. Bien évidemment ici je force le trait, avoir les bons outils aide énormément. Au gré de l’évolution des menaces les outils cités ne cessent d’évoluer apportant de nouvelles fonctionnalités et de nouveaux produits apparaissent régulièrement présentant de nouveaux mécanismes pour nous aider dans notre tâche.

La sécurité du système d’information est, au-delà de la technique pure, procédurale tant dans sa conception que dans son exploitation quotidienne. ‘’Defense-in-depth’’ ou ‘’kill chain’’ sont des principes qui nous aident dans la conception de nos architectures et la définition de nos procédures. Si nous revenons au ‘’kill chain’’ il nous aide à comprendre la capacité de notre système à détecter et à bloquer un attaquant, à évaluer les capacités de nos outils, à déterminer ceux qui nous manquent ou ceux qui sont redondants. Il nous aide aussi, par exemple, à définir les étapes de notre plan d’incident-réponse. Par contre il ne peut être une fin en soi. Ses détracteurs arguent qu’il ne détaille aucunement comment se prémunir de l’objectif final de l’attaquant. Certes et c’est important car cette dernière étape peut encore permettre d’éviter le pire. Mais c’est à nous, aux équipes techniques, de le faire évoluer pour concevoir le système le plus sur possible. Nous pouvons par exemple le compléter avec la définition et la mise en application des procédures de gestion des accès ou de classification de la donnée énoncées dans certaines documentations énonçant le principe de ‘’Defense-in-depth’’.

L’homme est essentiel

Nous en revenons toujours au même point, pour que les aspects techniques et procéduraux soient efficients il est nécessaire que le rouage essentiel, l’homme, le soit aussi. Les équipes techniques doivent avoir connaissance des nouvelles menaces, des nouveaux principes permettant de les mitiger et disposer d’update réguliers sur les technologies. Mais cela ne s’arrête pas là il est nécessaire que les procédures établies soient régulièrement adaptées et révisées. Au-delà des équipes techniques, les collaborateurs doivent être sensibilisés et comprendre l’utilité des règles de sécurité et que celles-ci sont nécessaires et aucunement antithétiques avec le business. Sans parler de spear phishing, le rapport Verizon 2015*, mentionne, avec des pourcentages similaires à ceux des années précédentes, que 23% des e-mail de phishing sont ouverts et que pour 11% de ceux-ci l’attachement associé l’est aussi. Si nous revenons au ‘’kill chain’’ la meilleure protection pour casser la chaine à l’étape de Delivery est que l’utilisateur soit informé et vigilant !

 

* 2015 Data Breach Investigations Report

Mode de défense : Defense-in-Depth contre Kill Chain
Notez cet article

Laisser un commentaire

Webinaire Signature électronique

Les services de signature électronique, cachet serveur et d’horodatage Universign confèrent une dimension juridique à tous types de documents électroniques : valeur légale, intégrité dans le temps, authenticité des auteurs et des signataires.

Assister au webinaire du 30 novembre

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Piratage de données : action en nom collectif au Canada contre Equifax

    Une action en nom collectif (class action) a été lancée mardi au Canada afin d'obtenir…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Lutte contre la fraude, enjeu stratégique de l’ère numérique

    Un projet de dématérialisation des processus ne peut plus être conçu indépendamment d’un système de…

    > En savoir plus...
Etudes/Enquêtes
  • Les services de sécurité managés en plein boom

    D’après le rapport Risk:Value de NTT Security, la pénurie de compétences et l’accès à des…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Global Knowledge_Docker_Skycraper
Agenda
livres blancs
Les Livres
Blancs
Global Knowledge_Docker_Skycraper