Accueil La différence entre les APT et les attaques classiques

La différence entre les APT et les attaques classiques

Pour répondre à ces attaques, il faut surtout se défendre de «l’ingénierie sociale». Car selon l’éditeur CA, la différence entre les APT et les menaces «normales» réside dans le fait que l’entreprise est ciblée de manière spécifique. Tous les types de vecteurs d’attaque, comme le «spear phishing» (attaques avec phishing dirigé) méritent une analyse. L’attaquant commence par utiliser l’accès à un compte utilisateur normal sur le système et est ensuite en mesure d’exploiter une vulnérabilité (une faille) pour obtenir un accès «root». L’attaque typique de ce type est l’utilisation de mots de passe volés ou obtenus par une procédure d’ingénierie sociale (un simple coup de téléphone suffit parfois : «Je dois intervenir sur le serveur pour des mises à jour des backups disques, j’aurais besoin du code de maintenance»…). Cette technique peut se faire par rebond téléphonique, par courrier électronique, par lettre écrite. L’attaquant peut être aussi en mesure d’exploiter une certaine vulnérabilité d’un logiciel pour obtenir un accès root sur le système.

Nicolas Ruff, expert sécurité d’EADS a l’habitude de déclarer que l’affirmation La sécurité à 100 % n’existe pas» sert bien souvent «de prétexte pour faire une sécurité à 10 %. «L’information est comme un fluide : si votre plomberie est à 99 % étanche, alors vous avez déjà un sérieux problème de fuite !», indique-t-il

Nicolas Ruff, EADS
Nicolas Ruff, EADS

« Le mythe de la sécurité informatique à 100 % qui n’existe pas sert bien souvent de prétexte pour faire une sécurité à 10 % . »
Nicolas Ruff, expert sécurité d’EADS


Les APT vivent cachés pour survivre

Les attaquants les plus patients attendent parfois plusieurs mois que de nouvelles vulnérabilités ouvrent une brèche ou que d’autres failles moins importantes se combinent pour permettre d’effectuer une attaque de grande échelle.

Comment faire alors pour accroître leur détection ? Pour la plupart des experts interrogés lors du dernier FIC 2014, en janvier dernier, il n’y pas de solutions miracles. «Plusieurs couches de protection doivent être associées pour réduire à la fois le risque de faille et atténuer l’impact en cas de faille» expliquait Russell Miller, représentant de Computer Associates, qui s’occupe actuellement des outils Control Minder.

Si aucun produit de sécurité ne peut totalement protéger une société contre les APT, les solutions de sécurité interdomaines actuelles, les services d’audit, les outils de surveillance via le Cloud peuvent déjà aider les entreprises à mieux se protéger.

Les PIM

Dans les systèmes d’exploitations ordinaires (Windows, Linux, Mac OS), il existe deux types d’utilisateurs, ceux à privilèges et les utilisateurs ordinaires. Avec une gestion évoluée des identités, celles dites à privilèges, connue sous le nom de PIM (privileged identity management), le contrôle d’accès sera renforcé et le hacker ne pourra plus remonter facilement à la source afin de prendre la main sur les racines du système. L’activité de chaque utilisateur dans ces offres est surveillée et cela passe par une analyse automatique des «journaux d’activité utilisateur» qui peut identifier les violations de règles ou simplement des comportements inhabituels. A la suite de ces analyses, l’activité des utilisateurs les plus inquiétants seront surveillés de près et leur droit d’accès clôturés en cas d’excès.

Les différents vecteurs d'attaque d'une APT
Les différents vecteurs d’attaque d’une APT

La protection des informations doit évoluer

Le chiffrage des données, le masquage de leurs emplacements, les modes d’accès aux applications sont «verrouillés». La sécurité des zones de stockage des données et la sécurité de l’infrastructure interne, qui sont généralement considérés comme des silos indépendants, peuvent désormais étre combinées. C’est pourquoi la plupart des outils (il y en a des dizaines) pour identifier et supprimer les APT sont aussi des outils d’administration et de surveillance des réseaux et des serveurs

Comment identifier les attaquants ?

L’interception et la destruction du malware ne sont pas automatiquement fournies avec les outils d’analyses. Comme en médecine, le diagnostic est une première étape, l’éradication du mal en est une seconde. LogRythm propose ainsi Honeypot Security Analytics, une suite analytique de serveurs dit « Honeypots» afin de suivre la trace de potentiels hackers et d’être en mesure d’analyser leurs méthodes et tactiques d’attaque. Ces informations sont transmises à la suite Security Intelligence de l’éditeur. Ces informations sont transmises à la suite Security Intelligence de l’éditeur. Elle a pour but de fournir les informations ciblées pour anticiper de réelles attaques sur les serveurs de production. Certains outils d’analyse post-événement permettent aux analystes de disséquer et d’interpréter les paquets de données capturés. Des services dans le Cloud existent pour cela.


Sécurité globale chez Sophos

SOPHOS - Protection APT

Sécurité globale chez Sophos avec Malicious Traffic Detector, un détecteur du trafic malveillant, et Sophos System Protector, qui corrèle les informations du détecteur du trafic et des autres composants afin d’identifier les menaces qui pourraient ne pas apparaître comme « mauvaises » si chaque composant agissait de façon isolée.