Les acteurs malveillants lancent des attaques contre les entreprises et les utilisateurs qu’elles protègent, tous les jours et à chaque fois qu’ils le peuvent, souvent pendant les jours fériés importants, lorsque les utilisateurs sont moins vigilants et que les équipes des centres d’opérations de sécurité (SOC) sont absentes. Les violations significatives qui se soldent par des dégâts importants finissent par faire la une des journaux. Pourtant, ces histoires ne détaillent généralement pas la séquence des événements de sécurité et des comportements d’attaque qui aideraient les équipes de sécurité et d’informatique à renforcer leurs défenses.
Utiliser les données pour développer une meilleure prévention
En puisant dans le plus grand cloud de sécurité au monde, nos chercheurs internes de ThreatLabz reçoivent un flux ininterrompu de données, catégorisées en signaux, à analyser et à partager avec la communauté SecOps au sens large. Grâce à des techniques avancées, notamment les analyses d’IA et AA, ThreatLabz est en mesure d’identifier et de bloquer quotidiennement plus de 250 milliards d’indicateurs de menaces pour nos clients. Si la majorité des menaces bloquées sont parfaitement connues, pour les menaces inconnues, ThreatLabz et les clients de Zscaler utilisent la quarantaine optimisée par l’IA de Zscaler Cloud Sandbox pour intercepter les menaces et en empêcher la diffusion aux utilisateurs. Les séquences d’attaque qui, autrement, se dérouleraient sur un appareil, se déploient dans un environnement séparé et virtuel qui saisit et identifie les comportements néfastes, répartissant la protection sur tous les utilisateurs, quel que soit leur emplacement.
La bonne nouvelle ? Les cyberattaques présentent des caractéristiques similaires. Avec un peu d’aide de la matrice MITRE ATT&CK et un raisonnement de pirate « black hat », vous pouvez anticiper le prochain mouvement d’un adversaire et renforcer vos défenses à chaque étape de l’attaque. Pour mieux illustrer cela, prenons le rôle d’Alex, un analyste principal de sécurité chez A2Z Health Services, qui a été alerté d’activités inhabituelles provenant du système de dossiers des patients. Après examen préliminaire, il se rend compte qu’A2Z est au cœur d’une attaque, mais il est encore temps de limiter les dégâts. Examinons le cycle de vie de l’attaque et voyons où les outils de sécurité d’A2Z auraient dû intervenir pour rétablir la situation et où se situent les éventuelles faiblesses de leurs défenses.
Le cycle de vie d’une attaque en détail
1. Reconnaissance
Les adversaires avancés mèneront une mission de reconnaissance, en évaluant la campagne, en recueillant des informations précieuses et en créant un plan d’attaque. Un programme d’éducation à la cybersécurité bien mené peut aider les employés à demeurer vigilants.
Comme nous l’entendons souvent, « le temps passé en reconnaissance est rarement perdu ». Un groupe d’adversaires appelé Frying Pan a fait d’A2Z Health Services sa prochaine victime et Jim, un spécialiste en charge de registres financiers, sa prochaine cible. Grâce à l’ingénierie sociale, Frying Pan a pu recueillir des informations sur l’identité de la victime, notamment ses e-mails personnels.
2. Accès initial
Après avoir identifié les vecteurs d’entrée, les adversaires vont tenter d’obtenir un accès initial au réseau. Les techniques courantes comme l’utilisation d’un compte valide peuvent être contrecarrées par l’authentification à deux facteurs ou la rotation des mots de passe. Malheureusement pour Jim, une campagne d’hameçonnage ciblé ou « spear phishing » n’a pas été repérée par son outil de sécurité de messagerie. Pour atténuer ce risque à l’avenir, l’équipe d’Alex peut utiliser la quarantaine optimisée par l’IA de Zscaler Cloud Sandbox pour analyser et bloquer les fichiers suspects, même lorsque le malware est transmis par HTTPS, un protocole chiffré, et à partir d’un fournisseur ou d’un programme de confiance, notamment Google Drive et Microsoft OneDrive. Sans se méfier que la relation de confiance avec un fournisseur a été usurpée, Jim a cliqué sur le lien d’une facture impayée, ce qui a entraîné le téléchargement d’un fichier Excel contenant une macro malveillante. Les solutions de détection et de réponse des terminaux (EDR) et le scanner antivirus n’ont pas reconnu de signatures ou de comportements connus.
3. Exécution
Maintenant que les adversaires ont franchi les portes, ils peuvent utiliser plusieurs tactiques simultanément en fonction de leurs objectifs. Le groupe Frying Pan souhaite exécuter un programme malveillant sur le système local de Jim en faisant en sorte que la macro invite à télécharger des bibliothèques de liens dynamiques (DLL) malveillantes destinées à être installées. Une solution EDR et une gestion des informations et des événements de sécurité (SIEM) robustes auraient dû être activés pour identifier une compromission en cours et alerter les équipes concernées. Pour les utilisateurs de Zscaler Internet Access (ZIA) avec Advanced Cloud Sandbox, l’inspection du contenu inline identifie une menace potentielle inconnue, analyse le contenu et interrompt les connexions malveillantes.
4. Accès aux informations d’identification et escalade des privilèges
Pour conserver un accès continu et échapper à la détection, les adversaires ont besoin de noms de compte et de mots de passe. Alex et l’équipe de sécurité ont déterminé que Frying Pan a obtenu des informations d’identification d’utilisateur par le biais de magasins de mots de passe et de force brute, ce qui les a finalement menés à un utilisateur plus privilégié ayant accès au contrôleur de domaine. Après avoir modifié les configurations qui servent de médiateur et répondent aux demandes d’authentification de sécurité, Frying Pan s’est frayé un chemin à travers le réseau et les systèmes d’A2Z. Malheureusement pour Alex et A2Z, leurs solutions de gestion des accès et de VPN ont été contournées, et ils ne disposaient pas de la segmentation utilisateur vers application et charge de travail vers charge de travail ou de leurres pour arrêter la propagation de l’infection.
5. Déplacement latéral
Grâce à un accès presque illimité, les adversaires sont désormais en mesure de passer d’une application, d’un système ou d’un compte à l’autre pour mener à bien leur mission. Frying Pan a utilisé des informations d’identification légitimes pour effectuer un déplacement latéral au lieu d’installer son propre outil d’accès à distance, et est donc passé inaperçu. Pour la plupart des entreprises qui s’appuient sur des pare-feu de nouvelle génération (NGFW) ou sur la segmentation du réseau, cette situation peut être monnaie courante.
Une architecture Zero Trust est cruciale pour stopper les déplacements latéraux. Le principe « Ne jamais faire confiance, toujours vérifier » garantit que Zscaler Private Access (ZPA) connecte uniquement les utilisateurs et les appareils authentifiés aux applications autorisées. Sans placer les utilisateurs sur le réseau, les applications ne sont jamais publiées sur Internet et demeurent invisibles aux utilisateurs non autorisés.
6. Collecte et exfiltration
Tout comme à l’étape de reconnaissance, les adversaires recherchent et recueillent des informations importantes. Toutefois, contrairement à l’étape précédente, les données recueillies sont destinées à être utilisées à d’autres fins malveillantes, comme par exemple l’extorsion. Le Cloud Access Security Broker (CASB) allié à la protection contre la perte de données (DLP) peut intervenir pour empêcher tout partage excessif et bloquer l’exfiltration des données.
C’est au stade de la collecte qu’Alex a remarqué pour la première fois des activités réseau suspectes provenant du système de dossiers des patients, notamment l’accès au système en dehors des heures de travail et des emplacements géographiques disparates qui témoignaient de déplacements impossibles. Après de plus amples recherches, il est devenu clair que les techniques d’exfiltration n’avaient pas commencé. Alors que certains adversaires s’arrêtent ici, avec l’intention de laisser ouverte une porte dérobée pour collecter et voler davantage de données ou de propriété intellectuelle, Alex et l’équipe de sécurité ont anticipé une attaque par ransomware. Ils ont donc déconnecté le système de données patient du réseau et désactivé également l’accès des utilisateurs concernés.
Pour les victimes malheureuses d’une attaque par ransomware, les étapes suivantes après l’exfiltration des données sont les suivantes :
7. Installation du ransomware et demande de paiement de la rançon
Le cybercriminel ou le groupe de cybercriminels ordinaires ne créent pas leur propre souche de ransomware. Ils sont plutôt affiliés à des créateurs de ransomware en tant que service comme LockBit ou Conti, et versent aux créateurs un certain pourcentage du montant de la rançon. Cela permet aux criminels de se concentrer sur la recherche et le ciblage des victimes, et aux créateurs de se concentrer sur le développement de leur « produit ».
Les équipes de sécurité n’ont pas la vie facile. Plus l’empreinte numérique de votre entreprise s’étend, plus il est important d’empêcher les acteurs malveillants de s’introduire et d’effectuer des déplacements latéraux grâce à la protection contre les infections de type patient zéro et à la protection contre les menaces inline de Zscaler Cloud Sandbox, une composante de Zero Trust Exchange. Découvrez comment la plateforme Zero Trust Exchange procure une défense complète contre l’ensemble du cycle de vie d’une attaque.