Archives par mot-clé : IPS

Pour une meilleure défense contre les attaques avancées

Kill Chain 3.0 : mettre à jour la Cyber Kill Chain pour une meilleure défense contre les attaques avancées.

Tous les responsables de la sécurité des réseaux ont déjà entendu parler de la Kill chain – une méthode de défense conçue pour combattre efficacement les cyber attaques avancées ou APT. Cette méthode comporte sept étapes pour l’attaquant, et propose un mode spécifique de défense pour chacune d’elles. Les étapes de la kill chain comprennent :

·         Reconnaissance – S’informer sur la cible en utilisant de nombreuses techniques.
·         Armement – Combiner le vecteur d’attaque avec un contenu malicieux.
·         Livraison – Transmettre le contenu malicieux avec un vecteur de communications
·         Exploitation – Profiter d’une faiblesse logicielle ou humaine pour activer le contenu malicieux
·         Installation – Installer durablement le contenu malicieux sur un ordinateur hôte individuel
·         Commande & Contrôle (C2) – Le malware appelle l’attaquant, qui en prend la contrôle
·         Actions prévues – L’attaquant vole ou fait ce qu’il avait prévu de faire.

Les professionnels de la sécurité réseau ont des opinions diverses quant à l’efficacité de la kill chain en tant que méthode de défense. Certains l’adorent, décrivant comment leurs équipes de sécurité l’utilisent, tandis que d’autres indiquent qu’il lui manque certains détails cruciaux, et qu’elle n’est adaptée qu’à certains types d’attaques. Les deux interprétations ont chacun leur part de vérité, mais il existe trois étapes simples pour rendre la kill chain encore plus efficace, appelons la Kill Chain 3.0.

Tout d’abord, il convient de modifier les étapes de la kill chain telle que décrite plus haut. Si l’on utilise la kill chain en tant qu’outil de défense, alors chacune des mailles de la chaîne doit donner lieu à une ou des actions de défense. Par exemple, l’étape Armement de la kill chain n’est pas réellement exploitable par les défenseurs. Dès lors pourquoi faire apparaître une étape qui n’a pas grand-chose à voir avec la défense ? Par ailleurs, comme beaucoup l’ont déjà fait remarquer, la kill chain actuelle se concentre avant tout sur l’intrusion initiale, et pas assez sur la façon dont les auteurs des attaques avancées exploitent leur premier point d’entrée pour se répandre dans l’ensemble du réseau de leur victime. La kill chain doit inclure une étape pour les mouvements latéraux et la modification des droits d’accès en local. De ce fait, la chaîne devrait être modifiée de la façon suivante :

·         Reconnaissance
·         Armement Livraison
·         Exploitation
·         Installation Infection
·         Commande & Contrôle

Ø  Mouvement Latéral & Pivotement

·         Objectifs/Exfiltration

Après cette simple modification, à chaque étape de la kill chain correspondent des moyens de défense adaptés. Par exemple, la détection des ports et des adresses IP et la traduction d’adresses NAT seront efficaces à l’étape Reconnaissance ; le blocage des ports firewall, l’IPS et le contrôle applicatif le seront à l’étape Livraison ; .le Patching et l’IPS le seront à l’étape Exploitation ; La segmentation du réseau le sera à l’étape Mouvement Latéral, et ainsi de suite.

Ensuite, il convient de retenir qu’il est important d’avoir des défenses pour chacune des étapes de la kill chain, et que chacune des étapes à la même importance. Un des concepts à la base de la kill chain est que plus tôt dans le cycle vous prévenez une attaque, meilleur c’est. Bien que cela soit techniquement vrai, ceci explique également pourquoi beaucoup se concentrent sur des mesures de protection lors des premières étapes de la kill chain, et consacrent moins de temps et d’efforts à protéger les étapes suivantes, même si ces défenses ont le pouvoir de contenir ou de limiter significativement les conséquences d’une intrusion réussie. En vérité, les attaques les plus sophistiquées contourneront ou éluderont souvent les défenses mises en place sur les premières étapes. Si l’entreprise ne s’est pas suffisamment concentrée sur les défenses adaptées aux étapes suivantes, telles que la détection des botnets, la prévention des pertes de données et la segmentation du réseau interne, elle n’exploite pas toutes ses chances de prévenir une attaque majeure. En bref, la bataille n’est pas perdue après une infection initiale si l’on a consacré toute son attention aux défenses lors des étapes suivantes de la Kill Chain 3.0.

Enfin, il est nécessaire de disposer d’un outil d’affichage qui permette de visualiser l’ensemble des sept étapes de la kill chain. Celle-ci est parfaite pour mettre en valeur chacune des zones où peut être stoppée une attaque sur le réseau, mais s’il n’est pas possible de contrôler le parcours d’une attaque au travers de chacune des étapes, l’entreprise se prive d’elle-même de données critiques qui pourraient l’aider à se protéger. Les outils d’affichage et d’analytiques doivent être des composants clés de la Kill Chain 3.0. Si l’entreprise ne dispose pas d’un outil de reporting capable de rassembler les logs de tous ses contrôles de sécurité, et de corréler différentes alertes en un seul et même incident, elle a de fortes chances de manquer les signes d’une attaque sophistiquée.

Pour récapituler : modifiez un peu les étapes de la kill chain, accordez la même importance à chacune des étapes – y compris les dernières, et dotez-vous d’un outil de reporting et d’affichage capable de contrôler l’ensemble du processus, et vous obtenez la Kill Chain 3.0, une méthode optimisée pour se protéger au mieux contre les attaques avancées. (Par Pierre Poggi, Country Manager France de WatchGuard)

Le site du gouvernement hollandais HS durant 10 heures

Le site du gouvernement hollandais a été victime d’une attaque DDoS assez massive ayant entrainée une perte de service durant presque 10 heures. Les techniques utilisées sont des techniques de nouvelle génération. Les différentes équipes sécurité ainsi que les différents partenaires sécurité du gouvernement hollandais ont eu du mal à contenir cette attaque DDoS d’un nouveau genre. Il a fallu que toutes ces équipes analysent plus finement l’attaque pour la contenir le mieux possible.

Le simple volume de bande passante pouvant être exploité par une attaque est bien sûr problématique. Avec une consommation qui tutoie fréquemment les centaines de gigabits par seconde grâce à la combinaison dévastatrice des attaques par amplification et par réflexion, de nombreuses entreprises visées par une agression DDoS réalisent que leur connectivité à Internet représente un sérieux handicap face à ces menaces. Alors que des technologies émergentes telles que les architectures définies par logiciel (SDN) ou les réseaux virtuels permettent de répondre immédiatement à des besoins de capacité supplémentaire pour les services liés au réseau, il n’en reste pas moins que si la connectivité est compromise, l’ajout de capacité additionnelle au-delà du périmètre de l’entreprise a peu de chances d’être d’une quelconque utilité. En d’autres termes, si un hacker peut injecter des informations malveillantes en quantité suffisante pour saturer complètement votre connectivité Internet, une solution sur site ne sera à elle seule d’aucun secours. C’est pourquoi nombre d’analystes de renom recommandent la mise en œuvre d’une approche hybride pour affronter ces attaques DDoS.

L’approche DDoS hybride
Une approche hybride associe un service de détection et d’atténuation des attaques DDoS hors site (déployées sur le Cloud) à un ensemble de protections sur site. En permettant aux entreprises de tirer parti de la large bande passante disponible à proximité de la dorsale Internet — où résident la plupart des lanceurs d’attaques DDoS sur le Cloud lorsque des attaques « sur-souscrivent » leur propre connectivité tout en maintenant un haut niveau de sécurité sur site pour contrer la plupart des attaques volumétriques —, une telle approche est également adaptée aux attaques DDoS plus insidieuses, qui sont amorcées au niveau de la couche applicative.

Des solutions hybrides apportent la résilience et l’envergure des solutions basées sur le Cloud avec, en plus, la granularité et les fonctionnalités opérationnelles en permanence qui caractérisent les solutions déployées sur site. Plus important, une architecture DDoS hybride bien intégrée permet aux entreprises de faire face de manière plus efficace et plus rentable à des menaces qui se produisent rarement ; mais sont beaucoup plus dangereuses.

De plus, ces attaques sont rendues plus dangereuses par la façon dont les entreprises réagissent (naturellement) face à une attaque DDoS. Il est relativement courant qu’une entreprise qui se trouve sous le feu d’une agression concentre ses efforts sur la prévention des interruptions de service. Étant donné que les services de sécurité reposant sur de coûteuses ressources informatiques affichent rapidement leurs limites face au volume du trafic, la réaction consiste souvent à les fermer purement et simplement. Cela signifie que les systèmes de protection des identités (IPS), les pare-feu applicatifs et les systèmes de détection anti-fraude — entre autres — sont éliminés du chemin critique. Le trafic DDoS qui emprunte le réseau peut, dans une large mesure, être détecté et rejeté mais soudain, les attaques lancées au niveau de la couche applicative qui sont cachées dans les attaques volumétriques ont toute latitude pour « revenir » au niveau des applications. Fondamentalement, les défenses de la couche applicative sont traitées comme du lest dont on se débarrasse pour maintenir un bateau, c’est à dire le réseau, à flot.

Une approche hybride peut tirer parti de la capacité supplémentaire disponible sur le Cloud pour que les entreprises ne soient pas submergées par le volume excessif généré par certaines attaques, tout en leur permettant de se protéger contre des agressions plus fréquentes, mais plus faciles à maîtriser. Il est sans nul doute difficile de mettre en œuvre une solution anti-DDoS exclusivement déployée sur le Cloud si elle est utilisée pour contrer les attaques DDoS une par une, mais le jeu en vaut la chandelle en cas d’opération de grande envergure.

Une approche hybride constitue à n’en pas douter la meilleure approche architecturale dont disposent actuellement les entreprises pour limiter de manière rentable et efficace les risques associés aux attaques DDoS au sens large : une solution intégrée qui associe les outils déployés sur site et sur le Cloud représente la clé d’un processus d’intégration parfaitement transparent.