Qu'est-ce qu'une menace persistante avancée ?

Publié: 2021-06-10

Une menace persistante avancée est un type d'attaque dans lequel un pirate ou tout utilisateur non autorisé accède de force à un système ou à un réseau pendant un temps considérable et y reste sans que personne ne s'en aperçoive.

Les menaces persistantes avancées (APT) sont exceptionnellement dangereuses, en particulier pour les entreprises, car ces pirates ont un accès constant aux données hautement confidentielles de l'entreprise. L'objectif principal des menaces persistantes avancées n'est pas de causer des dommages aux machines ou au réseau locaux, mais plutôt au vol de données.

Dans cet article
  • Comment fonctionne APT
  • Les étapes sont l'évolution des attaques de menaces persistantes avancées (APT)
  • Comment identifier les menaces persistantes avancées
  • Exemples avancés de menaces persistantes
  • Mesures de sécurité APT
  • Meilleures pratiques de sécurité réseau

Quelles sont les étapes avancées des menaces persistantes et comment cela fonctionne-t-il ?

Les menaces persistantes avancées sont généralement effectuées de manière progressive, qui commence par le piratage du réseau, suivi de l'évitement de toute détection du piratage. De plus, les pirates construisent un plan d'attaque, où ils cartographient les données de l'entreprise pour savoir où le rata est le plus facilement accessible. Enfin, ils rassemblent ces données sensibles et les siphonnent.

Ces menaces auraient causé de nombreuses violations de données entraînant un impact financier important. Sa capacité à ne pas être détectée par certaines des mesures de sécurité traditionnelles est ce qui inquiète les entreprises. Et pour ajouter aux inquiétudes des entreprises, les pirates créent des méthodes plus sophistiquées pour atteindre leurs objectifs, provoquant une augmentation effrénée des menaces persistantes avancées.

Les menaces persistantes avancées utilisent différentes méthodes pour obtenir un accès initial à un réseau ; dans certains cas, les attaquants peuvent utiliser Internet pour diffuser des logiciels malveillants et y accéder. Parfois, ils provoquent également une infection physique par un logiciel malveillant ou une exploitation externe afin qu'ils puissent entrer dans un réseau protégé.

Par rapport à de nombreuses menaces traditionnelles telles que les virus et les logiciels malveillants qui présentent systématiquement le même comportement, à chaque fois, les menaces persistantes avancées sont très différentes. Les menaces persistantes avancées n'ont pas d'approche large ou générique.

Au contraire, ce sont des menaces méticuleusement et soigneusement planifiées, avec un objectif clairement défini de cibler une organisation spécifique. Ainsi, les menaces persistantes avancées sont extrêmement personnalisées et conçues de manière très sophistiquée pour échapper aux mesures de sécurité existantes dans une entreprise.

Le plus souvent, les pirates ont utilisé des connexions de confiance pour obtenir l'entrée initiale. Cela signifie que les pirates peuvent accéder via les informations d'identification des employés ou des partenaires commerciaux, qui sont à nouveau accessibles via des attaques de phishing. En utilisant ces informations d'identification, les attaquants peuvent rester non détectés dans le système pendant une longue période, suffisamment pour cartographier les systèmes et les données de l'organisation et préparer un plan d'attaque pour vider les données de l'entreprise.

Du point de vue du succès des menaces persistantes avancées, les logiciels malveillants sont un composant essentiel. Une fois qu'un réseau particulier est piraté, le logiciel malveillant peut facilement se cacher de certains des systèmes de navigation standard, passer d'un système à un autre, commencer à collecter des données et surveiller l'activité du réseau.

Un autre aspect clé est la capacité de ces pirates à opérer à distance et à contrôler à distance ces menaces persistantes avancées. Cela donne aux pirates la possibilité de naviguer dans le réseau de l'entreprise à la recherche de données critiques, d'accéder aux informations, puis de commencer à siphonner ces données.

Cinq étapes d'une attaque persistante avancée évolutive

L'attaque d'une menace persistante avancée peut être menée en cinq étapes différentes telles que :

  • Étape 1 : Obtenir l'accès

    C'est là que les pirates ou les hacktivistes obtiennent un accès initial à un réseau de l'une des trois manières. Soit via des systèmes basés sur le Web, des réseaux ou des utilisateurs humains. Ils recherchent les vulnérabilités des applications et téléchargent des fichiers malveillants.

  • Étape 2 : Établir un pied

    Une fois l'accès initial obtenu, les pirates compromettent le système entré en créant un cheval de Troie de porte dérobée, qui est masqué pour le faire ressembler à un logiciel légitime. De cette façon, ils peuvent accéder au réseau et contrôler à distance le système entré.

  • Étape 3 : Approfondir l'accès

    Après avoir pris pied, les attaquants recueillent plus d'informations sur le réseau. Ils essaient d'attaquer avec force et de découvrir les vulnérabilités du réseau, grâce auxquelles ils peuvent obtenir un accès plus approfondi et ainsi contrôler des systèmes supplémentaires.

  • Étape 4 : Déplacez-vous latéralement

    Une fois qu'ils sont profondément à l'intérieur du réseau, ces attaquants créent des canaux de porte dérobée supplémentaires, ce qui leur donne la possibilité de se déplacer latéralement sur le réseau et d'accéder aux données quand ils en ont besoin.

  • Étape 5 : Regardez, apprenez et restez

    Une fois qu'ils commenceront à se déplacer sur le réseau, ils commenceront à collecter les données et se prépareront à les transférer en dehors du système - ce que l'on appelle l'exfiltration. Ils créeront une déviation sous la forme d'une attaque DDoS, tandis que les attaquants siphonneront les données. Si l'attaque APT n'a pas été détectée, les attaquants resteront dans le réseau et continueront à rechercher les opportunités d'une autre attaque.

( Lire aussi : Qu'est-ce que la sécurité dans le cloud ?)

Comment détecter une menace persistante avancée ?

En raison de leur nature, les menaces persistantes avancées ne sont pas facilement détectées. En fait, ces menaces reposent sur leur capacité à passer inaperçues pour mener à bien leur tâche. Cependant, il existe certains indicateurs que votre entreprise peut rencontrer, qui peuvent être traités comme des signes avant-coureurs :

  • Une augmentation du nombre de connexions tard dans la nuit ou lorsque les employés n'accèdent pas au réseau.
  • Lorsque vous remarquez des chevaux de Troie de porte dérobée à grande échelle. Ceux-ci sont généralement utilisés par les pirates qui utilisent des menaces persistantes avancées pour s'assurer qu'ils peuvent conserver l'accès au réseau.
  • Vous devez rechercher un flux soudain et important de données, des origines internes aux machines internes et externes.
  • Découvrez les forfaits de données. Ceci est généralement utilisé par les attaquants qui planifient des menaces persistantes avancées car ils agrègent les données à l'intérieur du réseau avant que les pirates ne déplacent les données à l'extérieur du réseau.
  • Identification des attaques pass-the-hash. Ceux-ci sont généralement ciblés sur le stockage pass-the-hash ou la mémoire où les données de mot de passe sont conservées. L'accès à celui-ci donnera l'opportunité de créer de nouvelles sessions d'authentification. Bien qu'il ne s'agisse pas d'une menace persistante avancée dans tous les cas, l'identification d'une telle condition fait l'objet d'une enquête plus approfondie.

Considérées auparavant comme une cible réservée aux grandes entreprises, les menaces persistantes avancées ne pénètrent pas non plus les petites et moyennes entreprises. Étant donné que ces pirates utilisent des méthodes sophistiquées pour attaquer, les organisations, quelle que soit leur taille, doivent mettre en œuvre des mesures de sécurité robustes pour y faire face.

Quels sont certains des exemples de menaces persistantes avancées ?

Des entreprises de cybersécurité comme Crowdstrike(1) ont suivi plus de 150 situations défavorables de ce type à travers le monde ; cela inclut les activistes du piratage et les cybercriminels. Ils ont en fait une méthode d'utilisation des noms d'acteurs et d'animaux associés à la région.

Par exemple, BEAR fait référence à la Russie, PANDA fait référence à la Chine, KITTEN à l'Iran et SPIDER est un crime électronique qui ne se limite pas à une région. Voici quelques exemples de menaces persistantes avancées détectées par Crowdstrike.

  1. APT 27 (PANDA GOBELIN)

    Cela a été détecté pour la première fois en 2013 lorsque des pirates ont attaqué le réseau d'une grande entreprise technologique ayant des activités commerciales dans plusieurs secteurs.

  2. APT28 (OURS FANTAISIE)

    Cette menace persistante avancée particulière utilise des usurpations de sites Web et des messages de phishing qui sont en fait similaires aux menaces légitimes pour accéder à des appareils tels que des ordinateurs et des téléphones portables.

  3. APT32 (Ocean Buffalo)

    Il s'agit d'un adversaire basé au Vietnam et actif depuis 2012. Cette menace persistante avancée utilise une combinaison d'outils prêts à l'emploi ainsi que la distribution de logiciels malveillants via Strategic Web Compromise, également connu sous le nom de SWC.

En plus de celles mentionnées ci-dessus, qui ont été détectées par Crowstrike, il existe d'autres exemples de menaces persistantes avancées telles que :

  • Ghostnet : basé en Chine, où les attaques ont été planifiées et exécutées via des e-mails de phishing contenant des logiciels malveillants. Le groupe a en fait ciblé des appareils dans plus de 100 pays
  • Stuxnet : Il s'agit d'un logiciel malveillant qui cible principalement les systèmes SCADA (applications industrielles lourdes), comme en témoigne son succès à pénétrer les machines utilisées dans le programme nucléaire iranien.
  • Sykipot : Il s'agit d'un type de malware qui attaque principalement les cartes à puce.

Mesures de sécurité APT

Il est clair que la menace persistante avancée est une attaque à multiples facettes, et qu'il faut prendre plusieurs mesures de sécurité, sous la forme d'outils et de techniques.

  • Surveillance du trafic : cela permettra aux entreprises d'identifier les pénétrations, tout type de mouvement latéral et l'exfiltration de données.
  • Application & Domain Whitelisting : Assurez-vous que les domaines et les applications connus et dignes de confiance sont placés dans la liste blanche.
  • Contrôle d'accès : Nécessité de mettre en place des protocoles d'authentification forts et de gestion des comptes utilisateurs. S'il existe des comptes privilégiés, ils doivent faire l'objet d'une attention particulière.

Mesures de bonnes pratiques à prendre lors de la sécurisation de votre réseau.

La dure réalité des menaces persistantes avancées est qu'il n'existe pas de solution unique efficace à 100 %. Par conséquent, nous examinerons certaines des meilleures pratiques en matière de protection APT.

  • Installez un pare-feu :

    Il est important de choisir la bonne structure de pare-feu qui agira comme première couche de défense contre les menaces persistantes avancées.

  • Activez un pare-feu d'application Web :

    Cela peut être utile car cela empêchera les attaques provenant d'applications Internet/Web, en particulier celles qui utilisent le trafic HTTP.

  • Antivirus :

    Disposez de l'antivirus le plus récent et à jour capable de détecter et d'empêcher les programmes tels que les logiciels malveillants, les chevaux de Troie et les virus.

  • Systèmes de prévention des intrusions :

    Il est important d'avoir des systèmes de prévention des intrusions (IPS) car ils fonctionnent comme un service de sécurité surveillant votre réseau pour tout code malveillant et vous avertissent immédiatement.

  • Avoir un environnement sandbox :

    Cela sera utile pour tester tous les scripts ou codes suspects sans endommager le système en direct.

  • Configurez un VPN :

    Cela garantira que les pirates APT n'auront pas facilement accès à votre réseau.

  • Configurez la protection des e-mails :

    Étant donné que les e-mails sont l'une des applications les plus régulièrement utilisées, ils sont également vulnérables. Par conséquent, activez la protection contre les spams et les logiciels malveillants pour vos e-mails.

Dernières pensées

Les menaces persistantes avancées frappent constamment à la porte et elles n'ont besoin que d'une petite ouverture dans votre réseau pour créer des dégâts à grande échelle. Oui, ces attaques ne peuvent pas être détectées, mais avec des mesures appropriées en place, les entreprises peuvent être vigilantes pour éviter toute adversité due à ces attaques. Le respect des meilleures pratiques et la mise en place de mesures de sécurité permettront de prévenir efficacement de telles attaques.

Autres ressources utiles :

Cinq conseils et stratégies pour éviter les cybermenaces

10 façons de prévenir les menaces internes

Cybermenaces à combattre en 2021

Importance de la cybersécurité dans les entreprises