Les menaces persistantes avancées (APT) sont des attaques dans lesquelles les pirates accèdent à un système ou à un réseau et y restent inaperçus pendant une plus longue période. Ceci est particulièrement dangereux pour les entreprises, car cela donne aux cybercriminels un accès permanent à des données sensibles.
Ces attaques APT échappent également à la détection par les mesures de sécurité traditionnelles en raison de leurs tactiques sophistiquées d'évasion et d'obscurcissement. L'article suivant décrit comment les cybercriminels abordent leurs attaques, comment les organisations peuvent détecter les signes avant-coureurs d'une attaque APT et les meilleures pratiques pour atténuer le risque de ces menaces.
Fonctionnement des menaces persistantes avancées - APT
Les APT ne causent généralement aucun dommage dans les réseaux d'entreprise ou sur les ordinateurs locaux. Au lieu de cela, leur objectif est généralement le vol de données. Ces menaces utilisent diverses techniques pour obtenir un accès initial à un réseau. Par exemple, les attaquants peuvent propager des logiciels malveillants en ligne, infecter physiquement les appareils directement avec des logiciels malveillants ou exploiter les vulnérabilités des systèmes pour accéder aux réseaux protégés.
Ces attaques diffèrent de nombreuses menaces traditionnelles, telles que les types de virus et de logiciels malveillants, qui se comportent constamment de la même manière et sont simplement réutilisées pour attaquer différents systèmes ou organisations. Les APT ne suivent pas une approche générale et large, mais sont soigneusement planifiées et conçues dans le but de cibler une organisation spécifique et de contourner les mesures de sécurité en place.
Les pirates utilisent souvent le phishing
Les pirates utilisent souvent des connexions de confiance pour obtenir un accès initial. De cette façon, les attaquants peuvent abuser des données de connexion des employés ou des partenaires commerciaux qu'ils ont exploitées, par exemple, par le biais d'attaques de phishing ou d'autres méthodes. Cela leur permet de rester non détectés suffisamment longtemps pour explorer les systèmes et les données de l'entreprise et développer un plan d'attaque stratégique contre le vol de données.
Les logiciels malveillants avancés sont essentiels au succès d'une attaque APT. Une fois le réseau attaqué, Advanced Malware peut se cacher de certains systèmes de détection, parcourir le réseau d'un système à l'autre, récolter des données et surveiller l'activité du réseau. La capacité des criminels à contrôler à distance une menace persistante avancée est également essentielle. Cela permet aux pirates de parcourir l'ensemble du réseau de l'entreprise pour identifier les données critiques, accéder aux informations qu'ils souhaitent et initier leur exfiltration.
Panneau d'avertissement pour les menaces persistantes avancées
Les menaces persistantes avancées sont intrinsèquement difficiles à détecter. En fait, ces types d'attaques reposent sur leur capacité à rester non détectées pour atteindre leur objectif. Cependant, certains signaux d'alarme importants indiquent qu'une organisation peut être affectée par une attaque APT :
- Une augmentation des connexions en dehors des heures de travail ou lorsque certains employés n'auraient normalement pas accès au réseau.
- Détection des chevaux de Troie de porte dérobée répandus : les chevaux de Troie de porte dérobée sont couramment utilisés par les pirates lors d'une tentative d'attaque APT pour s'assurer qu'ils conservent leur accès au réseau même si un utilisateur dont les informations d'identification ont été compromises découvre la violation et que ses informations d'identification changent.
- Flux de données importants et inhabituels : les équipes de sécurité doivent être conscientes des flux importants de données provenant d'origines internes vers des ordinateurs internes ou externes. Ces flux doivent différer de la ligne de base type de l'entreprise.
- Détection d'ensembles de données inhabituels : les attaquants effectuant une attaque par menace persistante avancée regroupent souvent les données au sein du réseau avant de tenter de les extruder. Ces ensembles de données sont souvent découverts là où les données ne sont généralement pas stockées au sein de l'organisation et sont parfois conditionnées dans des formats d'archivage que l'organisation n'utiliserait pas normalement.
- Détecter les attaques pass-the-hash : les attaques qui volent les hachages de mot de passe des bases de données ou du stockage pour créer de nouvelles sessions authentifiées ne sont pas toujours utilisées avec les APT. Cependant, la découverte de ces attaques sur le réseau de l'entreprise nécessite toujours une enquête plus approfondie.
Les menaces persistantes avancées, qui ciblaient principalement les organisations de haut niveau ou les entreprises disposant de données précieuses, sont désormais également de plus en plus courantes dans les petites organisations. Alors que les attaquants utilisent des méthodes d'attaque de plus en plus sophistiquées, les organisations de toutes tailles doivent veiller à mettre en œuvre des mesures de sécurité solides capables de détecter et de répondre à ces menaces.
Meilleures pratiques contre les menaces persistantes avancées
Tim Bandos, responsable de la sécurité de l'information chez Digital Guardian
Les techniques d'évasion et d'obscurcissement d'Advanced Malware rendent de nombreuses solutions de sécurité traditionnelles inefficaces pour détecter ou atténuer les attaques APT. C'est pourquoi les équipes de sécurité ont besoin de solutions qui utilisent la détection basée sur le contexte et le comportement pour identifier et arrêter les logiciels malveillants en fonction de leurs activités, et non de leurs signatures. Pour améliorer la détection des attaques APT, les équipes de sécurité doivent surveiller l'augmentation de l'activité des menaces ou d'autres anomalies dans les systèmes. Au niveau du point de terminaison, recherchez les signes avant-coureurs d'une attaque APT, tels que la reconnaissance du réseau, les transferts de fichiers suspects et la communication avec des serveurs de commande et de contrôle suspects.
Les technologies avancées modernes de détection des menaces fournissent un sandboxing et une surveillance pour détecter les attaques APT. Le sandboxing permet au fichier suspect de s'exécuter et d'être observé dans un environnement isolé avant qu'il ne soit autorisé sur le réseau, détectant potentiellement une menace avant qu'elle n'ait une chance d'infiltrer les systèmes et de causer des dommages.
Prévention et protection contre les APT
La prévention et la protection avancées contre les logiciels malveillants doivent se concentrer sur la sécurisation des vecteurs de menace (à la fois les points d'infiltration et d'exfiltration) afin de minimiser les risques d'infection et de vol de données. L'application de contrôles à des vecteurs tels que les e-mails, les connexions Internet, les transferts de fichiers et USB offre une protection contre les infections de logiciels malveillants avancés pour les attaques à un stade précoce, ainsi que l'exfiltration de données en cas de réussite d'une infection par un logiciel malveillant tentant les étapes finales de son attaque. Comme dernière ligne de défense, tous les actifs de données sensibles doivent être chiffrés et toutes les clés doivent être conservées en toute sécurité. Cela garantit que les dommages restent faibles même si le réseau est infiltré et que l'incident n'est pas détecté.
Étant donné que les attaques d'ingénierie sociale sont si répandues, les organisations doivent également fournir à leurs employés une formation approfondie et continue. Les attaques de phishing sont une méthode populaire pour les attaques APT. Il est donc important que les employés connaissent les tactiques utilisées par les attaquants. Avec une approche multicouche de différentes technologies de sécurité et des employés formés, la défense contre les attaques APT peut être considérablement renforcée.
Plus sur Digitalguardian.com
À propos de Digital Guardian Digital Guardian offre une sécurité des données sans compromis. La plate-forme de protection des données fournie dans le cloud est spécialement conçue pour empêcher la perte de données due aux menaces internes et aux attaquants externes sur les systèmes d'exploitation Windows, Mac et Linux. La plate-forme de protection des données Digital Guardian peut être déployée sur le réseau de l'entreprise, les terminaux traditionnels et les applications cloud. Depuis plus de 15 ans, Digital Guardian permet aux entreprises gourmandes en données de protéger leurs actifs les plus précieux sur une base de service SaaS ou entièrement géré. La visibilité des données unique et sans politique et les contrôles flexibles de Digital Guardian permettent aux organisations de protéger leurs données sans ralentir leurs opérations commerciales.