Attaques ciblées
L'attaque ciblée fait référence à un type d'attaque dans lequel les adversaires cherchent à compromettre activement, discrètement, mais pas nécessairement rapidement, la sécurité, la confidentialité et l'intégrité des informations de la cible. Les attaquants qui effectuent ce type d'actions sont généralement des experts - ils disposent des connaissances, de l'expérience et des moyens financiers nécessaires pour continuer - jusqu'à ce qu'ils contrecarrent complètement les défenses et atteignent leurs objectifs.
Orienté campagne
Les attaques ciblées sont généralement des campagnes en cours : bon nombre d’entre elles échoueront, mais les attaquants continueront jusqu’à ce qu’ils trouvent une méthode garantissant un point d’entrée.
En constante amélioration
Au fil du temps, les adversaires amélioreraient leurs outils, tactiques et techniques. Dans la plupart des scénarios, ce sont les utilisateurs (ou les employés) qui sont attaqués, et non les appareils.
Des industries entières sont sous le radar
Habituellement, ce n’est pas seulement une entreprise ou une société, c’est l’ensemble du secteur qui est ciblé. Les attaquants ont des objectifs à long terme et sont généralement motivés par des raisons financières ou politiques.
Les étapes
-
1. Collecte de renseignements (recherche)
Également connue sous le nom de phase de reconnaissance. Les attaquants étudieraient l’environnement informatique (logiciels utilisés), la structure organisationnelle et la gestion. Dans certains cas, ils peuvent surveiller les intérêts des employés sur les réseaux sociaux. Le partage excessif permet fréquemment aux auteurs de menaces d’acquérir des connaissances sur des sujets d’actualité, des événements récents, des problèmes et préoccupations liés au travail, et bien plus encore. Ces informations sont utiles pour personnaliser les attaques.Élément de liste 1 -
2. Accès initialÉlément de liste 2La compromission initiale varie mais inclut généralement le spear phishing, les exploits zero-day et d'autres formes d'ingénierie sociale où les employés seront amenés à exécuter du code malveillant. C’est ce code qui permettra aux attaquants de passer aux autres étapes. Habituellement, un RAT (Remote Access Tool) est particulièrement utile pour l'étape 3 décrite ci-dessous et peut être combiné avec des privilèges au niveau du noyau, car cela permettra aux acteurs malveillants de détruire complètement les défenses.
-
3. Commandement et contrôle (c&c)Élément de liste 3Les attaquants procéderont à l'établissement d'une communication permanente avec les outils qu'ils ont réussi à installer et feront de leur mieux pour masquer cette communication. Ils mèneront une recherche approfondie sur l’hôte compromis et ces informations seront utiles pour l’étape 4 décrite ci-dessous.
-
4. Mouvement latéralÉlément de liste 4En utilisant diverses techniques de découverte et de vidage des informations d’identification, les attaquants pourraient compromettre davantage d’hôtes. Les routines malveillantes décrites dans les étapes précédentes se répètent pour chaque hôte. Cela leur permettra de passer à l’étape 5 décrite ci-après.
-
5. Découverte et exfiltration d'actifsCela se fait généralement en explorant des fichiers et des dossiers. Les attaquants identifient les machines contenant des informations qui pourraient être précieuses : il s'agit généralement de renseignements sur les clients et les projets internes. Les informations sont téléchargées sur les machines des attaquants et l'activité est désormais totalement compromise, laissée à la merci des attaquants.
Que peuvent faire les propriétaires d’entreprise pour garantir que leurs informations restent à l’abri des attaques ciblées ?
S'entraîner, s'entraîner, s'entraîner encore
Assurez-vous que les employés sont formés pour reconnaître le phishing et autres formes d’ingénierie sociale.
Gardez les portes
Investissez dans une sécurité qui protège les portes (Web et courrier électronique). Il est généralement préférable d'utiliser les solutions d'un seul fournisseur, parfaitement intégrées et faciles à gérer.
Investissez dans une sécurité réseau complète
Une sécurité réseau complète qui couvre le blocage C&C et la prévention des intrusions limite considérablement le risque d'attaque réussie.
Plus de bonnes pratiques
- Maintenir le système d'exploitation et les logiciels à jour. Assurez-vous que les employés ne disposent pas de plus de privilèges que ce dont ils ont besoin pour travailler. Évitez la réutilisation des mots de passe d'entreprise. Utilisez toujours des mots de passe forts et une authentification à 2 facteurs. Assurez-vous que les employés ne s'engagent pas dans des activités non liées au travail sur les appareils de l'entreprise. assurez-vous d'avoir mis en place un plan de reprise après attaque, au cas où toutes les défenses échoueraient
Ressources additionnelles
Pour comprendre les attaques en profondeur, il est toujours recommandé de visiter le site Web Mitre. Le cadre ATT&CK, sinon l’ABC, est certainement le D de la cybersécurité. Il décrit les différentes tactiques et techniques ainsi que les groupes APT (Advanced Persistent Threat).