[Chronique] Notre chroniqueur Michel Juvin a mis en commun les bonnes pratiques de ses pairs experts en cybersécurité pour présenter une synthèse des actions à mener pour réduire la surface d’attaque d’une organisation. Tour d’horizon.

Cette chronique, dédiée aux experts et directeurs cybersécurité, recense les bonnes pratiques et idées de nos pairs pour identifier le plus tôt possible un attaquant ou encore éviter qu’il ne trouve une faille dans nos défenses ; l’objectif étant de réduire la surface d’attaque (ASM/Attack Surface Management) de l’entreprise. La force de notre communauté des experts et directeurs cybersécurité s’appuie sur le partage de bonnes pratiques que j’ai consolidé dans cette chronique. Je les remercie sincèrement de la confiance qu’ils m’ont accordée.

Les collègues de la veille technologique du CESIN (Didier et Olivier) proposent d’adresser ce sujet de la détection d’une attaque sur les quatre axes suivants : stratégique, tactique, opérationnel et technique détaillée ci-après.

L’axe stratégique

• La threat intelligence (qui elle-même adresse aussi les tactiques, les techniques et les opérations),
• La réduction de la surface d’attaque,
• La surveillance des habitudes des employés et administrateurs des SI.

L’axe tactique

• Processus de surveillance des « presque accidents » ou comportement à risque,
• Détection des fuites de données sur Internet.

L’axe opérationnel

• Organisation de la gestion des incidents,
• Détection des évolutions des cartographies réseau et applicative,
• Identification de toutes les IP, noms de domaines, … présentant un risque.

L’axe technique

• Détecter le plus tôt possible l’intrus et le dérouter,
• Diminuer le risque d’intrusion avec la matrice du MITRE,
• Noyer ou diluer l’infrastructure de l’entreprise pour décevoir l’attaquant,
• Concevoir des scénarios de réponse à incidents et mettre à jour les IOC,
• Protéger son AD en Tiers (MS).

L’axe stratégique

La threat intelligence

Le premier axe de réflexion est centré sur l’analyse des menaces rapportées par les grands organismes d’analyse. Hormis les flux et abonnements aux réseaux sociaux spécialisés publiant des informations sur l’activité des organisations cybercriminelles, il est intéressant de s’inscrire à des sites comme le CISA ou suivre les publications du CESIN et la veille mensuelle. L’expert ou directeur cybersécurité peut aussi faire appel à une des sociétés de services spécialisée dans ce domaine. En surveillant toutes les publications issus des laboratoires de recherche mondiaux sur les cyber-attaques, ce fournisseur de service peut faire un premier travail de sélection de l’activité des organisations cybercriminelles sur deux axes : le premier est celui lié au nom l’entreprise, son activité, sa position géographique, sa culture (idéologie), sa communication externe, ses parts de marché, le positionnement de la concurrence, et le deuxième, l’activité des cybercriminels (mode et technologies / tactiques d’attaque) et les périmètres de leurs attaques.

D’autres sociétés de services spécialisées proposent une surveillance des identifiants des employés de l’entreprise sur le Darknet pour voir si ces identifiants n’ont pas été référencés sur les sites de ventes d’accès que l’on appelle les IAB (Inital Access Brokers). Ces identifiants d’employés sont principalement ceux qui jouent un rôle spécifique dans l’entreprise : les membres de la direction ou encore les principaux managers et surtout les administrateurs et gestionnaires des systèmes d’information ; mais il ne faut pas oublier que tous les accès des employés représentent potentiellement, une porte d’entrée. Cette surveillance des comptes doit être faite très régulièrement pour mettre en place rapidement les contre-mesures dans le SI interne.

La réduction de la surface d’attaque

Cette stratégie consiste dans l’établissement d’une cartographie précise de ce qui est visible et accessible depuis l’externe y compris les informations sous-traitées auprès de partenaires. L’objectif est de s’assurer que ce qui est ouvert (accessible depuis Internet) est bien nécessaire à l’utilisation des systèmes d’information et sous le contrôle d’un responsable.

La production d’une cartographie technique et applicative est beaucoup plus complexe qu’il n’y paraît et doit impérativement être mise à jour régulièrement et auditée pour éviter qu’il ne reste des zones sans contrôle dans les SI. Dans un deuxième temps, il faut intégrer une analyse des vulnérabilités pour s’assurer que les derniers correctifs (patchs) de sécurité ont bien été appliqués et dans un délai fonction de la criticité.

La cartographie technique et applicative doit aussi prendre en compte les morceaux du système d’information qui se trouvent hébergés dans des cloud externes. La « supply-chain » offre une surface d’attaque que les organisations criminelles savent rapprocher de leur cible. L’approche des organisations cybercriminelles devient « data-centric » car tout est dans les cloud !

Il existe aussi des solutions techniques pour cacher voire rendre invisible sa surface d’attaque à l’exemple de https://snowpack.eu/ (présent au ECW Rennes et CES LV), qui propose de masquer l’infrastructure en diluant son exposition dans un nuage (de neige). Cette technologie intéressante va morceler et faire passer les échanges sur de multiples canaux différents d’Internet pour les recomposer à destination. Il faut encore en estimer l’overhead (surcoût à l’utilisation) dans le cadre d’un POC (Proof of Concept ; mise en condition opérationnelle du logiciel) pour l’installer.

Une autre solution française qui reçoit aussi beaucoup d’attention de nos pairs est www.MokN.io. Cette solution utilise la technologie des HoneyPots pour leurrer les attaquants et les identifier le plus tôt possible ; par exemple lorsqu’ils testent une identité achetée sur le darknet via les IAB. Un tableau de bords permet de réagir rapidement et créer un leurre pour anticiper et décevoir les attaquants. Le Gartner propose une liste de sociétés spécialisées dans l’ASM (Attack Surface Management).

Surveillance des habitudes des employés et administrateurs des SI

En s’appuyant sur une solution de protection des postes de travail de type EDR* (Endpoint Detection and Response), ces solutions vont enregistrer les habitudes des employés et détecter un comportement différent qui pourrait ne pas provenir de l’employé lui-même. De cette manière, avant même qu’un intrus ne puisse commencer sa recherche sur le réseau, il pourrait être identifié et bloqué sur place parfois au détriment de l’expérience utilisateur si celui-ci est bien l’auteur de l’action. Dans le domaine industriel, l’automatisation de la réponse à incident (càd : blocage) est rarement mise en œuvre pour éviter de bloquer la production !

N’oublions pas que l’Humain est l’une des cibles préférées des hackers ; les attaques par phishing sont à plus de 83% (en 2022) d’après Proof point, le premier point d’entrée dans les entreprises. L’un des axes de la prévention de l’attaque est donc de former les utilisateurs (et en particulier ceux à « risques » : ayant des accès privilégiés) aux différents types d’attaque par phishing et alerter les services supports / assistance dès qu’ils identifient un mail de phishing ou une tentative d’usurpation d’identité d’une personne de confiance.

L’axe tactique

Processus de surveillance des « presque accidents »

Largement pratiquée dans le domaine industriel, un « presque accident » permet d’identifier un comportement qui mènerait à un risque avéré ou que les conditions d’une attaque est présente. Transposé dans le domaine administratif, on peut identifier un risque d’accident si lors d’un départ en congés, le comptable est remplacé par une personne temporaire laissée seule et ne connaissant pas les toutes procédures. Souvent oubliées, ce sont des actions que l’on omet de mentionner dans l’enregistrement des faits car il n’y a pas de conséquence sur le fonctionnement des SI. Il faut faire l’effort de les identifier et les catégoriser pour qu’elles soient répertoriées dans la base de données des incidents. Dans un deuxième temps, une analyse fera apparaître les comportements à risque et donner des indications sur ce qu’il faut faire pour éviter qu’ils ne se reproduisent. Une bonne pratique est une revue toutes les deux semaines des tickets adressés par le SOC pour les identifier ou encore, une analyse de risques par l’audit interne par exemple.

Détecter les fuites de données sur Internet

Le premier axe est de chiffrer les données sensibles après les avoir classifiées ; puis d’autoriser l’accès sur vérification de l’identité du demandeur ; cela évite qu’un document confidentiel ne soit accédé hors du périmètre autorisé de l’entreprise.

Le deuxième axe est une veille technologique que doit faire l’expert cybersécurité. Nous avons la chance d’avoir un certain nombre de « veilleurs » et de sociétés spécialisées dans la veille sur Internet et le darknet qui rassemblent pour nous les fuites de données et les scénarios d’attaque « réussies ». Valéry Marchive avec le média LeMagIT est un flux qu’il faut impérativement recevoir régulièrement dans ses inputs quotidiens. Dans le même ordre d’idée, il faut suivre régulièrement les publications du CERT-FR ainsi que celles relatives à l’activité de son entreprise (CERT aviation, entreprises de défense, … et celles des fournisseurs en cybersécurité). En ces temps de cyberguerre l’occident contre la Russie, il est nécessaire de suivre régulièrement le CERT ukrainien. Tous ces organismes référencent les techniques et tactiques d’intrusion sur les SI et indiquent les moyens existants pour bloquer ces attaques. La dernière version du CVSS V4 indique un scoring des vulnérabilités et leurs exploitations potentielles par les organisations cybercriminelles. De même le CISA KEV V4 apporte une aide précieuse pour cataloguer les vulnérabilités dont il faut protéger l’infrastructure de l’entreprise.

L’axe opérationnel

L’organisation de la gestion des incidents (SOC)

Le processus de gestion des incidents permet d’adresser les problèmes rencontrés par les utilisateurs ainsi que ceux liés à l’infrastructure. La consolidation de ces informations permet d’identifier une technique d’attaque sur un élément clef de l’infrastructure. En effet, certains de ces éléments sont régulièrement « testés » (Bastion, Firewall, DNS, serveur d’authentification, …) par des tentatives externes sans pour autant constater l’exploitation d’une faille de sécurité. L’objectif est d’établir une corrélation entre une tentative d’intrusion et les exemples de tentatives d’intrusion constatées par les autres entreprises. Il suffira ensuite de catégoriser dans la base de données de la gestion des incidents qu’il s’agit potentiellement d’une cyber-attaque et, un expert technique spécifique sera alors dédié à l’analyse de cet incident et le documentera en conséquence. La consolidation des événements dans un SIEM facilitera cette analyse en traitant les contraintes de volume des attaques.

Détection des évolutions de la cartographie du réseau et des applications

Pour anticiper une potentielle vulnérabilité dans le système dû à un ajout de composant qui n’aurait pas été sécurisé avant installation, il faut mettre en place une recherche de mise à jour dans l’architecture du réseau ainsi que celle des applications. Pour cela, il faut analyser les flux des utilisateurs vers les applications ainsi que les flux entre applications et vérifier tout ce qui est nouveau et s’assurer que des analyses de sécurité ont bien été appliqués. L’objectif n’est pas simple peut aussi identifier des systèmes d’informations non officiels, de type Shadow-IT, qui ouvrirait potentiellement une faille de sécurité dans l’écosystème des infrastructures.

Sur le Cloud, on doit aussi identifier les mauvaises configurations et composants applicatifs obsolètes ; comme dans les containers/kubernetes, les vulnérabilités du code développé et mises en production (CI/CD). Aavec l’aide de techniques comme CSPM (Cloud Security Posture Management), CWPP (Cloud Workload Protection Plateform) ou encore CNAPP (Cloud Native Application) on doit diminuer le risque d’erreur. Enfin, Les API sont aussi ciblées par les organisations cybercriminelles et Thalès (Imperva) produit une solution intéressante de sécurisation des API.

Identifier les adresses IP à risque

Une autre approche est d’identifier toutes les adresses IP à risque et les bloquer au niveau des firewalls de l’entreprise. Généralement, une fois identifiée, ces informations sont aussi consolidées par les CERT. Mais il faut suivre les évolutions car certaines adresses IP redeviennent « saines ». Une société française a conçu une solution en open source pour collecter toutes les adresses IP (V4 et V6) malveillantes. Elle propose un service gratuit pour compléter ses outils, bloquer un intrus et un service payant de threat intelligence avec des explications sur la nature des tentatives d’intrusion détectées.

L’axe technique

Détecter le plus tôt possible un intrus et le dérouter

Même si c’est un vœu pieu, il faut réussir à identifier toutes les traces physiques de tentatives d’intrusion. Appelé « deception », leurres ou honeypot, ces techniques consistent en des pièges déposés sur des points de passage de l’infrastructure ; le seul objectif est d’indiquer au support informatique qu’un accès a été effectué sur ce type de serveur. Ces serveurs qui sont souvent des Raspberry PI (faciles à configurer et faibles en consommation d’énergie) n’ont aucune fonction dans le SI ; à l’exception de rapporter un accès qui est donc frauduleux. On dénombre jusqu’à plusieurs dizaines de ces machines physiquement implantées dans les réseaux des grandes entreprises.

De même, un faux serveur DNS fictifs (de type pot de miel) peut-être placé en entrée du réseau, il apportera aussi une indication d’un accès anormal dès le premier contact d’un hacker. Les leurres peuvent être aussi de faux serveurs de fichiers vont faire croire à l’attaquant qu’il a atteint des informations sensibles ; en choisissant des noms de fichiers de type « confidentiel » ou « secret ». On trouvera plus détail dans l’article de Wavestone sur les solutions de « Deceptive Technology » et dans l’article de eSecurity Planet ; certaines de ces solutions peuvent être installées aussi dans les environnements Cloud externes.

Diminuer le risque d’instruction avec la matrice du MITRE

C’est aussi limiter la possibilité d’une première intrusion. A partir de la matrice du MITRE ATT&CK®, certains proposent de réduire au maximum tous les risques identifiés dans les premières colonnes de la matrice. De plus, le MITRE a développé une nouvelle matrice spécifiquement dédiée à la prévention de la menace.

Noyer son infrastructure

L’idée est de distraire l’attaquant en le noyant dans une infrastructure dont il ne verrait pas « le bout » en rebondissant de serveurs virtuels en serveurs virtuels.

Concevoir des playbooks et mettre à jour les IOC

Il y a plusieurs possibilités de détecter un comportement anormal au sein de l’infrastructure ou encore d’accès illicite. L’une des actions qu’il faut mettre en place est la détection de scénarios d’attaque connus et partagés par les CERT aux équipes techniques en interne. Des fichiers anormalement modifiés, des séquences de commandes, de nouveaux paramètres, une modification de droits d’accès, … autant de séquence d’attaque à surveiller et à paramétrer pour y répondre rapidement après les avoir identifiés.

Il ne faut pas oublier que lorsqu’un nouveau playbook est publié par un CERT, le ou les organisations cybercriminelles qui l’utilisaient seront rapidement au courant. Ils suivent aussi l’actualité !! De fait, c’est avec une périodicité hebdomadaire qu’il faut vérifier si les CERT n’ont pas diffusé une mise à jour de ces informations et l’appliquer le plus rapidement possible. A titre d’exemple, les crypto-mineurs font très régulièrement des mises à jour de leurs attaques pour conserver un avantage et brouiller les pistes.

La protection des accès à l’Active Directory en tiers

On constate que les attaques convergent sur l’AD. Pour cela, Microsoft propose depuis 2008 de mettre en place une gestion en trois-tiers de cette infrastructure. Le récent guide l’ANSSI explique les différentes répartitions et règles de base qui permettront de limiter les accès au sein même de l’AD. Pour chaque tiers, il faut définir des restrictions d’accès et des privilèges spécifiques. Le principe est :

• Tiers 0 de MS tout ce qui est relatif à l’AD (dont l’AD lui-même) et les comptes à privilèges,
• Tiers 1 tout ce qui concerne les serveurs,
• Tiers 2 tout ce qui concerne les postes de travail.

Il existe des solutions techniques qui vont permettre de contrôler la mise en place de cette nouvelle répartition de MS. Certains éditeurs proposent aussi de bonnes solutions : Tenable (ex Alsid) ou Pinkcastle ou encore Semperis.

Une sauvegarde efficace des données

C’est une évidence mais il ne faut pas oublier de tester ses sauvegardes. Il existe aussi une technologie appelée WORM (write once read many) qui est très efficace contre les attaques visant les sauvegardes.

Combiner techniques et solutions pour diminuer les risques

Il faut s’appuyer sur différentes techniques et mettre en place des solutions techniques innovantes. L’une des difficultés est de connecter tous les logiciels et techniques d’identification d’un attaquant à une console centrale de type SIEM lui-même connecté à un SOAR (automatisation de la réponse à incident) et en amont un EDR pour analyser et bloquer dès que possible l’attaquant. A titre d’exemple, des éditeurs proposent une bonne gestion de l’ASM (Attack Surface Management) ; les plateformes comme VisionOne de Trend Micro, Tenable One et Identity Deception de Proofpoint donnent plusieurs axes de suivi de sa surface d’attaque (Cloud Posture, Identity Posture) et un tableau de bords de synthèse qui oriente l’expert cybersécurité rapidement sur les actions à engager pour réduire la menace. Enfin, il ne faut pas oublier d’effectuer des exercices de test de réponse à incident de l’ensemble de son exposition aux risques d’attaque et en profiter pour évaluer les capacités d’alertes que le SOC doit remonter sur ces menaces.

Comme on peut le voir il y a beaucoup d’actions à faire pour diminuer le risque d’une attaque réussie en provenance d’une organisation cybercriminelle ; c’est une combinaison de toutes ces techniques et solutions qui renforceront l’entreprise dans le contexte actuel et avec une organisation efficace qui, sous la direction de l’expert ou directeur cybersécurité expérimenté, va mettre en place des procédures de supervision de l’exposition aux risques de l’entreprise.

*Choisir un EDR qui intègre une analyse du comportement des utilisateurs UBA (User Behavior Analytic)