Back

DIGITAL SOLUTIONS

Briser la cyber kill chain

C’est parce que la menace évolue sans cesse et que les cybercriminels peuvent en permanence faire preuve d’une grande créativité qu’il est aujourd’hui si difficile de protéger ses systèmes informatiques.

September 26, 2016

fredericlavendhomme

Frédéric Lavend’Homme

C’est parce que la menace évolue sans cesse et que les cybercriminels peuvent en permanence faire preuve d’une grande créativité qu’il est aujourd’hui si difficile de protéger ses systèmes informatiques. Par Sébastien Lambotte.

Des attaques de plus en plus sophistiquées

De nombreux systèmes sont actuellement infectés par des malwares dont on ignore tant la forme que les actions qu’ils mènent. De quoi donner des sueurs froides aux responsables de la sécurité des systèmes informatiques de la plupart des entreprises.

« Aujourd’hui, il n’a jamais été aussi simple de créer de nouveaux malwares », assure Rutger Truyers, Security Engineer Sales au sein de Check Point. La société éditrice de softwares dans le domaine de la sécurité informatique était invitée à partager son point de vue et évoquer ses solutions lors d’une troisième table-ronde sur le thème de la cyber-sécurité proposée par Dimension Data Luxembourg. « Les cybercriminels opèrent avec des stratégies et des outils toujours plus sophistiqués. Chaque attaque est de plus en plus documentée, préparée, ciblée, poursuit-il. Mais toutes répondent à un même schéma, composé de plusieurs phases clés par lesquelles doivent passer les cybercriminels. »

Les 7 étapes de la cyber kill chain

L’exemple de l’hôpital victime d’un ransomware permet d’illustrer les 7 étapes qui composent la cyber kill chain.

  • Reconnaissance: collecte par les cybercriminels de données utiles pour servir l’attaque. Ici, des données de médecins externes à l’hôpital, qui échangent régulièrement avec l’institution.
  • Weaponization : le choix du malware et du mode opératoire pour mener l’attaque. Dans le cas de l’attaque de l’hôpital, il s’agissait d’un PDF infecté.
  • Delivery : l’envoi du fichier infecté. Ici, par le biais d’un faux e-mail de médecins contenant le fichier PDF.
  • Exploitation : l’ouverture du fichier infecté par la victime.
  • Installation : l’installation de la menace au cœur du système. Il s’agit dans ce cas précis de clés d’encryption.
  • Command & Control : l’établissement d’un command & control permettant d’activer la menace à distance.
  • Action on objectives : l’activation de la menace, en l’occurrence une encryption progressive de l’ensemble des données de l’hôpital.

Ces étapes sont systématiquement présentes, quelle que soit l’attaque, que la finalité soit d’encrypter des données ou d’en extraire. « Le défi, pour les responsables de la sécurité informatique, est de casser cette chaine, précise Frédéric Lavend’Homme, Security Business Development Manager chez Dimension Data. Des outils existent et des démarches peuvent être mises en place. Il est important de noter que l’un des principaux enjeux est d’intervenir avant que les systèmes soient effectivement compromis, autrement dit avant l’activation du command & control. Après, il est en effet plus difficile de réagir. »

Analyser et activer le fichier dès réception

Si la détection est assez aisée pour toutes les menaces aujourd’hui connues, face à l’inconnu en revanche, comment procéder ? « Des outils permettent par exemple une analyse, au sein d’un environnement isolé, de chaque fichier entrant, au moment de la phase d’exploitation. C’est ce qu’on appelle le sandboxing », précise Rutger Truyers. Le fichier est placé en quarantaine, avant d’être décortiqué selon de nombreux vecteurs. La pratique du sandboxing classique , même si très efficace, n’arrête toutefois pas les cybercriminels plus déterminés, qui trouvent des moyens de bypasser le sandboxing. C’est la raison pour laquelle Checkpoint SandBlast utilise également des technologies uniques de détection proactive au niveau de la CPU (CPU level prevention) et d’extraction des menaces (Threat Extraction) qui empêchent pro activement les attaques d’atteindre les utilisateurs.

Ces techniques interviennent au moment du delivery, avant même que les cyber-criminels n’aient le temps de mettre en œuvre toute démarche visant à passer à travers les mailles du filet, en obligeant le fichier à s’activer et en observant ce qui s’opère », explique Rutger Truyers.

Cet outil en est un parmi d’autres au sein de la gamme de solutions offerte par Check Point. En effet, l’éditeur offre, en mode cloud ou on premise, un large éventail d’outils apportant une réponse à chaque étape de la chaîne d’attaque.

 

Watch video
Partager
Tweeter
Share

In the same category

November 21, 2024
LetzTrail, l’app qui apporte une touche “sociale” à vos randonnées

Application dédiée aux amateurs de randonnée, de course à pied et de vélo, LetzTrail leur propose de nombreux tracés enrichis d’informations utiles pour se ravitailler ou profiter d’un bon moment entre amis ou en famille, à une terrasse ou autour d’une bonne table. L’application, née d’une idée de Fred Giuliani et de Philippe Lassine, a été lancée fin juin et a fait plus de 3.000 adeptes en quelques semaines seulement.

November 14, 2024
La gestion des données un enjeu clé à démystifier

Les données sont le moteur de toutes nos entreprises. Les valoriser implique toutefois de définir un cadre précis, afin de garantir une exploitation pertinente et conforme à la réglementation en vigueur. La gestion des données, c’est à la fois une mise en place d’une gouvernance performante et le déploiement d’outils adaptés comme nous l’expliquent les experts d’EDDA.

October 11, 2024
Le Cloud, comme levier de sécurisation de son environnement

À travers sa plateforme Infinigate Cloud, le distributeur spécialisé facilite le déploiement et la gestion de solutions de sécurité informatique autant qu’il conseille et aide les entreprises, avec l’appui de ses partenaires, à renforcer le contrôle de leurs données.