DIGITAL SOLUTIONS

Briser la cyber kill chain

C’est parce que la menace évolue sans cesse et que les cybercriminels peuvent en permanence faire preuve d’une grande créativité qu’il est aujourd’hui si difficile de protéger ses systèmes informatiques.

September 26, 2016

fredericlavendhomme

Frédéric Lavend’Homme

C’est parce que la menace évolue sans cesse et que les cybercriminels peuvent en permanence faire preuve d’une grande créativité qu’il est aujourd’hui si difficile de protéger ses systèmes informatiques. Par Sébastien Lambotte.

Des attaques de plus en plus sophistiquées

De nombreux systèmes sont actuellement infectés par des malwares dont on ignore tant la forme que les actions qu’ils mènent. De quoi donner des sueurs froides aux responsables de la sécurité des systèmes informatiques de la plupart des entreprises.

« Aujourd’hui, il n’a jamais été aussi simple de créer de nouveaux malwares », assure Rutger Truyers, Security Engineer Sales au sein de Check Point. La société éditrice de softwares dans le domaine de la sécurité informatique était invitée à partager son point de vue et évoquer ses solutions lors d’une troisième table-ronde sur le thème de la cyber-sécurité proposée par Dimension Data Luxembourg. « Les cybercriminels opèrent avec des stratégies et des outils toujours plus sophistiqués. Chaque attaque est de plus en plus documentée, préparée, ciblée, poursuit-il. Mais toutes répondent à un même schéma, composé de plusieurs phases clés par lesquelles doivent passer les cybercriminels. »

Les 7 étapes de la cyber kill chain

L’exemple de l’hôpital victime d’un ransomware permet d’illustrer les 7 étapes qui composent la cyber kill chain.

  • Reconnaissance: collecte par les cybercriminels de données utiles pour servir l’attaque. Ici, des données de médecins externes à l’hôpital, qui échangent régulièrement avec l’institution.
  • Weaponization : le choix du malware et du mode opératoire pour mener l’attaque. Dans le cas de l’attaque de l’hôpital, il s’agissait d’un PDF infecté.
  • Delivery : l’envoi du fichier infecté. Ici, par le biais d’un faux e-mail de médecins contenant le fichier PDF.
  • Exploitation : l’ouverture du fichier infecté par la victime.
  • Installation : l’installation de la menace au cœur du système. Il s’agit dans ce cas précis de clés d’encryption.
  • Command & Control : l’établissement d’un command & control permettant d’activer la menace à distance.
  • Action on objectives : l’activation de la menace, en l’occurrence une encryption progressive de l’ensemble des données de l’hôpital.

Ces étapes sont systématiquement présentes, quelle que soit l’attaque, que la finalité soit d’encrypter des données ou d’en extraire. « Le défi, pour les responsables de la sécurité informatique, est de casser cette chaine, précise Frédéric Lavend’Homme, Security Business Development Manager chez Dimension Data. Des outils existent et des démarches peuvent être mises en place. Il est important de noter que l’un des principaux enjeux est d’intervenir avant que les systèmes soient effectivement compromis, autrement dit avant l’activation du command & control. Après, il est en effet plus difficile de réagir. »

Analyser et activer le fichier dès réception

Si la détection est assez aisée pour toutes les menaces aujourd’hui connues, face à l’inconnu en revanche, comment procéder ? « Des outils permettent par exemple une analyse, au sein d’un environnement isolé, de chaque fichier entrant, au moment de la phase d’exploitation. C’est ce qu’on appelle le sandboxing », précise Rutger Truyers. Le fichier est placé en quarantaine, avant d’être décortiqué selon de nombreux vecteurs. La pratique du sandboxing classique , même si très efficace, n’arrête toutefois pas les cybercriminels plus déterminés, qui trouvent des moyens de bypasser le sandboxing. C’est la raison pour laquelle Checkpoint SandBlast utilise également des technologies uniques de détection proactive au niveau de la CPU (CPU level prevention) et d’extraction des menaces (Threat Extraction) qui empêchent pro activement les attaques d’atteindre les utilisateurs.

Ces techniques interviennent au moment du delivery, avant même que les cyber-criminels n’aient le temps de mettre en œuvre toute démarche visant à passer à travers les mailles du filet, en obligeant le fichier à s’activer et en observant ce qui s’opère », explique Rutger Truyers.

Cet outil en est un parmi d’autres au sein de la gamme de solutions offerte par Check Point. En effet, l’éditeur offre, en mode cloud ou on premise, un large éventail d’outils apportant une réponse à chaque étape de la chaîne d’attaque.

 

Watch video

In the same category