Connaître les cyber-tactiques de l'adversaire

(Pour Horace Danilo Russo)
24/05/21

Toute activité de cybersécurité et de cyberprotection repose sur la détermination d'une frontière à garder (le périmètre de sécurité) et sur l'estimation de la possibilité de subir un dommage lié à des circonstances plus ou moins prévisibles (le l'évaluation des risques).

Le risque doit être évalué en tenant dûment compte de la menace et des vulnérabilités qu'il peut exploiter, des conditions prédisposantes environnantes, de la probabilité de mise en œuvre et de succès du comportement préjudiciable et, enfin, de l'ampleur des pertes pouvant être causées.

Arrêtons-nous ici pour ne considérer que le premier élément - la menace - et essayons d’établir des points fixes qui nous aideront à faire face à une méthode difficile, mais pas impossible, d’étudier notre adversaire. Oui, car les batailles, plus qu'avec les armes, se gagnent grâce à la connaissance de l'adversaire: de son "DÉNA", acronyme traditionnellement connu dans les écoles militaires pour la dislocation, l'entité, la nature et l'attitude de l'ennemi; et en particulier de son TTP, c'est-à-dire de ses tactiques, techniques et procédures opérationnelles.

Aussi astucieux et doué qu'il soit, notre adversaire devra toujours suivre un fil conducteur pour réussir. Et la logique et l'expérience nous permettent de conceptualiser un «chemin de dommages» ou si vous voulez un «cycle de vie de la menace» qui doit être gardé à l'esprit si vous voulez faire une analyse des risques et des investissements de sécurité efficaces et ciblés.

En règle générale, ce cycle commence à partir d'un phase préparatoire, où l'opposant surveille les réseaux, les systèmes d'information et les services informatiques de la victime de l'extérieur avec des activités de reconnaissance: par exemple avec des outils actifs balayage ou Collecte d'informations sur l'hôte, à la recherche de vulnérabilités ou de données détaillées sur les configurations des systèmes périmétriques ou sur les procédures d'accès physique aux data centers et aux postes de travail. Dans cette phase, en outre, l'adversaire acquiert les ressources nécessaires pour mener l'attaque, comme la création de botnet pour lancer des actions de Déni de service ou la location de Virtual Private Server pour garantir l'anonymat.

Après cette phase préparatoire, similaire aux opérations tactiques offensives dans les manœuvres terrestres, il y a le pénétration du mur de défense, généralement au point le plus vulnérable où, avec différentes techniques telles que le vol d'informations d'identification personnelles ou l'installation de malware sur clé USB remise au personnel interne de l'organisation, l'opposant assure une «tête de pont» qui lui permet d'installer des codes malveillants dans le périmètre de sécurité.

Ceci est suivi par leInternationaux codes malveillants avec lequel l'adversaire lance l'attaque et / ou garantit le contrôle d'infiltration (et l'anonymat peut durer des mois ou des années en tant que cellule dormante) d'une partie du système, du réseau ou du service pour mettre en œuvre d'autres préparatifs et stratégies de renseignement et de compromis.

À ce stade, l'adversaire peut mener des tactiques de persistance, visant précisément à maintenir la porte d'accès, la "tête de pont" dans le périmètre de sécurité malgré couper comme le redémarrage ou la modification des informations d'identification; de les déplacements verticaux et élévations de privilèges, avec lequel il essaie de garantir des privilèges d'accès de plus haut niveau, tels que ceux avides d'administration système; de évasion de la défense, avec lequel il essaie de se déguiser dans les activités de surveillance et de détection du système de sécurité; de accès aux informations d'identification, visant à voler les informations de connexion; de découverte, avec lequel il observe - cette fois de l'intérieur - l'environnement, en orientant au mieux ses stratégies d'attaque ou en révisant ses objectifs; de mouvement latéral avec lequel il se développe, en acquérant le contrôle de segments de réseau contigus ou de partitions de serveurs à accès contrôlé ou de systèmes d'information distants; de collection avec lequel il identifie, analyse et collecte les informations qu'il souhaite voler; de C2 avec lequel il établit des canaux de communication fantômes pour garantir la commande et le contrôle du système compromis de l'extérieur; et enfin les tactiques de exfiltration ou impact selon que l'objectif de l'attaque est de voler des informations ou de perturber le fonctionnement du système; ou les deux, comme dans le cas de l'infâme ransomware plus avancé qui extrait une copie des données pour menacer sa publication sur le Darkweb, en même temps crypter et rendre indisponible une partie ou la totalité de la mémoire qui les contient.

Pour chacune de ces tactiques, il existe des techniques et des procédures de piratage subtiles et avancées, ainsi que des algorithmes de pénétration, exfiltration et impact spécialement développé par les cybercriminels.

Heureusement, cependant, ces tactiques sont connues du monde du renseignement et de la cybersécurité qui à son tour a développé des stratégies de contre-mesures en termes de protection, de surveillance, de détection, d'atténuation et de réponse. Nous en parlerons dans un prochain article.

Pour en savoir plus:

Défense en ligne: "Quelle est la chaîne de cyber-tuerie?"

https://doi.org/10.6028/NIST.SP.800-30r1

https://www.dni.gov/index.php/cyber-threat-framework

https://attack.mitre.org/