Professional Documents
Culture Documents
Menaces persistantes
avances: se dfendre
delintrieur
Russel Miller
CATechnologies, Gestion de la scurit
ca.com/fr
Section1: Dfi
Menaces persistantes avances: bien loin de la routine
Section2: Solution 7
Dfense approfondie
Section3: Avantages 14
Rduisez les risques
Section4:14
Conclusions
Section5:15
Rfrences
Section6:15
propos de lauteur
ca.com/fr
Rsum
Dfi
Assurer la scurit dune organisation est un dfi de plus en plus difficile. Les attaques toujours plus complexes et
laugmentation des APT (Advanced Persistent Threats), un type dattaque cible, ont fait prendre conscience aux
organisations de leur vulnrabilit encas dattaque. Des socits telles que RSA Security, Google et Northrop Grumman
ont dcouvert quelles taient la cible dAPT. Ne pas avoir t victime dune faille grave par le pass ne garantit
aucunement la scurit future. Les organisations spcifiquement cibles par une APT font face des dfis inhabituels
pour les administrateurs de scurit, par exemple ltalement des actions sur plusieurs mois ou annes pour viter
toute dtection. Limpact des failles est galement toujours plus important; cest l un vritable dfi pour les
dirigeants.
Solution
Il ny a pas de remde miracle pour se dfendre contre les APT. Plusieurs couches de protection doivent tre
combines pour rduire la fois le risque de faille et pour attnuer limpact en cas de faille.
Lapproche initiale de dfense contre les attaques cibles reposait sur la scurisation du primtre laide de pare-feu
et de systmes de dtection des instructions, permettant de dceler et de bloquer tout comportement anormal. Cette
approche peut tre efficace contre certains types dattaques, mais non contre tous les types de vecteurs dattaque, tels
que le spear phishing (attaques avec phishing dirig) et lingnierie sociale.
Si aucun produit de scurit (technologique ou autre) ne peut totalement protger une organisation contre les APT, les
solutions de scurit interdomaines actuelles peuvent aider les organisations se protger mieux que jamais.
Fonctionnant gnralement en silos, la gestion des identits privilges, le contrle et la protection des informations
et la scurit de linfrastructure interne peuvent dsormais tre combins pour permettre aux organisations dassurer la
scurit de leur infrastructure informatique et de leurs data centers, de faon complmentaire. CATechnologies parle
dintelligence didentit et de donnes.
Avantages
Cest en analysant les APT et en se protgeant que les organisations peuvent rduire les risques si elles sont la cible
spcifique dune attaque. Ces risques peuvent tre dordre financier, mais galement concerner la rputation, la bonne
marche des oprations, ainsi que les aspects juridiques et rglementaires.
Si la scurit dployable contre les APT est considre sous un angle holistique, lorganisation se protge du mme
coup contre les attaques automatises, moins sophistiques, y compris internes. Une approche globale de la scurit
prsente bien dautres avantages, comme lamlioration de la conformit, la possibilit dadopter des services Cloud,
lerenforcement de la scurit de la virtualisation et la rduction des cots.
ca.com/fr
Section1: Dfi
ca.com/fr
tapes
Une menace persistante classique se compose des quatre tapes suivantes:
Illustration A.
Quatre tapes dune
menace persistante
avance
Reconnaissance
Entre initiale
lvation des
privilges et
expansion
du contrle
Exploitation
continue
1. Reconnaissance: enqute sur les vulnrabilits dune organisation. Cela inclut une recherche basique, notamment
des requtes de domaine, mais aussi des analyses portant sur les ports et les vulnrabilits.
2. Entre initiale: exploitation dune faiblesse pour ouvrir une brche dans le rseau cible. Ceci peut tre effectu
grce des mthodes techniques sophistiques ou des techniques telles que le spear phishing (attaques avec
phishing dirig), permettant un accs rgulier un systme unique. Lingnierie sociale, ou exploitation des
personnes, constitue galement une mthode courante daccs.
3. lvation de privilges et expansion du contrle: lorsque lattaquant pntre dans le primtre rseau, il tente
dacqurir des privilges et un contrle accrus sur des systmes critiques. Cette tape peut galement impliquer
linstallation doutils de type porte drobe pour simplifier les prochains accs au rseau.
4. Exploitation continue: une fois le contrle tabli, lattaquant peut exporter des donnes sensibles
de faon continue.
Les troisime et quatrime tapes peuvent se drouler sur plusieurs annes, pour rduire le risque de dtection.
ca.com/fr
Objectifs
Cibles
Du fait de leur nature cible, les APT ont souvent des objectifs
diffrents de ceux des pirates Internet traditionnels, notamment
un intrt particulier pour les points suivants, et non pour un
simple vol ou des dgts damateurs:
Certains types prcis dorganisations sont plus sujets aux APT car
la menace est souvent lie un financement tatique ou
politique:
Manipulation politique
Espionnage militaire
Espionnage financier
Espionnage industriel
Organisations politiques
Extorsion financire
Institutions financires
Agences gouvernementales
Entreprises technologiques
Exemples
RSA
En2011, RSASecurity a dclar avoir t victime dune APT4. Les attaquants ont obtenu lentre initiale en trompant un
utilisateur interne afin quil ouvre un courriel avec en pice jointe une feuille de calcul exploitant une vulnrabilit
jour zro dans Adobe Flash. partir de l, ils ont augment leurs privilges, install des portes drobes et pris le
contrle dautres systmes.
Les attaquants ont alors t en mesure daccder aux systmes RSA hbergeant des informations lies leurs jetons
dauthentification deux facteurs ou SecurID. Ces informations pouvaient inclure des valeurs de dpart, utilises
par RSA avec des jetons pour gnrer des mots de passe temporaires, changeant toutes les 60 secondes. Si le code
source lui-mme tait vol, les attaquants pouvaient chercher des vulnrabilits dans le dploiement SecurID ou dans
le chiffrement.
Opration Aurora
Opration Aurora est une APT qui a cibl de nombreuses multinationales, telles que Google, Adobe, Rackspace et
JuniperNetworks. La presse a rvl que de nombreuses autres socits auraient t cibles, notamment Yahoo,
NorthropGrumman, MorganStanley, Symantec et DowChemical.5 Le Politburo chinois aurait dirig les attaques dans le
cadre dune campagne de grande envergure contre les tats-Unis et dautres pays occidentaux.6
ca.com/fr
Section 2: Solution
Dfense approfondie
Llment cl pour se dfendre contre les APT est une dfense approfondie. Avec suffisamment de temps, un attaquant
dtermin peut ouvrir une faille dans la plupart des primtres rseau. Une stratgie de dfense efficace permet de
remplir les objectifs suivants:
1. Entraver laccs initial.
2. Rduire le risque dlvation de privilges en cas de compte compromis.
3. Limiter limpact potentiel li un compte compromis, mme sil sagit dun compte forts privilges.
4. Dtecter les comptes compromis et toute activit suspecte de faon anticipe dans le processus.
5. Recueillir des informations pratiques dans le cadre dune enqute, afin de pouvoir identifier les dommages,
lemoment o ils sont survenus et leur auteur.
Assurer la sret du primtre grce des pare-feu et des systmes de dtection des intrusions aux frontires du
rseau nest efficace que pour les points1 et4. Il est donc ncessaire de mettre en place une stratgie de protection
plus active.
Dtection anticipe
Souvent, les failles sont dtectes aprs que lattaquant a russi accder au rseau interne et provoqu des dgts ou
vol des volumes importants de donnes. ce stade, la dfense contre les APT implique un processus coteux de
contrle, de nettoyage et de supervision continue des dommages. La cl dune protection abordable et grable contre
les APT consiste dtecter les menaces aussi tt que possible. Durant la phase initiale dune attaque, lorsque
lattaquant met un pied dans le rseau, lorganisation peut utiliser diverses techniques pour dtecter la faille, y compris
la sparation et lexternalisation de la scurit systme par rapport ladministration systme, la prvention et la
dtection des tentatives dlvation de privilges et de lutilisation de privilges non autorise, ainsi que laudit et
lenregistrement de lactivit des utilisateurs en dehors des journaux du systme dexploitation (laudit et
lenregistrement peuvent se faire par exemple linsu de lattaquant).
Outre la dtection prcoce des failles, la gestion des identits forts privilges, le contrle et la protection des
informations, ainsi que la scurit de linfrastructure interne constituent le cur dune dfense approfondie contre les
APT. Ces techniques sont dtailles dans les sections suivantes.
ca.com/fr
Contrles affins
Des contrles affins, en plus dtre une bonne pratique de scurit, sont particulirement utiles pour attnuer limpact
dune APT. Une fois que les attaquants ont acquis des privilges dadministration, ils installent gnralement des
rootkits de type porte drobe et commencent exporter des donnes sensibles. Avec des contrles daccs
adapts, lattaquant, mme dot de privilges, voit son champ daction limit et peut tre empch daccder aux
fichiers sensibles, dexcuter des commandes malveillantes, dinstaller des programmes, darrter/de dmarrer des
services ou de modifier des fichiers journaux. Dans le cas dun systme avec contrles affins, lattaquant peut tre
contraint de compromettre plusieurs comptes pour raliser des oprations qui pouvaient auparavant tre effectues
laide dun seul compte.
ca.com/fr
Limplmentation de contrles daccs affins peut galement attnuer la pire faiblesse dune organisation: ses
membres. Avec les techniques dingnierie sociale, les attaquants peuvent tromper les employs et dautres
collaborateurs internes en leur faisant fournir des informations permettant daccder leur compte ou de rvler
dautres failles de scurit. En limitant laccs aux systmes critiques et aux donnes des employs, les dgts que
lattaquant peut faire en accdant aux comptes par le biais de lingnierie sociale sont rduits.
ca.com/fr
ca.com/fr
La classification des informations est au cur de toute initiative de protection des donnes. Sans connatre la nature
des informations ni leur emplacement, il est impossible de dployer un programme de protection des donnes adapt.
Lorganisation doit dtecter avec prcision les donnes sensibles et les classer en fonction de leur niveau de sensibilit
pour lorganisation. Ces donnes incluent la proprit intellectuelle, mais aussi les informations didentification
personnelle, informations mdicales prives et autres informations non publiques.
Une fois les informations correctement classes, les rgles dfinies et les contrles dploys, lorganisation peut
superviser et contrler laccs, ainsi que grer toutes les informations sensibles. Cela inclut les actions utilisateur,
depuis la simple tentative daccs et de lecture des donnes sensibles, jusqu la copie sur un priphrique amovible,
en passant par limpression, lenvoi par courriel hors du rseau, ou encore la dtection de donnes stockes dans un
rfrentiel de type SharePoint.
ca.com/fr
Scurit uniforme
Les environnements informatiques distribus prsentent un problme rcurrent: la diversit des fonctionnalits et des
disponibilits des contrles de scurit entre les plates-formes. Par exemple, les contrles sur les rpertoires/fichiers
UNIX sont trs diffrents de ceux sous Windows. Ceci peut mener plusieurs problmes exploitables:
Rgles de scurit adaptes un modle de systme plutt qu un modle de scurit mtier
Rgles de scurit devant sadapter aux contraintes des systmes
Erreurs et omissions dues la complexit accrue de la gestion de la scurit
Pour assurer une protection complte contre les APT, les configurations de scurit doivent tre appliques de faon
aussi homogne que possible toutes les plates-formes. Toute limitation ou incohrence doit tre comprise et suivie.
Une raison de plus pour que les organisations ne comptent pas que sur la scurit du systme dexploitation. Les outils
externes peuvent offrir une plate-forme universelle, permettant dappliquer un paradigme de scurit dans les divers
environnements, pour une approche de la scurit propre lactivit mtier, centralise et rationalise.
Scurit de la virtualisation
Le nombre de systmes virtualiss a explos, faisant des environnements virtuels une cible cl des attaquants oprant
par APT. Lhyperviseur constitue galement une cible critique du fait du niveau daccs quil peut offrir. Si lattaquant
compromet lhyperviseur, il peut pratiquement avoir accs toutes les machines virtuelles excutes sur cet
hyperviseur. Bien que la scurit au niveau du systme dexploitation puisse empcher les connexions directes et que le
chiffrement puisse protger les donnes sensibles, ces mesures ne rsisteront pas un attaquant dtermin. Toute
personne disposant dun contrle dadministration sur un hyperviseur peut copier des machines virtuelles compltes
ca.com/fr
dans un environnement externe, ainsi que contourner la scurit base sur les htes en utilisant des mthodes en force
ou en remplaant des fichiers cls.
Pour assurer la scurit des environnements virtuels, les organisations doivent se concentrer sur les administrateurs et
appliquer le principe des privilges minimaux. Dabord, laccs aux comptes dhyperviseur forts privilges doit tre
strictement contrl, et toutes les actions doivent tre supervises et consignes. Ensuite, exactement comme pour les
environnements physiques, les identits dhyperviseur forts privilges doivent tre autorises neffectuer que les
actions requises. Par exemple, les administrateurs financiers ne doivent pouvoir accder quaux machines virtuelles du
dpartement Finances et non aux systmes des RH.
ca.com/fr
Section3: Avantages
Section 4:
Conclusions
Les attaques cibles sont de plus en plus frquentes. Les failles de socits telles que RSA ont t largement rendues
publiques et auront dimportantes consquences, tant sur leur rputation que sur leur rentabilit.
Le concept de dfense approfondie nest pas neuf. Il sagit dun lment fondamental pour tout programme de scurit.
La nouveaut rside dans le rle central jou par la scurit des identits internes forts privilges dans la prvention
des prjudices causs par des attaquants externes. Si le primtre rseau nest plus le bastion de la scurit, laspect de
lidentit a gagn en importance. Ainsi, lidentit est devenue le nouveau primtre.
Lorsque la notion didentit est utilise pour assurer la scurit contre les menaces internes et externes, telles que les
APT, la prise en compte du contenu doit tre une exigence cl. En utilisant lintelligence de donnes pour toute prise
de dcision daccs, les organisations daujourdhui peuvent mieux comprendre les risques associs chaque action de
lutilisateur. Les demandes daccs des donnes sensibles peuvent tre analyses et comprises avec un contexte bien
plus pointu quauparavant. Au lieu dautoriser ou de bloquer certaines actions selon des rgles rigides, les donnes
peuvent tre utilises pour crer une image bien plus claire de lactivit des utilisateurs.
Pour aider votre organisation prendre lavantage lorsquil sagit de se dfendre contre des attaques cibles, vous devez
adopter un programme de scurit ax sur la gestion des identits forts privilges et la prise en compte du contenu.
ca.com/fr
Section 5:
Rfrences
1 http://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html
2 NIST Special Publication800-30 Revision1, Guide for Conducting Risk Assessments:
http://csrc.nist.gov/publications/drafts/800-30-rev1/SP800-30-Rev1-ipd.pdf
3 Advanced Persistent Threat, Wikipedia,
http://fr.wikipedia.org/wiki/Advanced_Persistent_Threat
4 http://www.rsa.com/node.aspx?id=3872
5 http://fr.wikipedia.org/wiki/Op%C3%A9ration_Aurora
6 http://www.nytimes.com/2010/11/29/world/29cables.html?_r=2&hp
Section6:
propos de lauteur
Russell Miller travaille depuis plus de huitans dans le domaine de la scurit des rseaux, et ce diffrentes fonctions,
allant du piratage contrl (ethical hacking) au marketing produits. Il est actuellement directeur du marketing produit
chez CATechnologies et se consacre principalement la gestion des identits forts privilges et la protection des
donnes. Russell est titulaire dune licence en sciences informatiques du Middlebury College et dune matrise en
administration des entreprises de la Sloan School of Management du MIT.
CATechnologies (NASDAQ: CA) cre des logiciels qui alimentent la transformation des entreprises et leur
permettent de saisir toutes les opportunits de lconomie des applications. Le logiciel est au cur de chaque
activit et de chaque industrie. De la planification au dveloppement, en passant par la gestion et la scurit,
CATechnologies collabore avec des entreprises partout dans le monde afin de transformer la faon dont nous
vivons, interagissons et communiquons, dans les environnements mobiles, de Cloud public et priv, distribus et
mainframe. Pour en savoir plus, rendez-vous sur ca.com/fr.
Copyright 2014 CA. Tous droits rservs. Microsoft, SharePoint et Windows sont des marques commerciales ou dposes de MicrosoftCorporation aux tats-Unis et/ou dans
dautres pays. Linux est la marque dpose de LinusTorvalds aux tats-Unis et dans dautres pays. Unix est une marque dpose de The Open Group. Tous les noms et marques
dposes, dnominations commerciales, ainsi que tous les logos rfrencs dans le prsent document demeurent la proprit de leurs dtenteurs respectifs. Ce document est
uniquement fourni titre dinformation. CA dcline toute responsabilit quant lexactitude ou lexhaustivit des informations quil contient. Dans les limites permises par la loi
applicable, CA fournit le prsent document tel quel, sans garantie daucune sorte, expresse ou tacite, notamment concernant la qualit marchande, ladquation un besoin
particulier ou labsence de contrefaon. En aucun cas, CA ne pourra tre tenu pour responsable en cas de perte ou de dommage, direct ou indirect, rsultant de lutilisation de ce
document, notamment la perte de profits, linterruption de lactivit professionnelle, la perte de clientle ou la perte de donnes, et ce mme dans lhypothse o CA aurait t
expressment inform de la survenance possible de tels dommages.
CS200_94805_1014