LIVRE BLANC | octobre2014

Menaces persistantes
avances: se dfendre
delintrieur
Russel Miller
CATechnologies, Gestion de la scurit

2 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Table des matires

Rsum

Section1: Dfi 
Menaces persistantes avances: bien loin de la routine

Section2: Solution 7
Dfense approfondie
Section3: Avantages 14
Rduisez les risques
Section4:14
Conclusions
Section5:15
Rfrences
Section6:15
propos de lauteur

3 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Rsum
Dfi
Assurer la scurit dune organisation est un dfi de plus en plus difficile. Les attaques toujours plus complexes et
laugmentation des APT (Advanced Persistent Threats), un type dattaque cible, ont fait prendre conscience aux
organisations de leur vulnrabilit encas dattaque. Des socits telles que RSA Security, Google et Northrop Grumman
ont dcouvert quelles taient la cible dAPT. Ne pas avoir t victime dune faille grave par le pass ne garantit
aucunement la scurit future. Les organisations spcifiquement cibles par une APT font face des dfis inhabituels
pour les administrateurs de scurit, par exemple ltalement des actions sur plusieurs mois ou annes pour viter
toute dtection. Limpact des failles est galement toujours plus important; cest l un vritable dfi pour les
dirigeants.

Solution
Il ny a pas de remde miracle pour se dfendre contre les APT. Plusieurs couches de protection doivent tre
combines pour rduire la fois le risque de faille et pour attnuer limpact en cas de faille.
Lapproche initiale de dfense contre les attaques cibles reposait sur la scurisation du primtre laide de pare-feu
et de systmes de dtection des instructions, permettant de dceler et de bloquer tout comportement anormal. Cette
approche peut tre efficace contre certains types dattaques, mais non contre tous les types de vecteurs dattaque, tels
que le spear phishing (attaques avec phishing dirig) et lingnierie sociale.
Si aucun produit de scurit (technologique ou autre) ne peut totalement protger une organisation contre les APT, les
solutions de scurit interdomaines actuelles peuvent aider les organisations se protger mieux que jamais.
Fonctionnant gnralement en silos, la gestion des identits privilges, le contrle et la protection des informations
et la scurit de linfrastructure interne peuvent dsormais tre combins pour permettre aux organisations dassurer la
scurit de leur infrastructure informatique et de leurs data centers, de faon complmentaire. CATechnologies parle
dintelligence didentit et de donnes.

Avantages
Cest en analysant les APT et en se protgeant que les organisations peuvent rduire les risques si elles sont la cible
spcifique dune attaque. Ces risques peuvent tre dordre financier, mais galement concerner la rputation, la bonne
marche des oprations, ainsi que les aspects juridiques et rglementaires.
Si la scurit dployable contre les APT est considre sous un angle holistique, lorganisation se protge du mme
coup contre les attaques automatises, moins sophistiques, y compris internes. Une approche globale de la scurit
prsente bien dautres avantages, comme lamlioration de la conformit, la possibilit dadopter des services Cloud,
lerenforcement de la scurit de la virtualisation et la rduction des cots.

4 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Section1: Dfi

Menaces persistantes avances: bien loin de la routine

Les menaces persistantes avances posent des dfis distincts des risques de scurit classiques. Une menace
persistante avance est une attaque sophistique long terme dune entit spcifiquement cible. Souvent, lattaquant
est commandit par un tat, visant tirer profit dinformations de la plus haute importance dautres gouvernements.
Cependant, une organisation prive peut galement tre la source ou la cible dune attaque. Ce terme a t utilis pour
la premire fois par larme de lair des tats-Unis en 2006.1 Le National Institute of Standards and Technology (NIST)
dfinit les menaces persistantes avances (APT) comme suit:2
Une menace persistante avance est un adversaire disposant dun niveau sophistiqu dexpertise et de ressources
significatives qui lui permettent, grce plusieurs vecteurs dattaque (par ex. cyberntique, physique ou tromperie), de
crer les conditions requises la ralisation de ses objectifs, lesquels consistent gnralement crer et dvelopper
une brche au niveau de linfrastructure IT des organisations. Le but de cet attaquant est lexfiltration continue
dinformations et/ou le sabotage ou le blocage daspects critiques dune mission, dun programme ou dune
organisation, ou son positionnement stratgique en ce sens pour une action ultrieure de ce type. En outre, une menace
persistante avance poursuit des objectifs sur une priode prolonge, sadaptant aux efforts de dfense de la partie
attaque, avec une dtermination sans faille pour maintenir le niveau dinteraction ncessaire la ralisation de ses
objectifs.
Il existe dautres dfinitions dune menace persistante avance, la plus claire tant celle tenant compte du sens de
chacun des trois mots.3
Menace: pour quil y ait menace, lattaquant doit disposer la fois de la motivation et de la capacit mener bien
une attaque.
Persistante: les APT stendent souvent sur une longue priode. Contrairement aux attaques court terme profitant
dopportunits temporaires, les APT peuvent stendre sur plusieurs annes. Plusieurs vecteurs peuvent tre utiliss,
allant des attaques Internet lingnierie sociale. Des failles de scurit mineures peuvent tre combines au fil du
temps pour accder des donnes bien plus sensibles.
Avance: lattaquant dispose des capacits techniques suffisantes pour exploiter les vulnrabilits au niveau de la
cible. Cela peut inclure laccs dimportantes bases de donnes de vulnrabilits et des comptences de codage,
mais galement la capacit dcouvrir et utiliser des vulnrabilits jusque-l inconnues.
Les outils totalement automatiss ne sont pas identifis comme APT part entire bien quils puissent tre utiliss par
un groupe organis et coordonn dans le cadre dune attaque de grande envergure.

5 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

tapes
Une menace persistante classique se compose des quatre tapes suivantes:

Illustration A.
Quatre tapes dune
menace persistante
avance

Reconnaissance

Entre initiale

lvation des
privilges et
expansion
du contrle

Exploitation
continue

1. Reconnaissance: enqute sur les vulnrabilits dune organisation. Cela inclut une recherche basique, notamment
des requtes de domaine, mais aussi des analyses portant sur les ports et les vulnrabilits.
2. Entre initiale: exploitation dune faiblesse pour ouvrir une brche dans le rseau cible. Ceci peut tre effectu
grce des mthodes techniques sophistiques ou des techniques telles que le spear phishing (attaques avec
phishing dirig), permettant un accs rgulier un systme unique. Lingnierie sociale, ou exploitation des
personnes, constitue galement une mthode courante daccs.
3. lvation de privilges et expansion du contrle: lorsque lattaquant pntre dans le primtre rseau, il tente
dacqurir des privilges et un contrle accrus sur des systmes critiques. Cette tape peut galement impliquer
linstallation doutils de type porte drobe pour simplifier les prochains accs au rseau.
4. Exploitation continue: une fois le contrle tabli, lattaquant peut exporter des donnes sensibles
de faon continue.
Les troisime et quatrime tapes peuvent se drouler sur plusieurs annes, pour rduire le risque de dtection.

En quoi les APT sont-elles diffrentes?

La diffrence la plus critique entre les APT et les menaces normales rside dans le fait quune organisation est
cible de manire spcifique. Si la dfense du primtre et des contrles de scurit classiques peuvent protger
une organisation contre des attaques standard, ces techniques peuvent savrer insuffisantes contre les APT. Les
attaquants les plus patients attendent que de nouvelles vulnrabilits ouvrent une brche ou que des vulnrabilits
apparemment moins importantes se combinent pour gnrer une attaque de grande chelle, dvastatrice.
Dans le cas dune telle menace, les rgles normales ne sappliquent pas. Auparavant, de nombreuses organisations
avaient simplement besoin dun niveau de scurit suprieur celui des autres organisations et entreprises connectes
Internet, dans la mesure o bon nombre dattaquants choisissaient les cibles plus faciles. Toutefois, cause de ces
APT, les organisations doivent tre en mesure de faire chouer un ennemi motiv qui prend suffisamment de temps
pour examiner les failles au lieu de sattaquer une autre cible.
La dure des APT peut galement rendre leur dtection particulirement complexe. En cas de faille de scurit
standard, un volume important de donnes peut tre export en peu de temps, ce qui permet de dcouvrir la faille par
le biais du pare-feu et de priphriques de dtection des intrusions. Dans le cadre dune APT, un attaquant peut mettre
des mois, voire des annes, pour exporter les donnes cibles, contournant mme les systmes disposant de toutes les
options de scurit possibles.

6 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Objectifs

Cibles

Du fait de leur nature cible, les APT ont souvent des objectifs
diffrents de ceux des pirates Internet traditionnels, notamment
un intrt particulier pour les points suivants, et non pour un
simple vol ou des dgts damateurs:

Certains types prcis dorganisations sont plus sujets aux APT car
la menace est souvent lie un financement tatique ou
politique:

Manipulation politique

Organisations et sous-traitants du secteur de la dfense

Espionnage militaire
Espionnage financier

Systmes dinfrastructures critiques (p. ex., services publics,

moyens de communication et de transport)

Espionnage industriel

Organisations politiques

Extorsion financire

Institutions financires

Agences gouvernementales

Entreprises technologiques

Exemples
RSA
En2011, RSASecurity a dclar avoir t victime dune APT4. Les attaquants ont obtenu lentre initiale en trompant un
utilisateur interne afin quil ouvre un courriel avec en pice jointe une feuille de calcul exploitant une vulnrabilit
jour zro dans Adobe Flash. partir de l, ils ont augment leurs privilges, install des portes drobes et pris le
contrle dautres systmes.
Les attaquants ont alors t en mesure daccder aux systmes RSA hbergeant des informations lies leurs jetons
dauthentification deux facteurs ou SecurID. Ces informations pouvaient inclure des valeurs de dpart, utilises
par RSA avec des jetons pour gnrer des mots de passe temporaires, changeant toutes les 60 secondes. Si le code
source lui-mme tait vol, les attaquants pouvaient chercher des vulnrabilits dans le dploiement SecurID ou dans
le chiffrement.
Opration Aurora
Opration Aurora est une APT qui a cibl de nombreuses multinationales, telles que Google, Adobe, Rackspace et
JuniperNetworks. La presse a rvl que de nombreuses autres socits auraient t cibles, notamment Yahoo,
NorthropGrumman, MorganStanley, Symantec et DowChemical.5 Le Politburo chinois aurait dirig les attaques dans le
cadre dune campagne de grande envergure contre les tats-Unis et dautres pays occidentaux.6

7 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Section 2: Solution

Dfense approfondie
Llment cl pour se dfendre contre les APT est une dfense approfondie. Avec suffisamment de temps, un attaquant
dtermin peut ouvrir une faille dans la plupart des primtres rseau. Une stratgie de dfense efficace permet de
remplir les objectifs suivants:
1. Entraver laccs initial.
2. Rduire le risque dlvation de privilges en cas de compte compromis.
3. Limiter limpact potentiel li un compte compromis, mme sil sagit dun compte forts privilges.
4. Dtecter les comptes compromis et toute activit suspecte de faon anticipe dans le processus.
5. Recueillir des informations pratiques dans le cadre dune enqute, afin de pouvoir identifier les dommages,
lemoment o ils sont survenus et leur auteur.
Assurer la sret du primtre grce des pare-feu et des systmes de dtection des intrusions aux frontires du
rseau nest efficace que pour les points1 et4. Il est donc ncessaire de mettre en place une stratgie de protection
plus active.

Dtection anticipe
Souvent, les failles sont dtectes aprs que lattaquant a russi accder au rseau interne et provoqu des dgts ou
vol des volumes importants de donnes. ce stade, la dfense contre les APT implique un processus coteux de
contrle, de nettoyage et de supervision continue des dommages. La cl dune protection abordable et grable contre
les APT consiste dtecter les menaces aussi tt que possible. Durant la phase initiale dune attaque, lorsque
lattaquant met un pied dans le rseau, lorganisation peut utiliser diverses techniques pour dtecter la faille, y compris
la sparation et lexternalisation de la scurit systme par rapport ladministration systme, la prvention et la
dtection des tentatives dlvation de privilges et de lutilisation de privilges non autorise, ainsi que laudit et
lenregistrement de lactivit des utilisateurs en dehors des journaux du systme dexploitation (laudit et
lenregistrement peuvent se faire par exemple linsu de lattaquant).
Outre la dtection prcoce des failles, la gestion des identits forts privilges, le contrle et la protection des
informations, ainsi que la scurit de linfrastructure interne constituent le cur dune dfense approfondie contre les
APT. Ces techniques sont dtailles dans les sections suivantes.

Gestion des identits forts privilges

Les outils PIM (PrivilegedIdentityManagement, gestion des identits forts privilges) grent et supervisent les
comptes dadministration, tels que le compte Administrateur sous Windows et root pour UNIX et Linux.
Les systmes PIM:
Implmentent le principe des privilges minimaux, mme pour les comptes dadministration.
Grent laccs aux comptes partags via des fonctionnalits de gestion des mots de passe des utilisateurs forts
privilges.
Suivent les activits des utilisateurs, tant pour assurer la responsabilisation que pour faciliter les enqutes en cas de
failles de scurit.

8 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Privilges daccs minimaux

Toute personne doit disposer du minimum de privilges ncessaires son travail. Mme si la plupart des organisations
ont compris ce principe, elles peinent souvent lappliquer dans la pratique, en particulier pour les comptes
dadministration. Les individus ayant besoin dun certain type daccs privilgi se voient gnralement remettre le mot
de passe du compte dadministration pertinent, partag par plusieurs personnes.
Les organisations doivent raliser quavec la prdominance croissante des APT, un accs privilgi nest pas forcment
de type tout ou rien. Il est possible dattribuer des privilges levs des individus uniquement pour quils puissent
accomplir une seule tche bien spcifique. Auparavant, sur les systmes UNIX et Linux, loutil sudo tait utilis cet
effet, mais les outils de contrle daccs actuels permettent dautoriser et dinterdire un accs de faon centralise, la
fois pour les systmes UNIX et Windows.

Modle de scurit: sparer la scurit de ladministration systme

Gnralement, un systme dexploitation utilise un modle de scurit bicouche: utilisateurs forts privilges et
utilisateurs ordinaires. Toutefois, pour une protection efficace contre les APT, un modle plus sophistiqu est requis. Ce
modle repose sur les principes de scurit standard des privilges minimaux et de la sparation des fonctions.
Au moins troisrles dadministration principaux doivent tre dfinis:
Administrateur systme: ladministrateur du systme doit disposer des privilges ncessaires pour mettre jour les
logiciels de serveur, modifier les paramtres de configuration et installer des logiciels. Par contre, les administrateurs
systme ne doivent pas tre en mesure de modifier des paramtres de scurit critiques ou de consulter les journaux
lis la scurit.
Administrateur de scurit: ces administrateurs doivent pouvoir mettre jour et modifier les paramtres de scurit
et les configurations, mais aussi consulter les fichiers journaux lis la scurit. En revanche, ils ne doivent pas
pouvoir installer des logiciels ou accder des donnes sensibles sur un systme.
Auditeur: les auditeurs doivent avoir la possibilit de vrifier les paramtres de scurit et de consulter les fichiers
journaux, sans pouvoir apporter de modifications un systme. Si laccs aux fichiers sensibles peut tre autoris,
tous les accs doivent tre en lecture seule.
Dautres types dadministrateurs peuvent tre crs si ncessaire, par exemple des administrateurs de base de donnes
ou de toute autre application particulirement sensible.
Lutilisation dun modle de scurit multiniveau rpond deux objectifs la fois: ce type dapproche offre une
protection contre les menaces internes (administrateurs internes), en limitant les oprations que chaque individu peut
effectuer, et complique les tentatives dAPT des attaquants externes. Au lieu de devoir sattaquer un compte
superutilisateur, les attaquants doivent maintenant russir accder plusieurs comptes pour disposer dun accs
total au systme.

Contrles affins
Des contrles affins, en plus dtre une bonne pratique de scurit, sont particulirement utiles pour attnuer limpact
dune APT. Une fois que les attaquants ont acquis des privilges dadministration, ils installent gnralement des
rootkits de type porte drobe et commencent exporter des donnes sensibles. Avec des contrles daccs
adapts, lattaquant, mme dot de privilges, voit son champ daction limit et peut tre empch daccder aux
fichiers sensibles, dexcuter des commandes malveillantes, dinstaller des programmes, darrter/de dmarrer des
services ou de modifier des fichiers journaux. Dans le cas dun systme avec contrles affins, lattaquant peut tre
contraint de compromettre plusieurs comptes pour raliser des oprations qui pouvaient auparavant tre effectues
laide dun seul compte.

9 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Limplmentation de contrles daccs affins peut galement attnuer la pire faiblesse dune organisation: ses
membres. Avec les techniques dingnierie sociale, les attaquants peuvent tromper les employs et dautres
collaborateurs internes en leur faisant fournir des informations permettant daccder leur compte ou de rvler
dautres failles de scurit. En limitant laccs aux systmes critiques et aux donnes des employs, les dgts que
lattaquant peut faire en accdant aux comptes par le biais de lingnierie sociale sont rduits.

Gestion des comptes partags

La gestion des comptes partags (ou gestion des mots de passe des utilisateurs forts privilges) est lune des cls
de la protection contre les APT. Russir accder aux identits forts privilges, souvent par le biais dune lvation de
privilges, est lune des tapes intermdiaires cls de la plupart des attaques menes bien. Les outils de gestion des
mots de passe utilisateur doivent remplir les objectifs suivants:
Stocker de faon scurise les mots de passe chiffrs.
Grer la complexit des mots de passe et les changements automatiques, selon la rgle.
Limiter laccs aux comptes dadministration, en exigeant que tous les accs passent par un portail centralis.
Utiliser la fonctionnalit de connexion automatique pour empcher mme les utilisateurs autoriss de connatre
les mots de passe des comptes forts privilges.
Octroyer un accs durgence un compte, avec des contrles supplmentaires et les approbations requises.
liminer lutilisation des mots de passe cods en dur dans les scripts, souvent stocks en texte clair et faciles voler
par un utilisateur malveillant.
Ces fonctionnalits empchent non seulement le partage des mots de passe, mais aussi le vol de mots de passe
partir des fichiers de mots de passe personnels ou via des enregistreurs de frappe. En exigeant que toutes les
connexions des comptes forts privilges passent par un proxy central, lorganisation peut suivre toutes les
connexions et activits en cas de faille, ce qui facilite les oprations dinvestigation et rduit potentiellement
lesdgts.

Reporting de lactivit des utilisateurs

Le suivi des activits des comptes forts privilges est essentiel pour dtecter les APT et attnuer leur impact en cas
dattaque initiale russie. Par nature, les APT impliquent gnralement lexportation de volumes importants de
donnes, susceptibles dtre dtects par les outils adquats. Les journaux des activits des utilisateurs indiquent
quelles activits systme et utilisateur ont lieu sur un systme ou un priphrique rseau, et peuvent tre utiliss pour
identifier les violations de rgles et enquter sur les failles de scurit.
Des rglementations telles que HIPAA, CA SB1386 et les nombreuses lois de notification de faille locales exigent que
lorganisation fasse tat de toute faille de scurit la personne ou lorganisation concerne. Les journaux des
activits des utilisateurs peuvent tre utiliss pour enquter sur une faille de scurit et dcouvrir qui a fait quoi, mais
aussi pour connatre les circonstances afin de rectifier les contrles internes et damliorer les processus.
Les outils de reporting de lactivit des utilisateurs sont censs offrir les fonctionnalits suivantes.
Suivi:
De toutes les connexions, en particulier pour les comptes partags et forts privilges, y compris lIP source, lID
utilisateur dorigine accdant un compte partag, lheure et la date de connexion et de dconnexion
De toutes les activits dun compte partag, jusqu lID utilisateur dorigine
De toutes les commandes, quelles aient t saisies depuis une ligne de commande ou une interface utilisateur
graphique

10 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Dtection de tout comportement anormal:

Identification des activits suspectes et dclenchement dalertes
Corrlation des journaux, avec identification de lindividu ayant effectu une action spcifique via lanalyse de
structures complexes et de journaux daudit
tude des failles:
Possibilit de dterminer qui a fait quoi dans un environnement de comptes partags
Mise disposition doutils visuels danalyse de journaux dots de fonctionnalits dexploration approfondie
permettant dacclrer lenqute sur les activits des utilisateurs et des ressources, ainsi que lidentification
des violations de rgles
En cas de faille, ces fonctionnalits peuvent aider lorganisation comprendre les lments suivants:
Comment lattaquant a russi accder un compte
Ce quil a fait avec ce compte et quels sont les dgts
Comment empcher les futures attaques laide de mthodes identiques ou similaires
Qui est lattaquant et do vient-il
Quelles sont les informations communiquer aux autorits de contrle
Il est essentiel de garder lesprit que les journaux doivent galement tre protgs contre les administrateurs. Les
utilisateurs forts privilges peuvent dterminer o sont stocks les journaux en local sur les systmes et dcouvrir les
rgles daudit utilises au sein de lorganisation. Ils peuvent effacer leurs propres traces en supprimant des entres
dans les fichiers journaux locaux grce leur accs complet aux systmes (en labsence de contrles affins adapts).
Les organisations doivent conserver les journaux un emplacement distant inaccessible pour les utilisateurs forts
privilges, et suivre toute tentative potentielle de suppression de fichiers journaux locaux sur les systmes.

Protection et contrle des informations

Le but ultime dune APT est le vol dinformations sensibles. Ds lors, le contrle des donnes est un lment essentiel
pour une protection efficace. Pour protger les donnes sensibles contre les APT, lorganisation doit protger et
contrler les donnes dans quatre tats:
Donnes en cours daccs: tentative daccs des informations sensibles par un rle non adapt
Donnes en cours dutilisation: informations sensibles en cours dutilisation sur le poste de travail ou lordinateur
portable local
Donnes en mouvement: informations sensibles communiques sur le rseau
Donnes au repos: informations sensibles stockes dans des rfrentiels de type bases de donnes, serveurs de
fichiers ou systmes collaboratifs
Pour ce faire, les organisations doivent dfinir des rgles permettant dappliquer certaines mthodes de contrle si un
accs ou un usage non appropri des donnes est dtect. Lorsquune violation de rgle survient (par exemple en cas
de tentative daccs des informations sous proprit intellectuelle, de copie de ces donnes sur un lecteur USB ou de
tentative denvoi de ces informations par courriel), la solution utilise doit limiter le prjudice tout en dclenchant
une alerte.

11 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

La classification des informations est au cur de toute initiative de protection des donnes. Sans connatre la nature
des informations ni leur emplacement, il est impossible de dployer un programme de protection des donnes adapt.
Lorganisation doit dtecter avec prcision les donnes sensibles et les classer en fonction de leur niveau de sensibilit
pour lorganisation. Ces donnes incluent la proprit intellectuelle, mais aussi les informations didentification
personnelle, informations mdicales prives et autres informations non publiques.
Une fois les informations correctement classes, les rgles dfinies et les contrles dploys, lorganisation peut
superviser et contrler laccs, ainsi que grer toutes les informations sensibles. Cela inclut les actions utilisateur,
depuis la simple tentative daccs et de lecture des donnes sensibles, jusqu la copie sur un priphrique amovible,
en passant par limpression, lenvoi par courriel hors du rseau, ou encore la dtection de donnes stockes dans un
rfrentiel de type SharePoint.

Scurit de linfrastructure interne

Sil est essentiel dassurer la scurit du primtre rseau, des identits forts privilges et des donnes, il est
galement important dassurer celle de linfrastructure informatique interne pour bnficier dune protection
approfondie contre les APT. Outre une architecture et une segmentation rseau adaptes, cela inclut une configuration
et une scurisation appropries des serveurs et des priphriques individuels, ainsi que de leur environnement.

Scurit atypique et externalise

Les attaquants laborent des stratgies et utilisent des mthodes tactiques contre les dispositifs de scurit connus. Ils
utilisent galement des commandes, des fonctions et des utilitaires de systme dexploitation courants pour recueillir
des informations, superviser le systme et passer laction afin dtendre leur contrle. Les professionnels de la
scurit peuvent utiliser les mthodes classiques des attaquants contre eux en ajoutant des lments inattendus au
systme. Par exemple, des fichiers et des commandes qui ne semblent pas protgs ou superviss par les journaux
systme peuvent ltre par un outil externe. En effet, les autorisations visibles par lattaquant ne sont pas
ncessairement celles rellement appliques. Cela permet lorganisation de dtecter un attaquant en train de vrifier
les autorisations dun systme dexploitation et denfreindre les rgles externes lorsquil teste les limites des
autorisations.
Cest la principale raison pour laquelle ladministration de la scurit doit tre externalise et spare de
ladministration du systme dexploitation. Gnralement, aprs avoir russi accder au systme, lattaquant tente
dlever ses privilges afin de contourner les contrles du systme dexploitation. Avec cet accs, il pense pouvoir
contourner les mcanismes de scurit et effacer ses traces efficacement. Avec une fonction de scurit externe, il
est souvent possible de dtecter et de bloquer lattaquant bien plus tt dans le processus dAPT, lorsquil tente dlever
ses privilges, de modifier des contrles de scurit des systmes ou dutiliser des privilges qui ne lui ont pas t
attribus. Bien que lattaquant puisse russir contourner les contrles classiques et les journaux au niveau du systme
dexploitation, les processus de dtection externes peuvent le dceler son insu. Pour rsumer, lorganisation peut
dployer une rgle de contrle daccs en arrire-plan, de faon puissante et inattendue.
En outre, les commandes systme standard peuvent tre modifies ou remplaces. Si les administrateurs renomment
des fonctions telles que sudo, toutes les tentatives dutilisation de la commande sudo dorigine peuvent dclencher
une alerte et permettre la dtection anticipe dune faille.

12 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Renforcement des serveurs

Tous les serveurs hbergeant des informations sensibles doivent tre configurs de manire limiter les risques de
compromission et, le cas chant, de dissmination des donnes. Pour ce faire, les organisations doivent veiller :
Utiliser un pare-feu logiciel pour contrler la fois les communications entrantes et sortantes, limiter les paquets par
IP source, protocole (p. ex., SSH, TELNET, etc.) et port TCP, bloquer les protocoles non srs (p. ex., les services non
chiffrs comme FTP)
Bloquer toutes les excutions et installations dapplications, sauf en cas dautorisation explicite (liste blanche
dapplications), les exploits dexcution de code et linstallation de tout logiciel type porte drobe
Confiner les applications. Dfinir et autoriser des actions permises pour les applications haut risque et
restreindre tout comportement dpassant ces limites. Par exemple, une liste de contrle daccs peut tre cre en se
basant sur un ID logique qui dtient des processus et des services Oracle afin que son confinement lui permette
uniquement de dmarrer les services de systme de gestion de bases de donnes (DBMS) Oracle.
Empcher toute modification des fichiers journaux
Superviser lintgrit des fichiers pour dtecter toute modification des fichiers cls, comme celles effectues par les
rootkits
Contrler laccs aux fichiers de rpertoires dapplications sensibles (p. ex. seule lapplication de paie peut ouvrir les
fichiers de paie)
Dtecter les modifications des fichiers sensibles en temps rel

Scurit uniforme
Les environnements informatiques distribus prsentent un problme rcurrent: la diversit des fonctionnalits et des
disponibilits des contrles de scurit entre les plates-formes. Par exemple, les contrles sur les rpertoires/fichiers
UNIX sont trs diffrents de ceux sous Windows. Ceci peut mener plusieurs problmes exploitables:
Rgles de scurit adaptes un modle de systme plutt qu un modle de scurit mtier
Rgles de scurit devant sadapter aux contraintes des systmes
Erreurs et omissions dues la complexit accrue de la gestion de la scurit
Pour assurer une protection complte contre les APT, les configurations de scurit doivent tre appliques de faon
aussi homogne que possible toutes les plates-formes. Toute limitation ou incohrence doit tre comprise et suivie.
Une raison de plus pour que les organisations ne comptent pas que sur la scurit du systme dexploitation. Les outils
externes peuvent offrir une plate-forme universelle, permettant dappliquer un paradigme de scurit dans les divers
environnements, pour une approche de la scurit propre lactivit mtier, centralise et rationalise.

Scurit de la virtualisation
Le nombre de systmes virtualiss a explos, faisant des environnements virtuels une cible cl des attaquants oprant
par APT. Lhyperviseur constitue galement une cible critique du fait du niveau daccs quil peut offrir. Si lattaquant
compromet lhyperviseur, il peut pratiquement avoir accs toutes les machines virtuelles excutes sur cet
hyperviseur. Bien que la scurit au niveau du systme dexploitation puisse empcher les connexions directes et que le
chiffrement puisse protger les donnes sensibles, ces mesures ne rsisteront pas un attaquant dtermin. Toute
personne disposant dun contrle dadministration sur un hyperviseur peut copier des machines virtuelles compltes

13 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

dans un environnement externe, ainsi que contourner la scurit base sur les htes en utilisant des mthodes en force
ou en remplaant des fichiers cls.
Pour assurer la scurit des environnements virtuels, les organisations doivent se concentrer sur les administrateurs et
appliquer le principe des privilges minimaux. Dabord, laccs aux comptes dhyperviseur forts privilges doit tre
strictement contrl, et toutes les actions doivent tre supervises et consignes. Ensuite, exactement comme pour les
environnements physiques, les identits dhyperviseur forts privilges doivent tre autorises neffectuer que les
actions requises. Par exemple, les administrateurs financiers ne doivent pouvoir accder quaux machines virtuelles du
dpartement Finances et non aux systmes des RH.

Rassembler pour mieux dfendre

Il ne suffit pas dun seul outil de scurit pour dfendre une organisation contre une APT mene par un attaquant bien
inform, dtermin, comptent et tenace. Toute stratgie de dfense contre les APT a pour but dentraver autant que
possible laccs au rseau, de limiter limpact potentiel et le volume dinformations vol en cas de faille, et de dtecter
celle-ci le plus rapidement possible.
Bien quun primtre de scurit soit un composant requis pour prvenir la faille initiale, il nest nullement suffisant et
savre inefficace une fois la faille ouverte. La cl pour attnuer les risques est une combinaison intelligente de gestion
des identits forts privilges, de classification et de contrle des donnes, et de scurit de linfrastructure.
Les outils standard de gestion des identits forts privilges peuvent limiter ou autoriser les accs sur la base dun
ensemble de rgles. Ceci peut offrir une sparation pertinente des fonctions, mais il sagit dune solution rigide par
nature. Les privilges peuvent tre modifis par la suite pour les adapter aux rles, mais cela nest finalement quune
solution passive.
Cest la prise en compte du contenu qui est requise pour passer une nouvelle gnration de dfense active contre
les APT. Cela revient intgrer lintelligence de donnes chaque dcision dapprobation ou de refus dune demande
daccs. Pour ce faire, il faut reconnatre et comprendre les structures daccs aux donnes et leur utilisation. Par
exemple, les vnements suivants doivent tre pris en compte:
Modifications du type de donnes souhait: un administrateur accde toujours un certain type de donnes
(p. ex., des donnes de fonctionnement), puis demande laccs des donnes financires ou des donnes client
confidentielles.
Modifications dutilisation des donnes: un administrateur accde gnralement aux donnes sensibles par le biais
dune application prcise, avec accs en lecture seule, puis demande exporter des donnes sur un disque dur
externe, un lecteur USB ou par courriel.
Modifications du volume de donnes: un administrateur accde 100Mo de donnes par semaine, puis demande
accder 500Go pour la mme priode.
Modifications de la frquence daccs aux donnes: un administrateur accde des donnes hautement
confidentielles une fois par mois, puis souhaite soudainement y accder quotidiennement.
Aucune de ces modifications nest en soi rvlatrice dune faille; toutefois, elles reprsentent des changements de
comportement. Tout systme contrlant de faon intelligente les accs des utilisateurs forts privilges doit tenir
compte de ces facteurs lorsquil examine une demande daccs. Cette intelligence de donnes peut tre utilise pour
refuser laccs des ressources en temps rel ou autoriser laccs tout en crant une alerte signalant une
activit suspecte.

14 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Section3: Avantages

Rduisez les risques

Les organisations cibles par une APT font face plusieurs types de prjudices. Les attaquants peuvent drober des
informations sous proprit intellectuelle et des documents stratgiques, pouvant nuire la comptitivit. Le vol de
donnes client peut induire une perte de clientle, une rputation ternie et un recours juridique. Le vol dinformations
mdicales prives ou de donnes financires peut engendrer des problmes de conformit la rglementation.
Un programme holistique de protection contre les APT a pour atout secondaire sa contribution la dfense de
lorganisation contre dautres menaces, allant dattaques externes automatises des menaces internes. Nombre de
techniques employes pour attnuer limpact des APT limitent galement laccs aux comptes internes, y compris pour
les administrateurs. En limitant laccs et en sparant les fonctions, mme pour les utilisateurs forts privilges,
lorganisation se protge contre tout administrateur non autoris ou utilisateur interne malveillant.
Cette approche est unique dans le sens o elle ne requiert aucune connaissance spcifique des vulnrabilits et des
nouveaux exploits, et ne repose pas sur la dfense dun primtre. Grce ces techniques, les organisations peuvent
appliquer un modle de scurit et autoriser ou interdire certaines actions sur la base de rgles mtier, du niveau de
sensibilit des donnes et de lanormalit dun comportement. Ce modle pouvant tre appliqu de faon uniforme sur
diffrentes plates-formes et spar de la scurit du systme dexploitation, il peut constituer un moyen efficace pour
se protger contre les APT et dtecter les attaques un stade plus prcoce.

Section 4:

Conclusions
Les attaques cibles sont de plus en plus frquentes. Les failles de socits telles que RSA ont t largement rendues
publiques et auront dimportantes consquences, tant sur leur rputation que sur leur rentabilit.
Le concept de dfense approfondie nest pas neuf. Il sagit dun lment fondamental pour tout programme de scurit.
La nouveaut rside dans le rle central jou par la scurit des identits internes forts privilges dans la prvention
des prjudices causs par des attaquants externes. Si le primtre rseau nest plus le bastion de la scurit, laspect de
lidentit a gagn en importance. Ainsi, lidentit est devenue le nouveau primtre.
Lorsque la notion didentit est utilise pour assurer la scurit contre les menaces internes et externes, telles que les
APT, la prise en compte du contenu doit tre une exigence cl. En utilisant lintelligence de donnes pour toute prise
de dcision daccs, les organisations daujourdhui peuvent mieux comprendre les risques associs chaque action de
lutilisateur. Les demandes daccs des donnes sensibles peuvent tre analyses et comprises avec un contexte bien
plus pointu quauparavant. Au lieu dautoriser ou de bloquer certaines actions selon des rgles rigides, les donnes
peuvent tre utilises pour crer une image bien plus claire de lactivit des utilisateurs.
Pour aider votre organisation prendre lavantage lorsquil sagit de se dfendre contre des attaques cibles, vous devez
adopter un programme de scurit ax sur la gestion des identits forts privilges et la prise en compte du contenu.

15 | Livre blanc: Menaces persistantes avances: se dfendre de lintrieur

ca.com/fr

Section 5:

Rfrences
1 http://taosecurity.blogspot.com/2010/01/what-is-apt-and-what-does-it-want.html
2 NIST Special Publication800-30 Revision1, Guide for Conducting Risk Assessments:
http://csrc.nist.gov/publications/drafts/800-30-rev1/SP800-30-Rev1-ipd.pdf
3 Advanced Persistent Threat, Wikipedia,
http://fr.wikipedia.org/wiki/Advanced_Persistent_Threat
4 http://www.rsa.com/node.aspx?id=3872
5 http://fr.wikipedia.org/wiki/Op%C3%A9ration_Aurora
6 http://www.nytimes.com/2010/11/29/world/29cables.html?_r=2&hp

Section6:

propos de lauteur
Russell Miller travaille depuis plus de huitans dans le domaine de la scurit des rseaux, et ce diffrentes fonctions,
allant du piratage contrl (ethical hacking) au marketing produits. Il est actuellement directeur du marketing produit
chez CATechnologies et se consacre principalement la gestion des identits forts privilges et la protection des
donnes. Russell est titulaire dune licence en sciences informatiques du Middlebury College et dune matrise en
administration des entreprises de la Sloan School of Management du MIT.

Restez connect CATechnologies sur ca.com/fr

CATechnologies (NASDAQ: CA) cre des logiciels qui alimentent la transformation des entreprises et leur
permettent de saisir toutes les opportunits de lconomie des applications. Le logiciel est au cur de chaque
activit et de chaque industrie. De la planification au dveloppement, en passant par la gestion et la scurit,
CATechnologies collabore avec des entreprises partout dans le monde afin de transformer la faon dont nous
vivons, interagissons et communiquons, dans les environnements mobiles, de Cloud public et priv, distribus et
mainframe. Pour en savoir plus, rendez-vous sur ca.com/fr.
Copyright 2014 CA. Tous droits rservs. Microsoft, SharePoint et Windows sont des marques commerciales ou dposes de MicrosoftCorporation aux tats-Unis et/ou dans
dautres pays. Linux est la marque dpose de LinusTorvalds aux tats-Unis et dans dautres pays. Unix est une marque dpose de The Open Group. Tous les noms et marques
dposes, dnominations commerciales, ainsi que tous les logos rfrencs dans le prsent document demeurent la proprit de leurs dtenteurs respectifs. Ce document est
uniquement fourni titre dinformation. CA dcline toute responsabilit quant lexactitude ou lexhaustivit des informations quil contient. Dans les limites permises par la loi
applicable, CA fournit le prsent document tel quel, sans garantie daucune sorte, expresse ou tacite, notamment concernant la qualit marchande, ladquation un besoin
particulier ou labsence de contrefaon. En aucun cas, CA ne pourra tre tenu pour responsable en cas de perte ou de dommage, direct ou indirect, rsultant de lutilisation de ce
document, notamment la perte de profits, linterruption de lactivit professionnelle, la perte de clientle ou la perte de donnes, et ce mme dans lhypothse o CA aurait t
expressment inform de la survenance possible de tels dommages.
CS200_94805_1014