Dans cette série de trois articles de blog « Break the Attack Chain », nous nous intéressons à la façon dont les cybercriminels compromettent nos défenses et se déplacent latéralement sur nos réseaux pour élever les privilèges et atteindre leur objectif final.
Si une phrase pouvait résumer l’état actuel du paysage des menaces, ce serait celle-ci : les cybercriminels ne piratent plus les systèmes, ils s’y connectent.
Plutôt que de passer du temps à contourner nos défenses ou à les percer par force brute, les cyberpirates actuels jettent leur dévolu sur nos utilisateurs ou, plus précisément, sur leurs identités et leurs identifiants de connexion si précieux.
Cela reste vrai à presque toutes les étapes de la chaîne d’attaque. Les identités ne sont pas seulement un moyen incroyablement efficace d’infiltrer nos entreprises, elles permettent également d’accéder aux données les plus stratégiques et sensibles. Par conséquent, le jeu du chat et de la souris qu’est la cybersécurité ressemble de plus en plus à une partie d’échecs, l’approche traditionnelle de contournement des défenses laissant la place à un mode opératoire plus méthodique.
Les cybercriminels sont passés maîtres dans l’art de se déplacer latéralement sur nos réseaux, compromettant d’autres utilisateurs pour élever les privilèges et préparer le terrain en vue d’atteindre leur objectif final.
Si ce gambit plus tactique a le potentiel de causer des dégâts importants, il offre aussi aux équipes de sécurité bien plus d’opportunités de détecter et de déjouer les attaques. Si nous comprenons les plans du cybercriminel de la compromission initiale à l’impact, nous pouvons mettre en place des protections tout au long de la chaîne d’attaque.
Comprendre le répertoire d’ouvertures
Pour poursuivre l’analogie des échecs, plus nous comprenons le répertoire d’ouvertures de notre adversaire, mieux nous sommes armés pour le contrer.
En matière de déplacements latéraux, il ne fait aucun doute que la grande majorité des cybercriminels opteront pour la facilité. Pourquoi tenter de percer les défenses et risquer d’être découverts alors qu’il est bien plus simple de rechercher des identifiants de connexion stockés sur l’endpoint compromis ?
Il peut s’agir de rechercher des fichiers motdepasse.txt, des identifiants de connexion RDP (Remote Desktop Protocol) stockés ou tout élément de valeur qui pourrait se trouver dans la corbeille. Si cela semble effroyablement simple, c’est parce que ça l’est. Cette approche ne requiert pas de privilèges d’administrateur. Il est peu probable qu’elle déclenche des alertes. Et malheureusement, elle est d’une efficacité redoutable.
Au cours de nos recherches, nous avons découvert qu’un endpoint sur six présente des risques liés aux identités qui permettent aux cybercriminels d’élever les privilèges et de se déplacer latéralement à l’aide de ces données. Pour en savoir plus, consultez notre rapport de recherche sur l’analyse des risques liés aux identités.
En ce qui concerne les attaques à grande échelle, DCSync est désormais la norme. Les collectifs à la solde d’États et de nombreux groupes de cyberpirates y ont recours. Cette technique est tellement répandue que s’il s’agissait d’une vulnérabilité « zero-day », les responsables de la sécurité réclameraient un correctif à cor et à cri.
Toutefois, puisqu’il est généralement admis qu’Active Directory est difficile à sécuriser, il est également reconnu que les vulnérabilités de ce type continueront à exister.
Pour faire simple, une attaque DCSync permet à un cybercriminel de simuler le comportement d’un contrôleur de domaine et de récupérer des données de mot de passe d’utilisateurs à privilèges dans Active Directory. Là encore, ce type d’attaque est incroyablement facile à lancer.
Avec une simple commande PowerShell, les cyberpirates peuvent trouver des utilisateurs disposant des autorisations dont ils ont besoin. Ajoutez à cela un outil prêt à l’emploi comme Mimikatz, et en quelques secondes, ils peuvent accéder à chaque hachage et privilège Active Directory sur le réseau.
Maîtriser notre défense
Une fois que les cybercriminels ont infiltré nos entreprises, il est trop tard pour mettre en place des protections traditionnelles axées sur le périmètre. À la place, nous devons prendre des mesures pour limiter l’accès des cyberpirates à d’autres privilèges et les encourager à révéler leurs déplacements.
Cela commence par une évaluation de notre environnement. Proofpoint Identity Threat Defense offre une transparence totale, ce qui permet aux équipes de sécurité d’identifier leurs principales vulnérabilités. Grâce à ces informations, nous pouvons réduire la surface d’attaque potentielle en renforçant les protections des utilisateurs à privilèges et en nettoyant les endpoints pour empêcher les cybercriminels d’accéder aux identités de valeur.
Avec Proofpoint Identity Threat Defense, nous pouvons exécuter automatiquement ces processus pour corriger les vulnérabilités en temps réel, même lorsque des cyberpirates se déplacent déjà latéralement au sein de nos environnements.
Bien entendu, tant que des cybercriminels se trouvent derrière nos défenses, nous ne pouvons pas avoir l’esprit tranquille. Par conséquent, en plus de limiter le risque d’escalade, nous devons inciter les acteurs malveillants à révéler leurs outils, techniques et procédures.
Pour ce faire, nous pouvons étendre la surface d’attaque perçue. Proofpoint Identity Threat Defense utilise plus de 75 techniques de leurre pour imiter les identifiants de connexion, les connexions, les données, les systèmes et autres artefacts qui intéressent les cyberpirates.
Nous savons que la plupart des cybercriminels optent pour la facilité. Nous pouvons donc être sûrs qu’ils chercheront à prendre notre reine si elle semble exposée. Mais cette fois, ils déclencheront nos défenses, ce qui nous permettra d’obtenir des informations sur les connexions compromises, des captures d’écran des activités malveillantes et bien plus encore.
Cette approche permet aux équipes de sécurité de détecter et de bloquer les déplacements latéraux, et nous offre un aperçu du point de vue du cyberpirate. Nous pouvons évaluer la progression des cybercriminels vers les ressources stratégiques, déterminer comment ils sont arrivés jusque-là et comment ils interagissent avec nos données de leurre. Toutes ces informations nous aident à renforcer notre stratégie défensive pour contrer les futures attaques.
En savoir plus
Regardez ce webinaire pour découvrir comment briser la chaîne d’attaque et protéger vos collaborateurs avec des solutions de sécurité centrées sur les personnes.
Apprenez-en plus sur Proofpoint Identity Threat Defense et revenez la semaine prochaine pour en savoir plus sur la dernière étape de la chaîne d’attaque — l’implantation et l’impact.