3
ASSOCIATIONS Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmer que l’industrie de la sécurité est tombée dans une déchirure spatio- temporelle. Le monde de la sécurité, dans son ensemble, accuse un retard d’au moins une dizaine d’années par rapport à celui des attaquants. Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus consti- tuaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart des attaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires. Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vecteurs d’attaque auxquels on fait face. En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de pro- tection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face. Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, et cela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que cela arrivera de nouveau ? », mais plutôt « quand cela arrivera-t-il ? » et « combien de fois encore ? ». ADVANCED PERSISTENT THREAT (APT) L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsque vient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sont conçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Les attaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ils réussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire près de deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’ APT. Un bon exemple d’ APT est l’attaque qui a frappé l’entreprise RSA en 2011, où les secrets partagés (seeds), qui sont des composantes reliées aux jetons SecurID 2 , avaient été dérobés par des pirates 3 . Les auteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui ten- tent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se faire détecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite est impressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifs de façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler ou manipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintien- nent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant un accès leur permettant de revenir plus tard pour frapper de nouveau. SÉCUS est heureux de confier à BSidesQuébec la rédaction de la chronique technique du magazine et espère que vous apprécierez cette section. Pour plus d’informations sur BSidesQuébec, consultez bsidesquebec.org. Quand se protéger ne suffit plus PAR BSIDESQUÉBEC « On est en train de perdre la guerre, mais que peut-on faire vis-à-vis de ce constat d’échec? » ADVANCED PERSISTENT THREAT (APT) 1 Automne 2012 SÉCUS | 49 | Suite en page 50

Article prot vs_def_secus_10_12

Embed Size (px)

Citation preview

Page 1: Article prot vs_def_secus_10_12

A S S O C I A T I O N S

Sans être astrophysiciens à la NASA, plusieurs sont en mesure d’affirmerque l’industrie de la sécurité est tombée dans une déchi rure spatio -temporelle. Le monde de la sécurité, dans son ensemble, accuse un retardd’au moins une dizaine d’années par rapport à celui des attaquants.

Il y a dix ans, les coupe-feu, les sondes de détection d’intrusion et les antivirus consti -tuaient la majeure partie de l’arsenal de protection et permettaient de contrer la plupart desattaques. Aujourd’hui, ces moyens de défense, dits traditionnels, sont encore nécessaires.Toutefois, ils ne sont plus suffisants pour contrer, à eux seuls, les nouveaux vec teurs d’attaqueauxquels on fait face.

En fait, une stratégie de défense qui ne repose que sur des mécanismes classiques de pro-tection est tout simplement déficiente. Il faut changer les paradigmes et voir les choses en face.Malgré tous les mécanismes de protection déployés, presque tout le monde a déjà été piraté, etcela arrivera encore dans le futur, qu’on le veuille ou non. La question n’est pas « est-ce que celaarrivera de nouveau ? », mais plutôt « quand cela arrivera-t-il ? » et « combien de fois encore ? ».

ADVANCED PERSISTENT THREAT (APT)L’une des causes du problème est que le monde de la sécurité, dans son ensemble, n’a pas

évolué au même rythme que l’industrie du piratage. On est donc nettement désavantagé lorsquevient le temps d’affronter les nouvelles techniques d’attaque. Il faut comprendre qu’elles sontconçues de façon à contourner ou à s’intégrer aux mécanismes traditionnels de défense. Lesattaquants sont non seulement en mesure de contourner les mécanismes de défense, mais ilsréussissent à garder le contrôle des réseaux de leurs victimes pendant plusieurs mois, voire prèsde deux ans dans certains cas, avant d’être détectés. C’est ce que l’on appelle l’APT. Un bonexemple d’APT est l’attaque qui a frappé l’entreprise RSA en 2011, où les secrets partagés (seeds),qui sont des composantes reliées aux jetons SecurID2, avaient été dérobés par des pirates3. Lesauteurs de ce type d’attaque ne font pas partie de la catégorie des attaquants habituels qui ten-tent d’en obtenir plus avec le moins d’efforts possible et qui ne se soucient pas de se fairedétecter. En fait, ce sont des pros. Ils sont organisés, motivés, tenaces et leur taux de réussite estimpressionnant. Leurs attaques sont stratégiques. Ces attaquants compromettent leurs objectifsde façon systématique et s’assurent de maintenir un accès continu de façon à pouvoir voler oumanipuler l’information à leur guise. Ils ne sont pas « bruyants », bien au contraire. Ils maintien-nent un profil bas afin de passer inaperçus pendant et après l’attaque tout en maintenant unaccès leur permettant de revenir plus tard pour frapper de nouveau.

SÉCUS est heureux de confierà BSidesQuébec la rédactionde la chronique technique dumagazine et espère que vousapprécierez cette section.Pour plus d’informations surBSidesQuébec, consultezbsidesquebec.org.

Quand se protégerne suffit plusPAR BSIDESQUÉBEC

«On est en train de perdre la guerre, mais que peut-on faire vis-à-vis de ce constat d’échec?»

ADVANCED PERSISTENT THREAT (APT)1

Automne 2012 SÉCUS | 49 |

Suite en page 50

Page 2: Article prot vs_def_secus_10_12

Automne 2012 SÉCUS | 50 |

La firme américaine Mandiant se spécialise notammentdans la réponse aux incidents et publie un rapport annuel quis’intitule M-Trends4. Le rapport de 2012 fait état de cas d’inci-dents traités au cours de la dernière année et dépeint un por-trait très peu rassurant de cette nouvelle réalité que trop peude gens et d’organisations connaissent. Voici quelques faitssaillants du M-Trends (2012) :

! Seulement 6 % des organisations ont découvert lesbrèches elles-mêmes et 94 % d’entre elles ont été avi -sées par une source externe.

! L’APT typique passe inaperçue pendant plus d’un an.! Les brèches sont de plus en plus découvertes lors de

processus de fusions et d’acquisitions.! Les attaques avancées visent plusieurs maillons de la

« chaîne ».! Les logiciels malveillants (malware) racontent seule-

ment la moitié (54 %) de l’histoire.! L’utilisation d’outils publics ajoute de la complexité

dans l’identification des acteurs derrière les menaces.! Les attaquants diversifient leurs mécanismes de

persistance.! Les attaquants motivés par des objectifs financiers

sont de plus en plus persistants.Il est important de porter attention à deux de ces points.

Le premier concerne les attaques avancées qui visent plusieursmaillons de la chaîne. En fait, les attaquants tentent de passerpar un tiers pour atteindre leur cible. À titre d’exemple, despirates ont réussi à s’introduire dans quatre grands cabinetsd’avocats de la rue Bay à Toronto au cours de la dernière année,et ce, à l’aide de cyberattaques très sophistiquées conçuespour détruire des données ou voler des documents sensiblesen matière de fusions et d’acquisitions imminentes5. Évidem-ment, les cibles n’étaient pas les cabinets d’avocats, mais bienleurs clients. Le second concerne le fait que les logiciels malveil-lants ne racontent que la moitié (54 %) de l’histoire. Cela signifieque l’autre moitié des attaques (46 %) n’implique pas de logi-ciels malveillants. En fait, une fois qu’un système a été compro-mis par les attaquants à l’aide d’un logiciel malveillant, desnoms d’utilisateur et mots de passe valides (credentials) sontvolés sur le système. Ces derniers sont ensuite réutilisés parles pirates pour se connecter à d’autres systèmes. Les con -nexions à ces systèmes qui semblent alors légitimes passentsous le radar et n’attirent pas l’attention.

PRÉVENTION ET DÉFENSE PAR RAPPORT À LA DÉTECTIONET À LA RÉPONSE

Il faut comprendre que les APT sont réelles et que leursauteurs disposent de plus de temps et d’argent pour s’intro-duire dans les infrastructures que l’on a de temps et d’argentpour les sécuriser. La plupart des organisations allouent lamajorité de leur budget et de leurs efforts à la sécurité sur lestechniques de prévention et de défense pour malheureuse-ment négliger la détection et la réponse aux incidents. Alors, sil’on considère le fait que l’on se fera pirater peu importe les

moyens de prévention et de défense mis en place, on constateévidemment qu’un changement de paradigmes sur le plan desstratégies traditionnelles de défense s’impose. Il faut voir lesmesures préventives comme des moyens ayant pour but deralentir les attaques afin que les mesures de détection aient le temps de les identifier. La notion de détection évoquée icin’inclut pas uniquement les mécanismes traditionnels telsque les sondes de prévention et de détection des intrusions(IDS et IPS), mais également les trois approches mention-nées plus loin. Une réponse adéquate aux incidents estnécessaire afin de tenter de maîtriser la situation avant que lesattaquants réalisent qu’ils ont été découverts.

Parmi les différentes approches de détection et répon sespossibles, voici trois types de contrôles qui devraient être for -tement considérés et qui pourraient aider grandement dans lessituations où l’on doit faire face à des attaques de type APT :

AUGMENTER LES CONTRÔLES SUR LES COMMUNICATIONS SORTANTESTrop souvent, les communications sortantes ne sont pas

ou sont mal contrôlées sur le plan du périmètre. La plupart deslogiciels malveillants tenteront tôt ou tard de se connecter à uncentre de commandement (CC), que ce soit pour téléchar gerdes mises à jour, recevoir des instructions, voler et exfiltrer de l’in-formation, etc. Or, les protocoles fré quemment utilisés en sortievers Internet tels que HTTP, HTTPS ou DNS sont souvent utiliséspar les logiciels malveillants afin de se fondre dans la masse dutrafic légitime d’une orga nisation pour ensuite se connecterau CC. Il est donc essentiel d’exercer un contrôle adéquat à ceniveau, par exemple en permettant uniquement aux serveursDNS de faire des requêtes vers Internet sur les ports TCP et UDP53 pour qu’un logiciel malveillant tentant d’utiliser ce protocolesoit bloqué. De plus, un système situé sur le réseau interne nedevrait jamais pouvoir rejoindre Internet directement sanspasser par un serveur mandataire (proxy). Toutes les connexionsqui tentent de rejoindre Internet sans pas ser par un serveurmandataire pourraient par exemple être redirigées via la routepar défaut du réseau (0.0.0.0.) vers un pot de miel (honeypot)6

situé à l’interne. Cela contribuerait à bloquer les connexionsde type CC et à analyser le contenu du trafic clandestin oumalicieux et ainsi à détecter les systè mes potentiellementinfectés à l’interne et d’en apprendre plus sur l’attaque en coursqui, parfois, est invisible autrement.

1

Suite de la page 49

Suite en page 51

Page 3: Article prot vs_def_secus_10_12

CONTRÔLER L’ACCÈS AUX RESSOURCES INFORMATIQUESLe nerf de guerre est l’information, et c’est exactement

ce que les attaquants tentent d’obtenir lors qu’ils attaquentune infrastructure.

Par exemple, il n’est pas normal que des systèmes con-tenant de l’information de cette nature soient sur un réseau platqui n’a aucune segmentation et qui n’offre aucun cloisonne mentdes données. De plus, des solutions d’authentification forte detype Role Based Access Control (RBAC)7 combi nées avec unesolution de gestion des identités contribueront grandement àsécuriser les données. Il faut comprendre que, même si l’on metles meilleurs mécanismes en place, cela ne rendra pas les sys-tèmes impénétrables. Cependant, plus on met de bâtons dansles roues des attaquants, plus ils ris quent de s’enfarger et d’êtrebruyants, ce qui permettra de repérer leurs activités qui neseraient peut-être pas détectées autrement.

ANALYSER LES INFORMATIONS PERTINENTESIl ne suffit pas de tout journaliser. Encore faut-il savoir

quoi regarder et avoir les bons outils pour le faire. Voici l’exemplede la série de requêtes DNS :

! date-20XX 08:42:29.121 client 1.1.1.130#18759:query: drpxbbjbvcvcjllyqxsn.com IN A

! date-20XX 08:42:29.218 client 1.1.1.130#18789:query: eh4t07sruha0x3betqa.com IN A –EQue remarque-t-on ? Est-ce que les noms de domaine

« drpxbbjbvcvcjllyqxsn.com » et « eh4t07sruha0x3betqa.com »semblent légitimes ou ressemblent-ils à des requêtes quipour raient avoir été faites par un logiciel potentiellementmal veil lant tentant de rejoindre un CC ? Il s’agit fort proba-blement de requêtes faites par un logiciel potentiellementmalveillant.

Voici maintenant des requêtes ayant été journaliséespar un coupe-feu :

! 2012 Mar 4 02:18:33 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html

! 2012 Mar 4 08:18:34 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html

! 2012 Mar 4 14:18:34 1.1.1.111/1.1.1.111 %ASA-5-304001: 1.1.1.42 Accessed URL 69.3.211.4:http://www.emcc.com/info.html

2

3

Un élément en particulier attire-t-il l’attention ? Est-ceque des requêtes à intervalles fixes de six heures précises àla seconde près sur une période de douze heures et toujoursvers la même adresse sont faites par un humain ou par unemachine ? Il y a de fortes chances que ce soit une machine.

IL Y A PLUS !En plus de maintenir les contrôles traditionnels et

d’exercer ceux qui sont mentionnés plus tôt, il est égalementrecommandé d’effectuer régulièrement des analyses de vulnérabilité et des tests d’intrusion (pentest) de façon péri-odique, ce qui est un excellent moyen de découvrir les failleset d’avoir la vision que les attaquants ont de l’environnementtechno logique. Il faut être conscient que ces deux activitéssont différentes, alors on doit prendre cette réalité encompte. Une analyse de vulnérabilité est ni plus ni moinsqu’un balayage (scan) de vulnérabilité suivi d’un rapport. Cene devrait pas seulement être un copier-coller provenant durésultat d’un outil, mais bien une interprétation de ce dernier,incluant des recommandations et des solutions pour cha-cune des vulné rabilités découvertes.

Le test d’intrusion, quant à lui, pousse l’exer cice plusloin. Le testeur tente d’exploiter les vulnérabilités ayant étédécouvertes, tout comme un vrai pirate le ferait, mais dansun cadre professionnel et contrôlé. Il faut noter que cestests peuvent être effectués tant sur le plan du réseau, duserveur que de l’application. On peut même tester leshumains grâce à l’ingénierie sociale ! Mais c’est un autredossier...

«Que ce soit des fichiers contenant des informations confidentielles ou des basesde données avec des numéros de cartes

de crédit, l’accès aux ressources informatiques doit être rigoureusement

contrôlé et journalisé.»

BSIDESQUEBEC, FIER PARTENAIRE DU CQSI, S’UNIT À CUSIN SÉCURITÉ INC.,

AFIN DE SOULIGNER L’IMPLICATION DE L’ASIQ ET LES 20 ANS DU CQSI!

http://bsidesquebec.orghttp://cusin.ca

Suite de la page 50

Suite en page 52