Auparavant, seules les grandes entreprises et institutions gouvernementales étaient la cible d’APT (Advanced Persistent Threat). Ce n’est aujourd’hui plus le cas.
En effet, la banalisation de l’outillage et l’explosion de la surface d’attaque font que les gains obtenus via l’extorsion ou le vol de données sont largement suffisants pour justifier l’attaque ciblée d’une entreprise de taille moyenne.
Contrairement aux malwares, ces attaques intègrent une démarche de compromission du système d’information. Des modèles types ont été défini afin d’identifier le processus le plus souvent appliqué par les attaquants. La MITRE ATT&CK et la Cyber Kill Chain en font partie.
Les 7 composantes de la Cyber Kill Chain
- Reconnaissance : analyse sur les réseaux sociaux, informations en libre accès, recherche d’hôtes vulnérables…
- Outillage : compilation des exploits pour attaquer à partir des informations trouvées lors de la phase de reconnaissance
- Delivery : première charge d’attaque
- Exécution : compromission du système d’information
- Persistance : intrusion durable sur le système d’information
- Commande et contrôle : cheval de Troie asservit pour exfiltrer ou chiffrer des données
- Impact : phase de chiffrement et de rançonnage
Des actions peuvent être menées sur plusieurs de ces étapes afin de diminuer le risque de compromission : contrôle des informations en libre accès sur le web, détection des signaux faibles…. Toutefois, c’est sur la partie Delivery que le risque peut être le plus atténué via le déploiement d’un EDR/XDR qui est la solution la plus performante pour détecter ce type d’attaque.
Basée sur l’analyse comportementale, l’EDR se substitue aux solutions antivirus vieillissantes. En effet, elle intègre en complément la détection de signaux faibles (mouvements latéraux, obfuscation de code…) en mettant en contexte les éléments analysés. Des éléments qui sont individuellement anodins mais qui une fois réunis représentent une menace sont ainsi détectés.
Pour ce faire, l’EDR se base principalement sur l’analyse comportementale mais également sur une analyse statique des fichiers. Ces dernières s’appuient sur une base de référence propre à chaque éditeur mais également sur des référentiels tels que la MITRE ATT&CK. La corrélation de ces éléments et la remontée télémétrique fait par l’agent EDR permet la détection d’APT qui ne seraient pas détectés par un antivirus traditionnel.
La solution permet également une investigation plus approfondie pour les équipes d’analystes (en retraçant par exemple le cheminement de la menace et la propagation sur le réseau par exemple).
Ces fonctionnalités de détection et de protection sont complémentaires aux services SOC. En récupérant de la télémétrie sur les machines, l’EDR est en capacité de modéliser finement un comportement ou enchainement d’actions correspondant à un scénario d’attaque. Certaines actions peuvent être gérées automatiquement tandis que d’autres nécessiteront une investigation et une levée de doute notamment dans le cas de faux-positifs. Dans ce dernier cas, il est nécessaire qu’une analyse complémentaire soit réalisée en 24/7.
Ce type d’action intervient dans les opérations effectuées quotidiennement par des équipes SOC. Ces dernières ont aujourd’hui de plus en plus d’alertes qui leur sont remontées par des solutions EDR/XDR.
Certains comportements peuvent être causés par une utilisation légitime matchant avec un scénario de détection d’attaque. Dans ce cas, un cyber-analyste va se pencher sur le sujet en comparant ces éléments avec les fiches d’instructions présentes dans sa base de données. Ces derniers peuvent être assimilés à l’ensemble des retours d’expérience du service SOC. L’analyste va également s’appuyer sur des outils de corrélation qui permettent de connaitre plus finement le niveau de menace.
Il va pouvoir appliquer le principe de précaution dans l’éventualité où un problème surviendrait la nuit par exemple. Ce dernier peut s’appliquer en confinant certains postes.
Ces actions, sujettes à interprétation, ne peuvent être réalisées que par intervention humaine. C’est pour ces raisons que l’utilisation d’une solution EDR/XDR ne peut être dissociée aux services opérés par un SOC.
Ce couple SOC et EDR s’intègre dans une démarche de Sécurité Opérationnelle qui comprend une phase de résilience de l’entreprise.
En effet, malgré la mise en place de ce binôme, certaines attaques peuvent passer entre les mailles du filet.
C’est pour cela que les organisations doivent être résilientes, c’est-à-dire être préparées à résister dans le cas où une attaque arriverait à son terme. La gouvernance des données est au cœur de cette stratégie de résilience. Cela passe notamment par le chiffrement des données sensibles ou encore la sauvegarde hors site.