Table des matières
- Le cycle de vie d’un danger sophistiqué et implacable
- Liste des menaces cruciales
- 10 exemples de groupes de danger persistant sophistiqués
- 10 meilleures pratiques pour l’identification et la gestion innovantes des risques persistants
Un danger constant avancé (APT) est défini comme un – cyberattaque mise en scène où un cambrioleur établit et maintient une présence non détectée au sein du réseau d’une entreprise pendant une période prolongée.
La cible peut être un gouvernement ou une entreprise privée et la fonction peut être de tirer des informations pour le vol ou de déclencher d’autres dommages. Un APT peut être introduit contre les systèmes d’une entité pour accéder à une autre cible de grande valeur. Les malfaiteurs personnels et les stars de l’État sont connus pour effectuer des APT.
Les groupes d’acteurs du danger qui positionnent ces APT sont soigneusement suivis par plusieurs organisations. La société de sécurité CrowdStrike suit plus de 170 groupes APT et rapporte avoir observé une augmentation de près de 45 % des projets d’invasion interactifs de 2020 à 2021. Alors que la criminalité électronique (financière) est toujours l’intention la plus typique déterminée, les actions d’espionnage des États-nations se multiplient. rapidement et maintenant une forte deuxième en fréquence.
Un APT est composé de 3 étapes principales :
voici quelques exemples tirés de la base de données de MITRE :
- APT29 : supposé être lié au service russe de renseignement extérieur (SVR). Il existe en fait depuis au moins 2008. Les cibles incluent en fait les gouvernements fédéraux, les partis politiques, les think tanks et les entités industrielles/commerciales en Europe, aux États-Unis et au Canada, en Asie et au Moyen-Orient. Dans certains cas appelés Cozy Bear, CloudLook, Grizzly Steppe, Minidionis et Yttrium.
- APT38 : Également appelé Lazarus Group, Gods Apostles, Gods Disciples, Guardians of Peace, ZINC, Whois Cobra de groupe et caché. Il a tendance à cibler les échanges Bitcoin, la crypto-monnaie et de nombreuses sociétés célèbres de Sony Corp.. On pense qu’il est d’origine nord-coréenne.
- APT28 : Également appelé Fancy Bear, Canapé et Sednit. Ce groupe est devenu célèbre pour avoir attaqué des groupes politiques, en particulier aux États-Unis, mais aussi en Allemagne et en Ukraine.
- APT27 : Également connu sous le nom de LuckyMouse, Emissary Panda et Iron Tiger. Les succès ont en fait inclus des cibles dans les domaines de l’aérospatiale, de l’éducation et du gouvernement fédéral dans le monde entier. Idée d’être basé en Chine.
- REvil : Aussi connu sous le nom de Sodinokibi, Sodin Targets, GandCrab, Oracle et Golden Gardens. Il a pris de l’importance il y a quelques années grâce aux attaques de rançongiciel REvil.
- Evil Corp : également appelé Indirk Spider. Ce groupe se concentre sur les secteurs de la finance, du gouvernement fédéral et des soins de santé. Le rançongiciel BitPaymer, par exemple, a paralysé les systèmes informatiques aux États-Unis. Le groupe est venu de Russie et a fait l’objet d’un examen et de sanctions par le ministère américain de la Justice.
- APT1 : Également appelé Comment Team, Byzantine Hades, Remark Panda et Shanghai Group. Opérant depuis la Chine, il cible l’aérospatiale, la chimie, la construction, l’éducation, l’énergie, l’ingénierie, le divertissement, la monnaie et l’informatique dans le monde entier.
- APT12 : Également appelé Panda numéroté , Calc Group et Crimson Iron. Il s’attaque principalement aux cibles d’Asie de l’Est, mais a en fait connu du succès contre des médias tels que le New York Times.
- APT33 : Également connu sous le nom d’Elfin et de Magnallium. Il obtient l’aide du gouvernement fédéral iranien et se concentre sur les secteurs de l’aérospatiale et de l’énergie en Arabie saoudite, en Corée du Sud et aux États-Unis.
- APT32 : Également appelé OceanLotus, Ocean Buffalo et SeaLotus . Les principales cibles sont en fait restées en Australie et en Asie, y compris la violation de Toyota. Le groupe est basé au Vietnam.
10 bonnes pratiques pour une identification et une gestion innovantes des risques persistants
Il est intrinsèquement difficile d’identifier les APT. Ils sont conçus pour être sournois, aidés par l’avancement et le trafic illicite des exploits zero-day. Par définition, les exploits zero-day ne peuvent pas être identifiés directement. Les attaques ont tendance à suivre des schémas particuliers, poursuivant des cibles prévisibles telles que des qualifications administratives et des référentiels d’informations fortunés représentant des propriétés d’entreprise critiques. Voici 10 idées et meilleures pratiques pour prévenir et reconnaître l’intrusion APT :
1. Modélisation et instrumentation des menaces : « La modélisation des dangers est une pratique utile qui aide les protecteurs à comprendre leur position de danger du point de vue d’un agresseur, en informant les décisions d’architecture et de conception autour des contrôles de sécurité », selon Igor Volovich, vice-président de la conformité chez Qmulos. Instrumenter l’environnement avec des contrôles efficaces capables de découvrir une activité malveillante basée sur l’intention plutôt que sur une méthode particulière est une instruction tactique que les entreprises doivent suivre. « 2. Restez vigilant : faites attention aux analystes de la sécurité et aux postes
de sécurité du quartier qui surveillent les groupes APT. Ils recherchent des activités connexes suggérant les actions de groupes de danger, de groupes d’activité et d’étoiles de danger, ainsi que des indications d’activités telles que de nouveaux ensembles d’invasion et des cybercampagnes. Les organisations peuvent obtenir des informations de ces sources et les utiliser pour examiner leurs propres actifs afin de voir s’ils chevauchent des inspirations de groupe ou des méthodes d’attaque connues. Ils peuvent alors prendre les mesures appropriées pour sécuriser leurs entreprises. 3. Norme : Afin de détecter un comportement anormal dans l’environnement et ainsi trouver les indices révélateurs de la présence d’APT, il est très important de comprendre votre propre environnement et de développer une ligne de base commune. En se référant à cette norme, il devient plus simple de trouver des modèles de trafic étranges et des comportements inhabituels. 4. Utilisez vos outils : Il peut être possible de déterminer les APT en utilisant les outils de sécurité existants tels que la protection des terminaux, les systèmes de prévention des intrusions sur le réseau, les programmes de pare-feu et les défenses contre les e-mails. De plus, une gestion cohérente des vulnérabilités et l’utilisation d’outils d’observabilité ainsi que des audits trimestriels peuvent être utiles pour prévenir un danger avancé cohérent. Avec la présence complète des journaux à partir de plusieurs couches de technologie de sécurité, il peut être possible de séparer les actions liées au trafic destructeur connu. 5. Renseignements sur les risques : les données des outils de sécurité et les informations sur le trafic éventuellement anormal doivent être examinées par rapport aux sources de renseignements sur les dangers. Les flux de danger peuvent aider les organisations à articuler clairement le danger et ce qu’il peut potentiellement suggérer à l’organisation touchée. De tels outils peuvent aider une équipe de direction à comprendre qui a pu les attaquer et quels ont pu être leurs motifs. 6. Anticipez une attaque : les menaces avancées implacables sont généralement liées à des cyberattaques parrainées par l’État. Les organisations des secteurs public et privé ont également été touchées. Les entreprises financières et technologiques sont considérées comme plus à risque, mais de nos jours, personne n’a besoin de présumer qu’elles ne subiront jamais une telle attaque, même les PME. « Toute entreprise qui stocke ou transfère des informations individuelles sensibles peut être une cible », déclare Lou Fiorello, vice-président. président et superviseur général des éléments de sécurité chez ServiceNow. « Cela découle, en partie, de la montée des logiciels malveillants de base : nous voyons certains groupes d’activités criminelles tirer de grandes quantités de richesse de leurs activités malveillantes qui leur permettent d’acheter et d’utiliser zéro vulnérabilités quotidiennes. « 7. Concentrez-vous sur l’intention : Volovich suggère que les entreprises adoptent des contrôles capables de détecter une activité nuisible basée sur plutôt qu’un particulier comme direction stratégique que les entreprises devraient suivre pour prévenir les APT. Cela peut être considéré comme une stratégie de gestion des menaces basée sur les résultats qui notifie les choix tactiques concernant les portefeuilles d’outils et les priorités d’investissement financier, ainsi que l’orientation de l’architecture et de la conception des applications et des flux de travail critiques. 8. Conformité : Dans le cadre des efforts de conformité en cours, les organisations doivent établir une base solide de contrôles de sécurité alignés sur un cadre typique tel que NIST 800-53 ou ISO 27001. Mapper les investissements d’innovation actuels et organisés sur la structure choisie objectifs de contrôle pour déterminer les lacunes à combler ou à combler. 9. Connaissez vos outils et cadres : certaines organisations s’efforcent de respecter chaque élément d’un cadre de sécurité ou de conformité ou d’un autre
. Néanmoins , cela peut prendre l’apparence d’atteindre la conformité pour elle-même (ce qui peut être exigé dans certains secteurs). Diverses structures de conformité et de sécurité doivent servir de guides utiles ainsi que de modèles pour une gestion constante du danger, mais elles ne constituent pas l’objectif ultime d’un programme qui arrêtera les APT dans leur élan. Concentrez-vous sur l’évaluation et l’amélioration de la
maturité des contrôles et des outils eux-mêmes et de votre capacité générale à gérer les risques. Les fournisseurs et les entreprises chargés d’aider les organisations à réagir à un événement le comprennent bien : les victimes sont souvent coupables de ne même pas couvrir l’hygiène du programme de sécurité à un niveau de base. Certains ont peu ou pas de capacité de détection et d’action, ils manquent donc des signes apparents d’activité APT. Cela revient à réaliser des exigences, des structures et des outils ostensiblement. Ces entreprises n’ont pas pris les mesures supplémentaires nécessaires pour s’assurer que les travailleurs de l’informatique et de la sécurité finissent par être qualifiés (et certifiés) dans leur utilisation. « Avoir un outil n’est pas la même chose que de comprendre comment l’utiliser et d’en acquérir la maîtrise,
« Dooley observe. »Je peux aller acheter une combinaison scie à table, toupie et tour, mais sans expérience, à quoi pensez-vous que mes meubles ressembleront ? »10. Bases de base : Il existe de nombreux systèmes de sécurité, et il y en a tellement de nouveaux qui apparaissent chaque mois, qu’il est simple d’égarer les bases. Indépendamment de toute la complexité et la sophistication derrière l’APT, les acteurs nuisibles font souvent leurs premières incursions en utilisant les vecteurs d’attaque les plus faciles. Ils utilisent toutes sortes de stratégies de phishing pour inciter les utilisateurs à installer des applications ou à les laisser entrer dans les systèmes.
Deux actions qui devraient maintenant être considérées comme importantes sont la formation de sensibilisation à la sécurité de tous les travailleurs pour se défendre contre l’ingénierie sociale, et l’authentification à deux facteurs. » Un élément clé de la réduction des menaces consiste à former vos utilisateurs sur la façon de reconnaître et de réagir aux tentatives d’hameçonnage », propose Brad Wolf, vice-président senior des opérations informatiques chez NeoSystems. La mission est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies commerciales transformatrices et d’effectuer des transactions. Découvrez nos Briefings..
Toute l’actualité en temps réel, est sur L’Entrepreneur
