Livre blanc

Indicateurs de
compromission (IOC)

Les organisations d'aujourd'hui vivent dans un monde où la menace de compromission est omniprésente, en constante évolution et sans cesse croissante. Jamais auparavant dans l’histoire de l’informatique le besoin de sécurité n’a été autant mis en avant. C'est devenu un critère fondamental lors de l'examen, de la discussion ou du choix de nouvelles solutions, plates-formes et applications.

En tant qu'activité commune à presque tous les types d'attaque, les connexions constituent l'un des indicateurs de compromission les plus clairs permettant de protéger les données de l'entreprise et de contrecarrer les attaques.

Dans ce livre blanc, vous trouverez:

  • Qui et quoi exactement, sont les menaces communes
  • Descriptions détaillées des indicateurs potentiels de compromission
  • Pourquoi les connexions sont l'indication la plus simple de compromission
  • Comment UserLock peut exploiter cet indicateur non seulement pour détecter, mais aussi pour prévenir une violation

Qui et quoi exactement, sont les menaces communes ?

Les acteurs de menaces les plus communs se divisent en deux groupes. Le premier groupe est représenté par les acteurs externes (les hackers, les auteurs de malware, les organisations malveillante, etc.), qui représentent environ deux tiers des violations de données effectuées l’année dernière1.

Le second groupe est composé des acteurs internes ayant déjà accès à vos données importantes, ou qui piratent en interne pour en obtenir l’accès. Ce groupe représente un peu moins d’un tiers des violations de données1, attribuant les compromissions restantes aux partenaires et aux multiples acteurs travaillant ensemble1.

Pour compliquer encore les choses, il existe également de nombreuses façons d’infiltrer un réseau. Le piratage, l'ingénierie sociale et les logiciels malveillants arrivent en tête de liste des vecteurs d'attaque dans les violations de données, ce qui ne fait que rendre plus difficile la protection et la détection des compromissions.

Il existe des mesures évidentes de protection et de prévention, telles que le patching, l’utilisation de logiciels anti-malware et anti-hameçonnage, la mise en liste blanche des applications, etc. Cependant, comme mentionné précédemment, même les organisations ayant les meilleurs systèmes de sécurité sont victimes d’attaques malveillantes.

Pour le reste de cet article, nous considérerons que malgré les meilleures intentions des services informatiques de sécuriser l’environnement, les compromissions continueront d'exister. Il devient donc essentiel de pouvoir identifier les indicateurs de compromission – activités anormale, trafic réseau, accès, etc. - qui devront être étudiés et / ou traités sachant que chacun d’entre eux peut potentiellement représenter un évènement de compromission.

Quels sont donc les indicateurs de compromission ?

Identifier les indicateurs de compromission

Indicateurs de compromission Toute attaque efficace inclut de la discrétion ou de l'obfuscation à un certain degré, de sorte que les indicateurs de compromission n'apparaissent pas toujours de la même manière.

Prenons l’exemple d’une compromission utilisant un ensemble de niveaux d'accès (voir schéma) dans votre environnement – chaque niveau étant susceptible à l’attaque et, par conséquent, à la compromission - et regardons quels indicateurs résident à chaque niveau.

Le périmètre

Le périmètre était autrefois votre pare-feu. Mais nous savons que des organisations comme la vôtre possèdent des applications exposées aux utilisations externes, utilisant des infrastructures de cloud privé et public (étendant par conséquent le périmètre), et permettant divers types d’accès à distance aux ressources internes. Une portion du réseau étant exposée, celle-ci représente donc un vecteur d’attaque évident, ainsi qu’un point d’identification d’une éventuelle compromission.

A ce stade de votre environnement, les indicateurs de compromission nécessiteront une analyse.
Ils comprennent:

  • Port non concordant / trafic d'applications – La communication avec les systèmes internes (pouvant inclure des commandes entrantes et une exfiltration de données sortante) doit souvent s'effectuer sur des ports ouverts (par exemple le trafic HTTP sur le port TCP 80) pour atteindre un serveur externe.
  • Augmentation du nombre de lectures / trafics de données – Le but est d'obtenir le plus de données possible; des lectures supplémentaires sur les bases de données, ainsi que l’augmentation du trafic sortant sont des indicateurs clairs qu’un problème existe.
  • Irrégularités géographiques – Vous ne faites pas d’affaires en Ukraine. Pourquoi existe-t-il donc autant de trafic entre ce pays et votre organisation ? Les sources de communication anormales sont un signe évident que la connexion requiert votre attention.

Le point de terminaison

Il est intéressant de noter que les points de terminaisons représentent la partie du réseau constamment accessible en dehors du périmètre: ils permettent de surfer sur le Web et de servir de réceptacles aux emails entrants (procurant aux logiciels malveillants un moyen d’entrer et une opportunité de s’incruster).

Les indicateurs de compromission sur les points de terminaison impliquent une comparaison approfondie de ce qui est normal pour chaque configuration et activité pour un certain point de terminaison. Les indicateurs comprennent:

  • Les processus non autorisés – Tout, des logiciels malveillants aux outils de piratage, est considéré comme un processus qui n'a jamais pas été exécutés sur un point de terminaison auparavant. Ce n'est pas toujours facile car certains hackers utilisent des commandes, des DLL et des exécutables existants, ou utilisent l'injection directe de mémoire pour éviter la détection.
  • La persistance – La présence de tâches, les paramètres de registre à exécution automatique, les plug-ins du navigateur et même la modification des paramètres de service indiquent tous qu'un point de terminaison est compromis.

Les connexions

La plupart des pirates se concentrent sur l'utilisation de comptes pour accéder aux données ou pour se déplacer dans l'organisation. La connexion est la première étape nécessaire pour accéder à un point de terminaison contenant des données précieuses. Les indicateurs incluent les anomalies de connexion suivantes :

  • Le point de terminaison utilisé – Le PDG ne se connecterait jamais depuis une machine du service des comptes fournisseur, n’est-ce pas ?
  • La date et l’heure d’utilisation – Un utilisateur travaillant de 9:00 à 17:00 se connectant le samedi à 3 heures du matin? Oui, c'est relativement suspect.
  • La fréquence – Un utilisateur, qui se connecte généralement une fois le matin et se déconnecte le soir, commence soudainement à se connecter et se déconnecter sur de courtes périodes, cela peut indiquer un problème.
  • La concurrence - La plupart des utilisateurs se connectent depuis un point de terminaison unique. Un utilisateur se connectant soudain depuis plusieurs points de terminaison à la fois est une alerte évidente.

Le mouvement latéral

Ceci est une étape nécessaire pour la plupart des attaques étant donné que leur point d’ancrage initiale est un poste de travail de bas niveau sans aucun droit d'accès à quoi que ce soit de valeur. Le mouvement latéral est le fait de sauter d’une machine à une autre (autant de fois que nécessaire) afin de localiser et d’accéder à un système possédant des données importantes. Bien que cela puisse ressembler à des connexions, il s’agit plutôt d’une analyse de la combinaison des types de connexion (via RDP, SMB, etc.) et des authentifications. Les indicateurs comprennent:

  • Une contradiction au niveau des utilisateurs/applications – Les utilisateurs de bas niveau n’utilisent que très rarement (voire jamais) d’outils liés à l’informatique, au scriptage, etc., et les utilisateurs n’utilisant jamais de session RDP, etc., sont également suspects.
  • Un trafic réseau anormal – Les outils tels que Netcat peuvent diriger les communications sur les ports autorisés, et tout type d'existence ou d'excès de trafic qui n'est pas normal (par exemple, SMB, RPC, RDP, etc.) indiquent une compromission potentielle.

L’accès aux données

Comme tous les niveaux de l'environnement précédemment traitées, l'accès à vos données, qu'il s'agisse d'un fichier, d'une base de données ou d'une solution de gestion de contenu d'entreprise, est relativement prévisible dans le temps. Donc, la recherche des anomalies suivantes peut indiquer une compromission:

  • La date et l’heure d’accès – Tout comme pour les connexions, l’accès des utilisateurs à toute sorte de données est généralement cohérent dans le temps. Méfiez-vous des connexions en dehors des heures de travail.
  • Le lieu d’accès – Il faut surveiller les données importantes (accédées généralement par des points de terminaisons au sein du réseau) lorsqu’elles sont accédées par des points de terminaison soit externes au réseau soit sur le périmètre.
  • La quantité de données – Il convient de surveiller le périmètre pour détecter les augmentations de données envoyées depuis le réseau, de lectures de données, d’exportation ou de copies/sauvegardes de toute donnée importante.

Trouver les indicateurs de compromission les plus simples

La plupart des indicateurs nécessitant une analyse approfondie, il est impossible d’un point de vue de temps (et même financier) de commencer à surveiller la plupart de ces indicateurs. Vous aurez souvent besoin de faire référence à plusieurs sources d’information pour obtenir des informations pertinentes.

Il convient donc de déterminer lequel de ces indicateurs est le plus facilement détectable, tout en fournissant le meilleur indicateur de compromission.

Au final, une vérité fondamentale aide à cibler votre point de départ - un attaquant est incapable de faire quoi que ce soit dans votre organisation à moins de pouvoir compromettre un ensemble d'identifiants internes.

À l'exception des attaques périmétriques (où les méthodes d'attaque telles que les injections SQL ne nécessitent pas d’identifiants pour accéder aux données), tous les autres niveaux mentionnées dans ce document requiert une connexion à un moment donné. Les points de terminaison ont besoin de connexions pour l'accès, les mouvements latéraux de tout type nécessitent une authentification pour accéder à un point de terminaison cible, et l'accès aux données nécessite d'abord une connexion authentifiée.

Autrement dit: pas de connexion, pas d'accès.

En fait, 81% des violations liées au piratage ont exploité des mots de passe volés ou faibles1, faisant des connexions l’activité la plus commune de tous les modèles d’attaque. Donc, si vous devez choisir un domaine sur lequel vous concentrer, c’est la connexion.

Prévenir, pas seulement détecter les violations

En assumant que la connexion est un indicateur clé, vous pouvez identifier une compromission avant que les actions clés n’aient lieu. Cela fait des connexions l'un des véritables indicateurs anticipant, car les indicateurs associés au mouvement latéral et à l'accès aux données ne se produisent qu'une fois l'action survenue.

De plus les connexions, lorsqu'elles sont surveillées et traitées de manière appropriée, peuvent être liées à des réponses automatisées à l'aide de solutions tierces. Par exemple, UserLock prendra des mesures telles que la déconnexion des utilisateurs et la mise en œuvre de restrictions d'utilisation des comptes afin de déjouer les acteurs de la menace et de protéger les données de l'entreprise. En bref, si quelque chose ne correspond pas à un ensemble de restrictions établies, UserLock agit automatiquement avant que le dommage ne soit causé – pas seulement lorsque le service informatique intervient.

Regardez comment UserLock peut limiter l’utilisation des comptes utilisateurs.

Département autorisé / adresse IP

UserLock réduit la surface d'attaque du réseau pour se protéger contre les accès indésirables par identifiants compromis ou au comportement suspect de l'utilisateur. En dehors de la zone restreinte, l'accès est automatiquement refusé.

Heures autorisées

UserLock limite l'accès à des délais spécifiques ou à une durée de session maximale. En dehors de ces heures ou lorsque le temps est écoulé, les utilisateurs sont déconnectés (déconnexion forcée)
avec un avertissement préalable.

Accès sécurisé pour les utilisateurs sans fil et à distance

UserLock prend en compte les accès de tous les types de session et de tous les périphériques. Cela permet à une organisation de mieux contrôler et de limiter l'accès à ses réseaux sans fil et aux connexions utilisateur extérieures au domaine.

Refuser les connexions simultanées
à partir d'une identité unique

UserLock peut limiter le nombre de points d'entrée uniques et de sessions simultanées pour empêcher les connexions simultanées à partir d'une identité unique. Arrêtez les comportements négligents, le partage de mot de passe et assurez la responsabilité de toutes les actions du réseau.

Empêcher la compromission grâce à la sécurité des connexions

Accès refusé

Dans le cadre d'une stratégie de sécurité développée, l'hypothèse selon laquelle certaines attaques passeront au travers des meilleures défenses est à la fois nécessaire et responsable. Selon cette prémisse, il devient nécessaire pour le service informatique de rechercher des indicateurs de compromission aussi tôt que possible lors d’une attaque.

Tandis que certains indicateurs de compromission sont plus difficiles à surveiller que d’autres, les connexions demeurent l’un des plus faciles à observer, et fournissent les indications les plus claires en termes de compromission. Et en identifiant les compromis avant que les actions clés ne soient effectuées, connexions peuvent être liées à des réponses automatisées avec UserLock, non seulement pour détecter mais également pour prévenir les violations du réseau.

1 Verizon, Data Breach Investigations Report (2017)

Télécharger ce livre blanc en format PDF

Version PDF - 150 KB

À propos de UserLock

Plus de 3 000 clients à travers le monde compte sur UserLock pour aider à prévenir les failles de sécurité. Travaillant aux côtés d'Active Directory pour étendre et non remplacer sa sécurité, UserLock offre une protection puissante pour toutes les connexions au domaine Windows Active Directory, même lorsque les identifiants sont compromis.

  • En utilisant les informations contextuelles autour de la connexion d'un utilisateur, UserLock peut appliquer d'autres restrictions sur ce que les utilisateurs peuvent faire une fois authentifiés.
  • UserLock offre une visibilité en temps réel, des outils de détection des risques et un audit centralisé pour aider à détecter et répondre rapidement aux activités suspectes.

Découvrir et essayer UserLock

UserLock