I

Livre blanc

Indicateurs de compromission (IOC)

Les organisations d'aujourd'hui vivent dans un monde où la menace de compromission est omniprésente, en constante évolution et sans cesse croissante. Jamais auparavant dans l’histoire de l’informatique le besoin de sécurité n’a été autant mis en avant. C'est devenu un critère fondamental lors de l'examen, de la discussion ou du choix de nouvelles solutions, plates-formes et applications.

Les acteurs de menaces ne sont plus des individus, mais des entreprises florissantes cherchant à accroître leurs revenus chaque année en améliorant leurs « produits » et « services » diaboliques. L’entreprise ne fait plus face à un individu opportuniste à la recherche de sensations fortes, mais à un ensemble collectif d'individus ayant l’intention de commettre une effraction et de voler tout ce qu’il y a de précieux sur votre réseau. L’informatique doit donc concentrer autant d’efforts sur la détection de la compromission que sur la protection contre de telles attaques.

Mais à qui et à quoi avez-vous affaire précisément ?

Les acteurs de menaces les plus communs se divisent en deux groupes. Le premier groupe est représenté par les acteurs externes (les hackers, les auteurs de malware, les organisations malveillante, etc.), qui représentent environ deux tiers des violations de données effectuées l’année dernière1. Le second groupe est composé des acteurs internes ayant déjà accès à vos données importantes, ou qui piratent en interne pour en obtenir l’accès. Ce groupe représente un peu moins d’un tiers des violations de données1, attribuant les compromissions restantes aux partenaires et aux multiples acteurs travaillant ensemble1.

Pour compliquer encore les choses, il existe également de nombreuses façons d’infiltrer un réseau. Le piratage, l'ingénierie sociale et les logiciels malveillants arrivent en tête de liste des vecteurs d'attaque dans les violations de données, ce qui ne fait que rendre plus difficile la protection et la détection des compromissions.

Il existe des mesures évidentes de protection et de prévention, telles que le patching (site en anglais), l’utilisation de logiciels anti-malware (site en anglais) et anti-hameçonnage (site en anglais), la mise en liste blanche des applications (site en anglais), etc. Cependant, comme mentionné précédemment, même les organisations ayant les meilleurs systèmes de sécurité sont victimes d’attaques malveillantes.

Pour le reste de cet article, nous considérerons que malgré les meilleures intentions des services informatiques de sécuriser l’environnement, les compromissions continueront d'exister. Il devient donc essentiel de pouvoir identifier les indicateurs de compromission – activités anormale, trafic réseau, accès, etc. - qui devront être étudiés et / ou traités sachant que chacun d’entre eux peut potentiellement représenter un évènement de compromission.

Quels sont donc les indicateurs de compromission ?

Identifier les indicateurs

Indicateurs de compromission Toute attaque efficace inclut de la discrétion ou de l'obfuscation à un certain degré, de sorte que les indicateurs de compromission n'apparaissent pas toujours de la même manière.

Prenons l’exemple d’une compromission utilisant un ensemble de niveaux d'accès (voir schéma) dans votre environnement – chaque niveau étant susceptible à l’attaque et, par conséquent, à la compromission - et regardons quels indicateurs résident à chaque niveau.

Le périmètre

Le périmètre était autrefois votre pare-feu. Mais nous savons que des organisations comme la vôtre possèdent des applications exposées aux utilisations externes, utilisant des infrastructures de cloud privé et public (étendant par conséquent le périmètre), et permettant divers types d’accès à distance aux ressources internes. Une portion du réseau étant exposée, celle-ci représente donc un vecteur d’attaque évident, ainsi qu’un point d’identification d’une éventuelle compromission.

A ce stade de votre environnement, les indicateurs de compromission nécessiteront une analyse.
Ils comprennent:

  • Port non concordant / trafic d'applications – La communication avec les systèmes internes (pouvant inclure des commandes entrantes et une exfiltration de données sortante) doit souvent s'effectuer sur des ports ouverts (par exemple le trafic HTTP sur le port TCP 80) pour atteindre un serveur externe.
  • Augmentation du nombre de lectures / trafics de données – Le but est d'obtenir le plus de données possible; des lectures supplémentaires sur les bases de données, ainsi que l’augmentation du trafic sortant sont des indicateurs clairs qu’un problème existe.
  • Irrégularités géographiques – Vous ne faites pas d’affaires en Ukraine. Pourquoi existe-t-il donc autant de trafic entre ce pays et votre organisation ? Les sources de communication anormales sont un signe évident que la connexion requiert votre attention.

Le point de terminaison

Il est intéressant de noter que les points de terminaisons représentent la partie du réseau constamment accessible en dehors du périmètre: ils permettent de surfer sur le Web et de servir de réceptacles aux emails entrants (procurant aux logiciels malveillants un moyen d’entrer et une opportunité de s’incruster).

Les indicateurs de compromission sur les points de terminaison impliquent une comparaison approfondie de ce qui est normal pour chaque configuration et activité pour un certain point de terminaison. Les indicateurs comprennent:

  • Les processus rouges – Tout, des logiciels malveillants aux outils de piratage, est considéré comme un processus qui n'a jamais pas été exécutés sur un point de terminaison auparavant. Ce n'est pas toujours facile car certains hackers utilisent des commandes, des DLL et des exécutables existants, ou utilisent l'injection directe de mémoire pour éviter la détection.
  • La persistance – La présence de tâches, les paramètres de registre à exécution automatique, les plug-ins du navigateur et même la modification des paramètres de service indiquent tous qu'un point de terminaison est compromis.

Les connexions

La plupart des pirates se concentrent sur l'utilisation de comptes pour accéder aux données ou pour se déplacer dans l'organisation. La connexion est la première étape nécessaire pour accéder à un point de terminaison contenant des données précieuses. Les indicateurs incluent les anomalies de connexion suivantes :

  • Le point de terminaison utilisé – Le PDG ne se connecterait jamais depuis une machine du service des comptes fournisseur, n’est-ce pas ?
  • La date et l’heure d’utilisation – Un utilisateur travaillant de 9:00 à 17:00 se connectant le samedi à 3 heures du matin? Oui, c'est relativement suspect.
  • La fréquence – Un utilisateur, qui se connecte généralement une fois le matin et se déconnecte le soir, commence soudainement à se connecter et se déconnecter sur de courtes périodes, cela peut indiquer un problème.
  • La concurrence - La plupart des utilisateurs se connectent depuis un point de terminaison unique. Un utilisateur se connectant soudain depuis plusieurs points de terminaison à la fois est une alerte évidente.

Le mouvement latéral

Ceci est une étape nécessaire pour la plupart des attaques étant donné que leur point d’ancrage initiale est un poste de travail de bas niveau sans aucun droit d'accès à quoi que ce soit de valeur. Le mouvement latéral est le fait de sauter d’une machine à une autre (autant de fois que nécessaire) afin de localiser et d’accéder à un système possédant des données importantes. Bien que cela puisse ressembler à des connexions, il s’agit plutôt d’une analyse de la combinaison des types de connexion (via RDP, SMB, etc.) et des authentifications. Les indicateurs comprennent:

  • Une contradiction au niveau des utilisateurs/applications – Les utilisateurs de bas niveau n’utilisent que très rarement (voire jamais) d’outils liés à l’informatique, au scriptage, etc., et les utilisateurs n’utilisant jamais de session RDP, etc., sont également suspects.
  • Un trafic réseau anormal – Les outils tels que Netcat peuvent diriger les communications sur les ports autorisés, et tout type d'existence ou d'excès de trafic qui n'est pas normal (par exemple, SMB, RPC, RDP, etc.) indiquent une compromission potentielle.

L’accès aux données

Comme tous les niveaux de l'environnement précédemment traitées, l'accès à vos données, qu'il s'agisse d'un fichier, d'une base de données ou d'une solution de gestion de contenu d'entreprise, est relativement prévisible dans le temps. Donc, la recherche des anomalies suivantes peut indiquer une compromission:

  • La date et l’heure d’accès – Tout comme pour les connexions, l’accès des utilisateurs à toute sorte de données est généralement cohérent dans le temps. Méfiez-vous des connexions en dehors des heures de travail.
  • Le lieu d’accès – Il faut surveiller les données importantes (accédées généralement par des points de terminaisons au sein du réseau) lorsqu’elles sont accédées par des points de terminaison soit externes au réseau soit sur le périmètre.
  • La quantité de données – Il convient de surveiller le périmètre pour détecter les augmentations de données envoyées depuis le réseau, de lectures de données, d’exportation ou de copies/sauvegardes de toute donnée importante.

Trouver les indicateurs de compromission les plus simples

Ces cinq niveaux d'accès fournissent beaucoup de matière à réflexion étant donné qu’il y a beaucoup à surveiller. Il est initialement impossible de tout surveiller en même temps, il convient donc de déterminer lequel de ces indicateurs est le plus facilement détectable, tout en fournissant le meilleur indicateur de compromission.

L'un des défis de presque tous les indicateurs de compromission expliqués dans ce document est qu'ils requièrent une analyse significative des données qui ne sont pas facilement accessibles. Vous aurez très souvent besoin de croiser des sources d’information multiples afin d’obtenir un meilleur aperçu.

Sur quoi concentrer vos efforts ?

Les connexions : L'indicateur commun

Au final, une vérité fondamentale aide à cibler votre point de départ - un attaquant est incapable de faire quoi que ce soit dans votre organisation à moins de pouvoir compromettre un ensemble d'identifiants internes. Autrement dit: pas de connexion, pas d'accès. 81% des violations liées au piratage ont exploité des mots de passe volés ou faibles1, faisant des connexions l’activité la plus commune de tous les modèles d’attaque..

À l'exception des attaques périmétriques (où les méthodes d'attaque telles que les injections SQL ne nécessitent pas d’identifiants pour accéder aux données), tous les autres niveaux mentionnées dans ce document requiert une connexion à un moment donné. Les points de terminaison ont besoin de connexions pour l'accès, les mouvements latéraux de tout type nécessitent une authentification pour accéder à un point de terminaison cible, et l'accès aux données nécessite d'abord une connexion authentifiée.

Donc, si vous devez donc choisir un domaine sur lequel vous concentrer, choisissez la connexion.

En assumant que la connexion est un indicateur clé, vous pouvez identifier une compromission avant que les actions clés (tel que le déplacement latéral et l'accès aux données) n’aient lieu. Cela fait des connexions l'un des véritables indicateurs anticipant, car les indicateurs associés au mouvement latéral et à l'accès aux données ne se produisent qu'une fois l'action survenue. Mais les connexions, lorsqu'elles sont surveillées et traitées de manière appropriée, peuvent être liées à des réponses automatisées à l'aide de solutions tierces. Celles-ci qui pourront prendre des mesures telles que la déconnexion des utilisateurs et la mise en place de restrictions d'utilisation des comptes, et ainsi contrecarrer les auteurs des menaces, et protéger les données des sociétés.

Empêcher la compromission grâce aux indicateurs

Dans le cadre d'une stratégie de sécurité développée, l'hypothèse selon laquelle certaines attaques passeront au travers des meilleures défenses est à la fois nécessaire et responsable. Selon cette prémisse, il devient nécessaire pour le service informatique de rechercher des indicateurs de compromission aussi tôt que possible lors d’une attaque.

Accès refusé

La plupart des indicateurs nécessitent une analyse approfondie et une confirmation associées à des sources de données multiples, c’est pourquoi surveiller la majorité des indicateurs peut être excessif en termes de temps (voire de coûts).

Les connexions sont non seulement un indicateur puissant d’une compromission potentielle, mais elles mettent également clairement l’informatique en position proactive (plutôt que réactive) en matière de surveillance de compromission.

Tandis que certains indicateurs de compromission sont plus difficiles à surveiller que d’autres, les connexions demeurent l’un des plus faciles à observer, et fournissent les indications les plus claires en termes de compromission. En mettant en place la surveillance des connexions, l’informatique ajoute rapidement et facilement un niveau supplémentaire à sa stratégie de sécurité (la détection) – et continue de réduire les risques ainsi que l’impact potentiel de la compromission associée aux attaques.

1 Verizon, Data Breach Investigations Report (2017)

À propos de UserLock

Plus de 3 000 clients à travers le monde compte sur UserLock pour aider à prévenir les failles de sécurité. Travaillant aux côtés d'Active Directory pour étendre et non remplacer sa sécurité, UserLock offre une protection puissante pour toutes les connexions au domaine Windows Active Directory, même lorsque les identifiants sont compromis.

  • En utilisant les informations contextuelles autour de la connexion d'un utilisateur, UserLock peut appliquer d'autres restrictions sur ce que les utilisateurs peuvent faire une fois authentifiés.
  • UserLock offre une visibilité en temps réel, des outils de détection des risques et un audit centralisé pour aider à détecter et répondre rapidement aux activités suspectes.

Découvrir et essayer UserLock

UserLock