Qu’est-ce qu’une menace persistante avancée et comment un APT peut-il être détecté?
De nombreuses entreprises font de leur mieux pour collecter autant de données que possible sur les clients. Certains donnent même leurs produits gratuitement en échange de l'autorisation de collecter des informations personnelles.
En conséquence, même les petites entreprises disposent désormais d'une mine de données précieuses. Et de plus en plus d'acteurs de la menace cherchent des moyens de le voler. Un exemple de ceci est un type de cyberattaque connu sous le nom de menace persistante avancée.
Alors, qu'est-ce qu'une menace persistante avancée? Comment en repérez-vous un? Et que devez-vous faire si vous pensez que votre système a été touché par un APT?
Qu'est-ce qu'une menace persistante avancée (APT)?
Une menace persistante avancée est un type d'attaque par lequel un intrus accède à un système et parvient ensuite à y rester sans être détecté pendant une longue période.
Ce type d'attaque est généralement mené dans un but d'espionnage. Si l'objectif était simplement d'endommager un système, il n'y aurait aucune raison de rester dans les parages. Les personnes qui mènent ces attaques n'essaient pas de détruire les systèmes informatiques. Ils veulent simplement accéder aux données qu'ils possèdent.
La plupart des menaces persistantes avancées utilisent des techniques de piratage sophistiquées et sont adaptées aux systèmes informatiques individuels.
Cela rend ces attaques très difficiles à détecter. Mais l'un des avantages de leur complexité est que l'utilisateur moyen d'ordinateurs n'a généralement pas à se soucier d'eux.
Contrairement aux logiciels malveillants qui sont généralement conçus pour cibler autant d'ordinateurs que possible, les menaces persistantes avancées sont généralement conçues avec une cible spécifique à l'esprit.
Comment se déroule un APT?
La menace persistante avancée est un terme relativement large. Le niveau de sophistication utilisé dans une telle attaque varie donc considérablement.
La plupart, cependant, peuvent facilement être divisés en trois étapes distinctes.
Étape 1: Infiltration
Dans la phase d'ouverture, les pirates cherchent simplement un moyen d'entrer. Les options qui s'offrent à eux dépendront évidemment de la sécurité du système.
Une option serait le phishing. Peut-être peuvent-ils amener quelqu'un à révéler accidentellement ses identifiants de connexion en lui envoyant un e-mail malveillant. Ou si ce n'est pas possible, ils peuvent essayer d'atteindre la même chose grâce à l'ingénierie sociale .
Étape 2: Expansion
La prochaine étape est l'expansion. Une fois que les attaquants auront un accès valide au système, ils voudront étendre leur portée et s'assureront probablement que leur accès existant ne peut pas être révoqué.
Ils le feront généralement avec un type de logiciel malveillant. Un keylogger, par exemple, leur permettra de collecter des mots de passe supplémentaires pour d'autres serveurs.
Et un cheval de Troie de porte dérobée garantira de futures intrusions même si le mot de passe original volé est changé.
Étape 3: Extraction
Au cours de la troisième phase, il est temps de voler des données. Les informations seront généralement collectées à partir de plusieurs serveurs, puis déposées dans un seul emplacement jusqu'à ce qu'elles soient prêtes à être récupérées.
À ce stade, les attaquants peuvent essayer de submerger la sécurité du système avec quelque chose comme une attaque DDOS . À la fin de cette étape, les données sont effectivement volées et, si elles ne sont pas détectées, la porte est laissée ouverte pour de futures attaques.
Signes d'avertissement d'un APT
Bien qu'un APT soit généralement conçu spécifiquement pour éviter la détection, cela n'est pas toujours possible. La plupart du temps, il y aura au moins des preuves qu'une telle attaque se produit.
Hameçonnage
Un e-mail de spear phishing peut être un signe qu'un APT est sur le point de se produire ou en est à ses débuts. Les e-mails de phishing sont conçus pour voler des données à un grand nombre de personnes sans discrimination. Les e-mails de spear phishing sont des versions personnalisées conçues pour cibler des personnes et / ou des entreprises spécifiques.
Connexions suspectes
Lors d'un APT en cours, l'attaquant est susceptible de se connecter régulièrement à votre système. Si un utilisateur légitime se connecte soudainement à son compte à des heures impaires, cela peut donc être un signe que ses informations d'identification ont été volées. D'autres signes incluent la connexion plus fréquente et la recherche de choses qu'ils ne devraient pas être.
Chevaux de Troie
Un cheval de Troie est une application cachée qui, une fois installée, peut fournir un accès à distance à votre système. De telles applications ont le potentiel d'être une menace encore plus grande que les informations d'identification volées. C'est parce qu'ils ne laissent aucune empreinte, c'est-à-dire qu'il n'y a pas d'historique de connexion à vérifier et qu'ils ne sont pas affectés par les changements de mot de passe.
Transferts de données inhabituels
Le plus grand signe d'un APT est simplement que les données sont soudainement déplacées, apparemment sans raison apparente. La même logique s'applique si vous voyez des données stockées là où elles ne devraient pas être, ou pire, en train d'être transférées vers un serveur externe hors de votre contrôle.
Que faire si vous soupçonnez un APT
Une fois qu'un APT est détecté, il est important d'aller vite. Plus un attaquant dispose de temps dans votre système, plus les dégâts qui peuvent survenir sont importants. Il est même possible que vos données n'aient pas encore été volées, mais qu'elles soient plutôt sur le point de l'être. Voici ce que vous devez faire.
- Stop the Attack: Les étapes pour arrêter un APT dépendent en grande partie de sa nature. Si vous pensez que seul un segment de votre système a été compromis, vous devez commencer par l'isoler de tout le reste. Après cela, travaillez sur la suppression de l'accès. Cela peut signifier la révocation des informations d'identification volées ou, dans le cas d'un cheval de Troie, le nettoyage de votre système.
- Évaluer les dommages: La prochaine étape consiste à comprendre ce qui s'est passé. Si vous ne comprenez pas comment l'APT s'est produit, rien ne l'empêche de se reproduire. Il est également possible qu'une menace similaire soit actuellement en cours. Cela signifie analyser les journaux d'événements des systèmes ou simplement déterminer l'itinéraire utilisé par un attaquant pour accéder.
- Notifier les tiers: en fonction des données stockées sur votre système, les dommages causés par un APT peuvent être de longue durée. Si vous stockez actuellement des données qui ne vous appartiennent pas uniquement, c'est-à-dire les données personnelles de clients, clients ou employés, vous devrez peut-être en informer ces personnes. Dans la plupart des cas, ne pas le faire peut devenir un problème juridique.
Connaître les signes d'un APT
Il est important de comprendre qu'il n'existe pas de protection complète. Une erreur humaine peut conduire à la compromission de tout système. Et ces attaques, par définition, utilisent des techniques avancées pour exploiter ces erreurs.
La seule vraie protection d'un APT est donc de savoir qu'ils existent et de comprendre comment reconnaître les signes de son apparition.