Dans notre cas de figure, la société NeedSec, qui fait appel à vos services, a été victime d’une attaque de ransomware (rançongiciel) il y a quelques mois. NeedSec veut à présent optimiser et renforcer sa sécurité en ajoutant des équipements et des procédures de surveillance. C’est grâce à votre aide qu’elle espère améliorer le monitoring de son SI et détecter en amont les intrusions.
Le temps de détection d’attaque est crucial, et le monitoring de la sécurité est un élément capital à mettre en place pour garantir une gestion des incidents optimisés. Vous pourriez passer plusieurs mois avant de détecter une intrusion informatique. Pendant ce temps, un attaquant peut vous voler les données les plus intéressantes – une leçon que cette société a malheureusement apprise à ses dépens.
Découvrez l’importance du monitoring
Le nombre de cyberattaques ne cesse d’augmenter. L’Insee a récemment publié une analyse indiquant que près d’un tiers des grandes entreprises ont vécu un incident de sécurité en 2018.
Pour contrer cette croissance exponentielle des attaques, les entreprises se dotent de multiples mesures de sécurité, de la mise en place d’équipements de sécurité jusqu’à la réalisation de procédures, en passant par la surveillance accrue du système d’information.
Établir un monitoring de la sécurité est essentiel, car le nombre d'attaques informatiques explose. Ces données actuelles sur les attaques de ransomware permettent de mettre les choses en perspective :
Le nombre d’attaques de ransomware est exponentiel depuis les 5 dernières années.
26 % des victimes dont les données ont été chiffrées les ont récupérées en payant une rançon, mais ce chiffre est en constante évolution, selon une enquête réalisée par Sophos.
Les attaquants ne se contentent plus de chiffrer les données, ils les font fuiter si la rançon n'a pas été payée, pour accentuer un peu plus le processus de chantage.
Découvrez le cycle d'une cyberattaque
Comment les attaquants accèdent-ils aux SI ?
Les attaquants utilisent des vecteurs d’infection. Vous connaissez peut-être certains d’entre eux : je veux parler du phishing, de l’exploitation de vulnérabilité ou encore des faiblesses de sécurité telles que l’utilisation de mots de passe faibles, ou l’exposition de serveurs sensibles.
Ces attaques sont de plus en plus sophistiquées et complexes, et elles comprennent aujourd’hui tout un écosystème bien organisé. En cybersécurité, les techniques, tactiques et procédures (TTP) sont une approche pour profiler et contextualiser les opérations d’une cyberattaque (pour en savoir plus, voici un article que j'ai rédigé sur le sujet, en anglais). Être capable d’identifier les TTP d’une attaque complexe vous permettra de mieux comprendre son fonctionnement, et de rendre la détection plus adaptée.
Pour mieux expliquer le cycle d’attaque, je vous invite à regarder ce schéma extrait du Mitre (une organisation non lucrative proposant des référentiels en cybersécurité) représentant les actions d’un attaquant à chaque étape :
1. Recon (Enquêter)
L’attaquant recherche des informations sur sa cible (employés, activités, projet…). Il peut également faire de la collecte d’information, qui sera utilisée pour les phases suivantes, telles que la recherche de vulnérabilité.
2. Weaponize (Outiller)
L’attaquant définit et prépare les outils nécessaires pour la compromission : campagne de phishing, préparation de code d’exploitation...
3. Deliver (Déployer)
Puis, il déploie les attaques précédemment définies afin de compromettre les cibles. Les vecteurs d’infection sont utilisés lors de cette phase.
4. Exploit (Exploiter)
L’exploitation consiste ici à déployer les outils après la compromission initiale. L’attaquant pourra également effectuer des élévations de privilèges. À partir de cette étape, il faut que votre monitoring de la sécurité puisse détecter ses actions, car l’attaquant a la main sur votre réseau.
5. Control (Contrôler)
L’attaquant commence à prendre le contrôle des systèmes compromis, et effectue une reconnaissance interne de l’entreprise. On parle également de mouvement latéraux.
6. Execute (Exécuter)
Pendant l'exécution, l’attaquant met en place les actions finales, comme l’exfiltration de données sensibles.
7. Maintain (Maintenir)
Enfin, l’attaquant garde la main sur les systèmes en maintenant un accès distant au système compromis. N.B. : Un attaquant peut rester sur un réseau pendant plusieurs mois avant que vous le détectiez !
Découvrez les SOC (Security Operations Center), une solution des entreprises pour lutter contre les attaques
Pour identifier et investiguer des incidents de sécurité, de nombreuses entreprises comptent sur un Security Operations Center (SOC). Le SOC est une équipe dédiée à la supervision de la sécurité du système d’information. Pour ce faire, elle utilise des outils de monitoring, mais aussi des outils de collecte, d’intervention à distance et de corrélation d'événements.
Elle recherche les signes d’un incident ou d’une compromission, par exemple des signaux faibles ou des comportements anormaux, afin de protéger le SI. Cette surveillance aide à la détection des événements de sécurité : intrusion, exécution de code non autorisé, exploits, élévation de privilèges, tentative d'accès à un compte admin, etc. Le SOC est donc un élément capital pour la sécurité des données de l'entreprise.
La mission principale d’un SOC est d’identifier, analyser et remédier aux incidents de cybersécurité. Cela, grâce au monitoring des différents équipements, mais aussi grâce aux méthodes d’analyse et de veille.
Qui fait partie d’un SOC ?
Des analystes, ingénieurs en sécurité et managers qui supervisent les opérations de sécurité composent, en général, ces équipes. Mais, selon vos besoins, vous pouvez également mobiliser des capacités comme la réponse sur incident, la cryptanalyse et l’ingénierie inverse des logiciels malveillants. Afin de s’assurer que les problèmes de sécurité découverts par le SOC soient bien réglés, les équipes travaillent étroitement avec les équipes d’intervention.
Comment fonctionne un SOC ?
Pour mettre en place une équipe SOC, il est primordial de définir une stratégie qui corresponde aux objectifs de sécurité de l’entreprise. Par exemple, identifier les éléments du SI les plus critiques, comme l’Active Directory ou encore le serveur de comptabilité.
Une fois que les stratégies sont définies, il faudra déployer et mettre en place les solutions permettant la détection et l’analyse, comme des serveurs de collecte de logs, des Intrusion Prevention Systems (IPS)/Intrusion Detection Systems (IDS), des Endpoint Detection and Response (EDR), un SIEM.
Lorsque la mise en place est opérationnelle, il est nécessaire de former les équipes aux méthodes d’analyse et de supervision ainsi qu’à l’utilisation des équipements de sécurité. Il faudra également mettre en place des procédures, et les évaluer au moyen d’exercices de test d’intrusion et de Red Team.
En plus de ce monitoring, le SOC effectue également des veilles sécurité pour l’ajuster en temps réel en cas de campagne d’attaque, ou de vulnérabilités.
Pourquoi installer un SOC ?
La mise en place d'un SOC peut être compliquée et coûteuse. Toutefois, c'est un investissement à ne pas négliger pour être capable de protéger les données de l'entreprise, mais aussi pour répondre rapidement en cas de compromission. En effet, la centralisation des logs permettra des investigations plus organisées, dans le but de trouver les sources et les vecteurs de l'attaque en cas d'incident.
La surveillance du SI en continu 24h/24 et 7j/7 permet donc de monitorer les activités réseaux, les machines, les serveurs, bref, tout élément connecté au SI.
Le schéma ci-dessous présente une architecture simplifiée type, avec comme point central le SIEM.
Dans le schéma, les logs qui ont une corrélation avec les règles de détection définies dans le SIEM y sont remontés. Le SIEM les stocke, les organise et envoie des alertes à l'équipe SOC. Enfin, l'équipe SOC analyse les alertes et les logs pour déterminer les menaces au SI et comment réagir.
En résumé
Dans ce chapitre, nous venons de voir quelles sont les étapes d’une cyberattaque et comment fonctionne un SOC.
Une cyberattaque est composée de 7 étapes : recon, weaponize, deliver, exploit, control, execute, maintain.
Les SOC veillent et administrent la sécurité du système d’information pour identifier, analyser les incidents de sécurité, et y remédier.
Les bénéfices du SOC incluent la protection des données sensibles et la conformité aux règles de l’industrie.
Dans le chapitre suivant, nous verrons un peu plus en détail le fonctionnement d’un SIEM, et présenterons le système que nous utiliserons dans ce cours.