Détecter et prévenir le risque face aux menaces APT grâce à Cyberprotect

Définition Ciblées et furtives, le principe des attaques dites APT  est de s’infiltrer dans le Système d’Information (SI) d’un organisme dans le but de voler des données confidentielles. Les attaques sont longues dans la durée et combinent plusieurs modes opératoires afin de contourner les outils de sécurité mis en place. Les attaquants disposent de ressources…

Définition

Ciblées et furtives, le principe des attaques dites APT  est de s’infiltrer dans le Système d’Information (SI) d’un organisme dans le but de voler des données confidentielles.

Les attaques sont longues dans la durée et combinent plusieurs modes opératoires afin de contourner les outils de sécurité mis en place. Les attaquants disposent de ressources importantes.

Les étapes pour mener à bien une attaque de ce type sont les suivantes :

  1. Définition de l’objectif
  2. Analyse et prise d’information sur la cible
  3. Exfiltration des données
  4. Maintien de l’accès au Système d’Information

L’utilisation de plusieurs outils, techniques, méthodes de ciblage permettent d’atteindre la cible, la compromettre et maintenir l’accès. : Malwares, tentatives d’intrusion, ingénierie sociale, scans réseau, exploitation de vulnérabilité logiciel…

L’attaque se veut définie comme « low & slow », lentement mais surement, afin de passer sous les seuils d’alertes des outils de sécurité classique.

L’objectif est défini par avance, ce qui est l’une des différences avec le piratage dit « opportuniste » où selon les vulnérabilités découvertes, on exploite petit à petit les failles sans vraiment avoir d’objectif à atteindre. Les attaquants sont en plus qualifiés, motivés, organisés et financés.

 

Recommandations

Lors de son Forum annuel 2011, le Cert-IST (Computer Emergency Response Team – Industrie Service et Tertiaire) a fait une présentation sur les attaques APT.

Dans leur document de présentation http://www.cert-ist.com/documents/Document_Cert-IST_000392.pdf les recommandations du Cert-IST pour se prémunir des attaques APT précisaient qu’ « à défaut de pouvoir bloquer les APT, il faut pouvoir freiner les attaquants ». Trois points nécessitent une attention particulière pour faire face à ce type d’attaque.

  • Maintenir à jour les systèmes :
    • Systèmes et applications (Java, IE, etc.)
    • Protection périmétriques (Firewall, IDS, IPS, DLP, etc.)
    • Solutions antivirales
  • Préparer les administrateurs et les équipes de sécurité à :
    • Collecter des informations (les logs)
    • Remonter aussi toutes anomalies
    • Détecter les connexions à des heures inhabituelles
    • Surveiller périodiquement les systèmes d’information
    • Analyser les anomalies récurrentes
  • Sensibiliser les utilisateurs à :
    • Etre vigilant
    • Remonter toutes anomalies
    • Alerter en cas de compte bloqué
    • Signaler tout problème à l’ouverture d’un fichier (PDF ou autres)
    • Adopter les bonnes pratiques de sécurité.

Il est facile de constater que les outils de sécurité traditionnels (Antivirus, Pare-feu, IDS…) ne suffisent plus, à eux seuls, pour garantir la sécurité d’un Système d’Information.

 

Tendance 2012

Dans ce contexte, Cyberprotect répond aux recommandations émises par le Cert-IST face aux nouvelles menaces, grâce à l’analyse de l’état de santé du parc informatique de l’entreprise mais également par l’analyse en continue de son réseau.

 

A propos de

 

Cyberprotect (http://www.cyberprotect.fr)

Cyberprotect protège et assure le patrimoine numérique de l’entreprise, en associant un service de surveillance innovant basé sur la gestion du risque et une assurance spécifique contre les cyber-risques.

Cyberprotect est soutenu par :

  • Le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN)
  • L’agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)
  • L’Institut de Science Financière et d’Assurances
  • Le ministère de l’Enseignement Supérieur et de la Recherche
  • Le Centre Européen d’Entreprise et d’Innovation

Cyberprotect est édité par SDN International – Security of Digital Networks International – société indépendante fondée en 2005 par des experts en sécurité informatique, en cybercriminalité et en assurance pour protéger et assurer le patrimoine numérique des entreprises.

 

Cert-IST (http://www.cert-ist.com)

Le Cert-IST (Computer Emergency Response Team – Industrie, Services et Tertiaire) est une Association Loi 1901, qui a pour vocation d’assurer à ses adhérents des services de prévention des risques et d’assistance au traitement d’incidents. Centre d’alerte et de réaction aux attaques informatiques destiné aux entreprises françaises, le Cert-IST est reconnu au niveau national et international. Il est membre du FIRST et coopère activement avec les autres CERT aux niveaux français, européen et mondial.

Retrouvez les différentes présentations du Forum Cert-IST sur http://www.cert-ist.com/fra/ressources/PresseFR/menuevenementscertist

React