Les attaques avancées : le déchiffrement peut-il aider à les détecter ?
Claire Loffler, Security Engineer, Chez Vectra AI
Le déchiffrement constitue-t-il la solution miracle pour la détection des menaces sophistiquées ?
Les cyberattaques de grande envergure, telles que les attaques perpétrées par des États-nations et les opérations de RansomOps manuelles, ont émergé comme des menaces majeures dans le paysage de la cybersécurité. Ces attaques, parfois taillées sur mesure à l’organisation victime, sont notoirement difficiles à détecter.
La question qui se pose aujourd’hui est de savoir si le déchiffrement des charges utiles des paquets de données peut offrir une solution opérationnelle efficace pour aider les analystes à repérer les signaux de ces attaques sophistiquées au sein des réseaux. La réponse brève est un « non » catégorique, et ce pour au moins trois raisons essentielles.
Coût opérationnel élevé du déchiffrement
Le déchiffrement de méthodes de cryptage standard, telles que TLS, engendre des coûts opérationnels considérables. Dans le cas d’un déchiffrement passif, et avec l’adoption de TLS 1.3, il est nécessaire d’installer un agent sur chaque serveur contrôlé dont on souhaite déchiffrer le flux, et de partager les clés de session à la solution d’analyse Out-Of-Band. De plus, ce déchiffrement passif ne confère pas d’avantages significatifs par rapport au déchiffrement actif réalisé par des pares-feux ou des proxys, et ni l’une ni l’autre de ces approches ne facilite la détection des canaux de commande et de contrôle (C2) utilisés par les attaquants avancés ou l’exfiltration de données.
Personnalisation des outils d’attaque par les États-nations
Les acteurs étatiques développent généralement des chaînes d’outils sur mesure pour leurs équipes d’attaquants, qui incluent souvent des outils propriétaires ainsi que des solutions conventionnelles. Ces chaînes d’outils sont hautement personnalisées afin de contourner les méthodes de détection simples qui se contentent de repérer leur présence. De plus, les acteurs étatiques compétents ajoutent une complexité supplémentaire en configurant différemment ces outils pour chaque cible, rendant inutile la détection basée sur des signatures via le déchiffrement des charges utiles.
Adaptation des outils d’attaque
Les attaques manuelles, telles que celles utilisées dans la plupart des RansomOps, ont pour objectif de générer des profits. Les cybercriminels évitent donc généralement de créer des outils à partir de zéro, préférant modifier les paramètres par défaut des outils commerciaux disponibles pour échapper aux solutions de sécurité basées sur des signatures. En conséquence, les signatures deviennent inutiles, et bien que l’infrastructure puisse être réutilisée, elle peut être identifiée sans avoir besoin de déchiffrement.
Inefficacité du déchiffrement pour se défendre contre les attaques avancées
Qu’il s’agisse d’une attaque étatique ou d’un RansomOps, le déchiffrement TLS externe pour accéder aux requêtes HTTP internes ne procure guère d’avantages aux défenseurs. Il n’existe pas de modèle de signature fixe, et la véritable charge utile (commandes envoyées, résultats des commandes renvoyés, logiciels téléchargés, etc.) demeure dissimulée derrière un chiffrement léger utilisant une clé générée aléatoirement par l’attaquant. Ainsi, à moins qu’une organisation n’opte pour une politique Internet très restrictive, comme une « liste blanche » limitant l’accès à des sites de confiance, les canaux C2 ne peuvent pas être détectés par l’analyse des octets dans les charges utiles HTTP déchiffrées. De même, la détection de l’exfiltration demeure un défi, car les charges utiles internes chiffrées échappent aux méthodes de prévention de la perte de données (DLP) standard.
En fin de compte, les moyens de détection efficaces des canaux C2 et de l’exfiltration se basent davantage sur l’analyse des flux de données et l’observation des anomalies de volume, sans nécessiter le déchiffrement de l’enveloppe extérieure.
