Un exemple d’attaque vaincue, quelque part en Europe…
Claire Loffler, Security Engineer, Chez Vectra AI
Il est rare de pouvoir décrire la manière dont une cyberattaque se déroule, et surtout de voir comment elle a pu être mise en échec. Voici un exemple réel. Il montre à quel point il est devenu vain de vouloir anticiper les intrusions, celles-ci étant devenues inéluctables.
L’attaque dont il sera question ici a eu lieu dans l’un des 27 pays de l’Union Européenne, il y a quelques semaines. Elle illustre bien les enjeux qui sont actuellement ceux de l’écosystème de la cybersécurité, que ce soit en termes de détection comme de réponse. Cette attaque témoigne notamment de la rapidité et de la dimension cachée avec lesquelles les agressions contre les systèmes d’information (SI) sont actuellement orchestrées, et de la manière dont les organisations peuvent s’organiser pour s’en prémunir.
Une intrusion fulgurante…
L’entreprise dont on parle est un acteur du secteur de l’épicerie de détail, mais il pourrait tout aussi bien s’agir d’une organisation de l’industrie pharmaceutique ou du secteur des transports. Le fait est que cette organisation a un fort besoin de son SI pour fonctionner, et qu’elle déploie pour cela un large arsenal de protections, depuis l’antivirus jusqu’à des solutions reposant sur l’intelligence artificielle dans le but de repérer les mouvements suspects qui s’opèrent au sein du système.
Comme souvent, tout commence par une vulnérabilité. Repérée par des cyberattaquants, une faille est immédiatement exploitée et permet l’établissement d’un channel Command and Control (en l’occurrence, via l’outil CobaltStrike), permettant à l’attaquant externe de maintenir la communication avec des appareils compromis. Initiée à 8h09, l’attaque progresse ensuite très rapidement : elle se caractérise par une augmentation rapide des privilèges acquis par les hackeurs, par la création d’un compte administratif, et par tout un ensemble d’actes malveillants classiques à ce stade.
Malgré quelques détections remontées par l’EDR (Endpoint Detection & Response), aucune n’est identifiée à un niveau critique et aucun blocage n’est opéré. Destinées aux endpoints, les solutions d’EDR (visant à pallier les déficiences de certains antivirus) ne sont pas des protections infaillibles et doivent faire partie d’un mix de solutions de sécurité complémentaires. Quinze minutes à peine après l’exploitation de la vulnérabilité du serveur exposé, les cybercriminels entament leurs premiers mouvements internes au cœur du SI, avec des phases de reconnaissance sur les services en écoute, une exécution de code à distance leur permettant de se déplacer latéralement vers un contrôleur de domaine et une énumération de partages de fichiers suspectes.
Mauvaise nouvelle pour eux : ces attaquants sont déjà repérés.
… mais une intrusion repérée !
Une lumière qui s’allume soudainement : du côté de l’équipe SOC de l’entreprise (Security Operation Center), un hôte vient d’apparaître dans le quadrant critique de leur outil de détections Vectra. Les ingénieurs sont alertés par la solution de sécurité qui, grâce à l’intelligence artificielle (IA) et au machine learning, permet précisément de repérer qu’un intrus a pénétré et progresse dans le système. Une exécution à distance suspecte, un comportement de Command and Control identifié sur l’un des contrôleurs de domaine, puis une détection de réplication automatisée… Sur ses écrans de contrôle, la SOC Team observe des mouvements étranges. Les ingénieurs prennent alors conscience qu’ils sont face à un comportement suivant le modèle dit de la « Kill Chain », cette procédure type suivie par les cyberattaquants lorsqu’ils engagent une attaque. Le doute n’est plus permis sur la nature de ce qui est en train de se dessiner en direct, d’autant que les attaquants poursuivent leurs mouvements latéraux vers le 2e contrôleur de domaine. Des énumérations de endpoints RPC (Remote Procedure Call), un Netscan, puis de nouveau une énumération des partages de fichiers. À cet instant, l’heure indique 9h18 du matin : l’attaque a mis 1 heure et 9 minutes à peine pour progresser vers les actifs essentiels du SI.
L’intervention de l’équipe SOC est immédiate. Elle consiste à confiner, éradiquer et faire une restauration des servers impliqués. Les ingénieurs sécurité bloquent les sessions actives de C&C, isolent les serveurs qui ont été compromis et les restaurent à partir de la sauvegarde. La réponse est à la hauteur de l’attaque : fulgurante. Instantanément, les cybercriminels sont mis hors d’état de nuire. Le DSI le confessera un peu plus tard à ses équipes : sans la solution de détection automatisée reposant sur la visualisation des mouvements suspects au sein du SI, l’entreprise aurait forcément été hackée et durement touchée. « Cette solution augmente le temps de réaction de 500 %, nous n’aurions jamais eu un tel succès avec uniquement une solution d’EDR, qui se doit d’être complétée de solutions de détections sur le réseau », estime-t-il.
Cet exemple montre avec clarté que toutes les vulnérabilités d’un SI ne peuvent pas être couvertes : il y a et il y aura toujours des failles dans les systèmes d’information. Accepter ce constat permet de penser autrement la stratégie de défense : en faisant confiance à des solutions automatisées de détection et de réponse, d’autant plus dans un monde où le cloud a pris une très grande importance. Repérer des mouvements suspects grâce à l’IA et au machine learning est une arme majeure car elle permet de faire un constat très rapide, et d’agir exactement là où les premières compromissions apparaissent. C’est dans cette rapidité que se situe l’une des clés majeures du succès en situation de cyberattaque.