RootDev

Appearance

Comprendre l'attaque

Rédigé le 06/04/2024

Les différents types d'attaquants en cybersécurité

Les professionnels de la sécurité doivent défendre leurs organisations contre de nombreux types de menaces différents. Au fur et à mesure que l'on avance dans une carrière en cybersécurité, on rencontre probablement différents types d'attaquants avec différentes ressources et motivations.

Origine des attaques

Les attaques peuvent provenir de sources internes ou externes. Alors que l'on pense souvent en premier lieu aux attaquants externes en matière de cybersécurité, les attaquants internes peuvent poser des risques encore plus importants en raison de leur niveau d'accès légitime aux systèmes et aux ressources.

Niveaux de sophistication et de motivation

Les attaquants varient en termes de sophistication, d'accès aux ressources, de motivation et d'intention. Ils vont des attaquants solitaires assez peu qualifiés qui recherchent simplement le frisson de la violation de systèmes à des agences gouvernementales secrètes disposant d'un accès à des ressources humaines et financières presque illimitées.

Les différents types d'attaquants

  1. Script kiddies : Ce sont les menaces les moins sophistiquées. Ils manquent souvent des compétences techniques pour développer leurs propres exploits et se contentent d'exécuter des scripts créés par d'autres attaquants plus sophistiqués.
  2. Hacktivistes : Ils peuvent avoir des compétences techniques variées, mais se distinguent par leur motivation à utiliser leurs compétences de piratage pour faire avancer un programme politique ou social.
  3. Criminalité organisée : Elle est liée au monde de la cybercriminalité et se concentre principalement sur le gain financier.
  4. Espionnage d'entreprise : Les concurrents peuvent cibler une entreprise pour obtenir des informations propriétaires.
  5. États-nations : Parmi les attaquants les plus avancés, souvent derrière des groupes de menaces persistantes avancées (APT), ils visent généralement à protéger leurs intérêts nationaux.

Les différentes "couleurs" de hackers

  1. White hat hackers : Travaillent avec la permission complète de la cible et ont pour motivation de trouver des failles de sécurité qui peuvent ensuite être corrigées.
  2. Gray hat hackers : Se situent entre les deux. Ils n'ont pas de permission et leur activité est généralement illégale, mais ils piratent dans le but d'aider leurs victimes à améliorer leur sécurité.
  3. Black hat hackers : Agissent sans permission et ont des intentions malveillantes.

La menace venant de l'intérieur

Bien que de nombreuses menaces proviennent de l'extérieur de l'organisation, les menaces les plus dangereuses se cachent parfois à l'intérieur des murs de l'entreprise. Les attaques les plus coûteuses et les plus dangereuses sont souvent perpétrées par des individus de confiance.

La menace interne est le risque que les employés actuels et anciens, les contractuels et autres initiés exploitent leur accès privilégié aux systèmes afin de voler des informations ou de l'argent, ou de causer des dommages à l'organisation.

Statistiques alarmantes

Les statistiques entourant la menace interne sont alarmantes. Plus de la moitié de toutes les organisations ayant subi une violation de sécurité ont été victimes d'une attaque interne. Et dans 2/3 des cas, les violations internes commises par des individus ayant un accès de confiance étaient plus coûteuses à remédier que les attaques externes.

Types d'attaques internes

Dans de nombreux cas, les attaques internes sont commises par les utilisateurs les plus dignes de confiance, tels que les administrateurs système et les cadres, mais toutes les attaques n'utilisent pas ces comptes privilégiés. Les attaques d'escalade de privilèges peuvent prendre les identifiants d'un utilisateur normal et les transformer en comptes super-utilisateurs puissants.

Prévention des attaques internes

Pour se protéger contre les attaques internes, il est recommandé d'utiliser des pratiques courantes en matière de ressources humaines. Cela inclut la réalisation de vérifications des antécédents des employés potentiels pour découvrir tout passé d'infractions légales, et suivre le principe du moindre privilège, qui stipule que chaque utilisateur ne devrait avoir que les autorisations minimales nécessaires pour effectuer ses fonctions.

  • Mettre en place le contrôle à deux personnes pour les transactions très sensibles.
  • Mettre en œuvre une politique de vacances obligatoires pour le personnel critique afin de découvrir les fraudes lorsque le personnel est absent.
  • Conception des systèmes de sécurité pour limiter l'impact qu'un initié malveillant peut avoir sur leur sécurité.

Menace de l'ombre IT

Enfin, les employés peuvent représenter une menace pour la cybersécurité en introduisant de la technologie "Shadow IT" dans l'organisation sans l'approbation des responsables de la technologie. Cela peut exposer les données de l'organisation à un niveau de risque inacceptable.

Les vecteurs d'attaque en cybersécurité

Avant qu'un attaquant puisse accéder à des systèmes ou réseaux, il doit trouver un moyen d'entrer. Les vecteurs d'attaque sont les chemins que les attaquants utilisent pour obtenir cet accès initial.

Email

Les courriels constituent l'un des vecteurs d'attaque les plus courants. Les attaquants envoient des messages de phishing et des messages contenant des pièces jointes et des liens malveillants directement aux utilisateurs, espérant qu'un seul utilisateur deviendra victime de l'attaque et ouvrira la porte à leur réseau organisationnel.

Réseaux sociaux

Les réseaux sociaux peuvent également servir de vecteur d'attaque. Les attaquants peuvent utiliser les réseaux sociaux pour propager des logiciels malveillants de la même manière qu'ils le font par courrier électronique, ou ils peuvent utiliser les réseaux sociaux dans le cadre d'une campagne d'influence conçue pour gagner la confiance des utilisateurs qui peuvent ensuite être trompés en accordant un accès non autorisé aux informations et aux systèmes.

Supports amovibles

Les supports amovibles tels que les clés USB sont une autre façon courante de propager des logiciels malveillants. Les attaquants peuvent laisser des clés USB bon marché dans des parkings, des aéroports ou d'autres lieux publics, espérant que quelqu'un trouvera la clé et la branchera sur son ordinateur pour voir ce qu'elle contient. Dès que cela se produit, le périphérique déclenche une infection par un logiciel malveillant qui compromet silencieusement l'ordinateur du découvreur et le place sous le contrôle de l'attaquant.

Cartes à bande magnétique

Les cartes à bande magnétique sont également très vulnérables aux attaques. Les skimmers de carte sont des dispositifs que les attaquants attachent aux guichets automatiques, aux pompes à essence et à d'autres lecteurs de cartes. Lorsqu'un client innocent insère sa carte dans la machine, la carte passe à travers le skimmer, qui lit les données de la bande magnétique de la carte.

Services cloud

Les services cloud peuvent également être utilisés comme vecteur d'attaque. Les attaquants numérisent régulièrement les services cloud populaires à la recherche de fichiers avec des contrôles d'accès inappropriés, de systèmes présentant des failles de sécurité, ou de clés API ou de mots de passe publiés par accident.

Les vulnérabilités "Zero-Day"

Les attaques se produisent souvent lorsqu'une organisation néglige d'appliquer des correctifs de sécurité, les laissant ainsi vulnérables à un attaquant qui sait exploiter le correctif manquant. La solution à cette situation est simple. Les organisations doivent appliquer les mises à jour de sécurité dès qu'elles sont disponibles auprès des fournisseurs de systèmes d'exploitation et d'applications pour renforcer leurs systèmes contre les attaques.

Malheureusement, il n'est pas toujours possible de se protéger de toutes les vulnérabilités possibles, car toutes ne sont pas connues. Les systèmes d'exploitation modernes contiennent littéralement des millions de lignes de code, il ne fait aucun doute que quelque part dans cette énorme quantité de code se cachent de nouvelles vulnérabilités de sécurité que les communautés de sécurité n'ont tout simplement pas encore découvertes. Ces vulnérabilités peuvent exposer une organisation à des risques.

Lorsqu'un chercheur en sécurité découvre une nouvelle vulnérabilité, il la gère généralement de manière éthique et responsable. Cela signifie généralement notifier le fournisseur responsable de la vulnérabilité et lui donner l'occasion de la corriger avant de divulguer publiquement la vulnérabilité. C'est le processus normal qui couvre des milliers de vulnérabilités nouvellement découvertes chaque année.

Mais que se passe-t-il si quelqu'un découvre une nouvelle vulnérabilité, mais décide de la garder secrète ? Au lieu de partager la vulnérabilité avec le fournisseur ou le monde, le chercheur la garde simplement et la conserve comme une arme secrète utilisée pour accéder aux systèmes. Ce type de vulnérabilité est connu sous le nom de vulnérabilité "zero-day". Jusqu'à ce que le reste du monde la découvre, la zero-day est une arme incroyablement puissante.

Les APTs : une menace sophistiquée

Il n'est pas facile d'exploiter une vulnérabilité zero-day. On doit connaître la vulnérabilité et avoir les outils et les compétences nécessaires pour l'exploiter. Il est peu probable qu'un hacker lambda, script kiddie, ait une zero-day dans son arsenal. Cependant, il existe un type d'attaquant qui est connu pour utiliser ce type d'attaque.

Les Menaces Persistantes Avancées, ou APTs, sont des attaquants bien financés et très compétents. Ils sont généralement des unités militaires, des agences de renseignement gouvernementales, ou d'autres groupes très organisés qui mènent des attaques très ciblées. Ils sont avancés car ils ont accès à des zero-days et à d'autres astuces techniques sophistiquées. Et ils sont persistants car ils travaillent méthodiquement pour accéder à un ensemble très sélectif de cibles ayant une valeur militaire ou économique.

Défense contre les APTs

Se défendre contre les APTs est très difficile. Leur utilisation de vulnérabilités zero-day leur donne la capacité de compromettre la sécurité de toute organisation typique. Après tout, il est difficile pour une petite entreprise, ou même une grande, de rivaliser techniquement avec les ressources d'une agence gouvernementale bien financée.

Il faut protéger son organisation dans une certaine mesure en mettant en œuvre des mesures de sécurité solides, y compris l'utilisation d'un chiffrement robuste et une surveillance rigoureuse, dans l'espoir que les données sensibles résisteront à une attaque APT.


Sources

Ce cours s'inspire du cours sur Linkedin eLearning de Mike CHAPPLE :

https://www.linkedin.com/learning/comptia-security-plus-sy0-601-cert-prep-1-threats-attacks-and-vulnerabilities?contextUrn=urn%3Ali%3AlyndaLearningPath%3A57bdd64992015ae4c0cb990e&dApp=36524473&leis=LAA&u=98048682

Vous, et uniquement vous, êtes responsable de vos actes.

Copyright © 2024 - RootDev.fr par Guilyan - contact@rootdev.fr