Les cyberattaques ne cessent d’augmenter et d’évoluer, mais quel que soit le degré de complexité utilisé par les pirates pour accéder, prendre pied, dissimuler leurs logiciels malveillants, exécuter leur charge utile ou exfiltrer des données, leur attaque commencera par une reconnaissance. Ils feront tout leur possible pour découvrir les actifs exposés et sonder la surface d’attaque de leur cible à la recherche d’écarts pouvant être utilisés comme points d’entrée.
Ainsi, la première ligne de défense consiste à limiter autant que possible les informations potentiellement utiles disponibles pour un attaquant potentiel. Comme toujours, le bras de fer entre la nécessité opérationnelle et les préoccupations de sécurité doit être pris en compte, ce qui nécessite une meilleure compréhension du type d’informations généralement exploitées.
Quelles informations les pirates recherchent-ils pendant la reconnaissance ?
Lorsqu’ils effectuent une reconnaissance sur une organisation, les pirates – qu’ils soient des chapeaux blancs ou noirs – “font un joint”. Pour planifier leur attaque, ils essaieront de découvrir autant d’informations que possible sur :
Votre infrastructure
- Les types de technologies que vous utilisez – Comme il n’existe pas de technologie sans faille, se renseigner sur celles utilisées pour construire et gérer votre infrastructure est la première étape des hackers. Ils visent à trouver des vulnérabilités pour pénétrer votre infrastructure et se protéger de la détection. Les pirates peuvent obtenir des informations sur vos technologies et sur la manière dont elles sont utilisées en écoutant les conversations sur les forums techniques. Les DevOps participant à de telles discussions doivent s’abstenir de divulguer leur véritable identité ou des informations susceptibles d’identifier l’organisation.
- Vos serveurs connectés à Internet – les serveurs contiennent les informations vitales de votre organisation. Les pirates tenteront de trouver des vulnérabilités allant des services inutilisés ou non corrigés aux ports ouverts.
- Tout système utilisé comme serveur sur un réseau public est une cible, les administrateurs système doivent donc redoubler de vigilance pour :
- Tenir à jour tous les services
- Opter pour des protocoles sécurisés dans la mesure du possible
- Limiter le type de réseau par machine au strict minimum, de préférence un par machine
- Surveillance de tous les serveurs pour détecter toute activité suspecte
- Votre système d’exploitation (OS) – Chaque système d’exploitation a ses propres vulnérabilités. Windows, Linux, Apple et d’autres systèmes d’exploitation publient régulièrement des vulnérabilités et des correctifs récemment découverts. Ces informations accessibles au public sont exploitées par les cyber-attaquants une fois qu’ils savent quel système d’exploitation vous utilisez.
- Par exemple, une conversation de forum où Joe Blog, votre comptable, explique comment utiliser une fonction sur une feuille de calcul Excel Windows 8 indique au pirate que Joe Blog utilise Windows et n’a pas mis à jour son système d’exploitation depuis des lustres.
- Cette friandise encourage le cyber-attaquant à creuser plus loin car, si un employé ayant accès aux informations financières de votre organisation est autorisé à travailler sur un terminal qui est rarement, voire jamais, mis à jour, la sécurité des terminaux des employés est laxiste.
- Votre maturité en matière de sécurité – Les pirates sont des humains et, en tant que tels, ont tendance à être paresseux. Un pirate en mission de reconnaissance qui découvre que vous utilisez une plate-forme XSPM (Extended Security Posture Management) sait que, même s’il existe un point d’entrée exploitable, l’escalade sera entravée à chaque étape, et la réalisation de l’action malveillante nécessitera un niveau supérieur de planification. Cela décourage la plupart des cyber-attaquants potentiels.
Identifiants
- Adresses mail – comme l’esprit humain est le logiciel le plus difficile à mettre à niveau et à corriger, le phishing reste le vecteur de pénétration numéro un pour les pirates. Bien que certaines adresses e-mail, telles que les informations, le support, les ventes, etc., doivent être publiques, les e-mails personnels des employés peuvent être exploités par des pirates pour des messages de phishing génériques et du spear phishing.
- Noms d’utilisateur et mots de passe – Les centres commerciaux des hackers du Darknet regorgent d’identifiants à vendre à des prix dérisoires, d’où la recommandation de changer régulièrement de mot de passe.
- Pour l’administrateur système et les autres utilisateurs disposant d’un accès privilégié, le maintien d’une excellente hygiène des mots de passe – et MFA ! – est un must absolu car, si leurs informations d’identification tombaient entre les mains d’un pirate, l’ensemble du système pourrait être irrémédiablement compromis.
Pouvez-vous repérer une reconnaissance de hacker ?
Prévenu est pré-armé, il pourrait donc être judicieux d’écouter les signes d’activité de reconnaissance hostile. L’activité de reconnaissance peut être classée en deux catégories :
- Reconnaissance active : les pirates utilisant des outils ou des logiciels espions pour accéder à votre système. Cela devrait déclencher des alertes à partir d’outils de détection correctement configurés, informant les équipes d’information de sécurité que les pirates les “casent”.
- Cela devrait inciter à lancer un exercice de validation de la sécurité pour s’assurer que les failles de sécurité potentielles sont correctement surveillées et programmées pour être corrigées en priorité.
- Reconnaissance passive: les pirates vous “traquent” en collectant des informations accessibles au public sur les détails technologiques ou les adresses e-mail de votre infrastructure. Ceci est, en effet, indétectable.
Que fait un pirate informatique des informations recueillies lors de la reconnaissance ?
Les objectifs des cyber-attaquants se répartissent en quatre grandes catégories :
- Vol – de loin la catégorie la plus importante en termes de nombre, les attaques visant à voler peuvent être subdivisées en plusieurs catégories correspondant à l’objectif du vol :
- Données – les données sont la monnaie du 21e siècle, et toute donnée dans la main droite peut être traduite en valeur. Des détails de la carte de crédit aux informations personnelles des utilisateurs en passant par les données génériques telles que les habitudes de voyage, toutes les données peuvent être détournées à des fins commerciales, stratégiques ou même militaires.
- Propriété intellectuelle – IP donne un avantage à de nombreuses organisations et entreprises. Les concurrents, par exemple, ont un intérêt immédiat à obtenir ces informations.
- Ressources informatiques – les ressources utilisées pour alimenter votre infrastructure sont coûteuses, donc attractives. Aujourd’hui, l’utilisation principale des ressources volées est l’extraction de crypto.
- Extorsion – mieux connu sous le nom de ransomware, le ransomware détourne des parties ou toute l’infrastructure, crypte les données et nécessite un paiement en crypto-monnaie pour décrypter les données affectées. L’exfiltration de données et la menace de les vendre font également partie des menaces de ransomware.
- La collecte d’informations – un type d’attaque furtif qui peut rester non détecté pendant de longues périodes. Généralement, ceux-ci sont réquisitionnés par des États-nations, des opposants politiques ou des concurrents commerciaux.
- Destruction / prise en charge de l’infrastructure – les attaques visant à dépasser ou à détruire sont généralement menées par des États-nations ciblant des infrastructures critiques, en particulier des concurrents agressifs ou des hacktivistes.
Compte tenu de l’éventail des dommages pouvant résulter d’une cyberattaque, rendre la reconnaissance aussi infructueuse ou intimidante que possible pour repérer les cyberattaquants est une bonne politique. Ceci explique la tendance actuelle vers une meilleure Gestion de la surface d’attaque (ASM).
Noter: Cet article est rédigé par Sasha Gohman, vice-présidente de la recherche chez Cymulate.