Avantages de l’adoption de la confiance zéro à travers le prisme des cadres MITRE ATT&CK et D3FEND

Les cyberattaquants analysent les réseaux et les applications des organisations qu’ils ciblent — leur surface d’attaque numérique — pour élaborer des attaques en plusieurs étapes à l’aide de multiples techniques et procédures qui exploitent les vulnérabilités découvertes et de type « zero-day ». Dans cet article, nous examinons plusieurs catégories de menaces contre lesquelles les entreprises doivent se défendre et nous défendons l’utilisation des principes de confiance zéro pour augmenter les chances de contenir les dommages causés par les activités des adversaires. Nous examinons ensuite brièvement les tactiques, techniques et procédures des attaquants, codifiées dans le cadre MITRE ATT&CK. Nous abordons enfin le cadre MITRE D3FEND pour le rapprocher des principes de confiance zéro.

Dans son glossaire du Computer Security Resource Center (CSRC), le National Institute of Standards and Technology (NIST) propose une définition abstraite de la « surface d’attaque » : c’est « l’ensemble des points situés à la limite d’un système, d’un élément de système ou d’un environnement, et où un attaquant peut tenter de pénétrer, de provoquer un effet ou d’extraire des données de ce système, de cet élément de système ou de cet environnement ».

Une autre façon d’envisager la « surface d’attaque » consiste à considérer toutes les vulnérabilités connues et inconnues qui se cachent dans les différents composants de l’environnement numérique. Voici une liste non exhaustive de ces composants

• Réseau physique et virtuel, actifs de calcul et de stockage
  
• Hyperviseurs, machines virtuelles, systèmes d’orchestration de conteneurs, maillages de services
  
• Logiciels qui fonctionnent sur ces actifs — microprogrammes, systèmes d’exploitation, logiciels de gestion de base de données, logiciels d’application
  
• Dépôts d’images de conteneurs, dépôts d’images VM, dépôts de code
  
• API internes et externes, points de terminaison des microservices, portails d’application
  
• Services externes à l’environnement local mais consommés localement, tels que les services de validation d’identité, les serveurs de temps et le stockage de données à distance
  
• Magasins d’identité, bases de données de comptes d’utilisateurs, magasins de données d’entreprise

Pour minimiser les risques pour l’entreprise, les organisations doivent défendre à la fois leurs propres actifs numériques et leur propriété intellectuelle, et la vie privée de leurs clients et de leurs employés, tout en se conformant à toutes les exigences de conformité réglementaire. Et elles doivent le faire tout en assurant la disponibilité et la fiabilité des flux de travail et des expériences numériques. La solution à ce défi consiste à adopter les principes de confiance zéro : moindre privilège, vérification explicite, évaluation en continu et hypothèse de violation.¹ En procédant de la sorte, les organisations peuvent prendre en charge un certain nombre de classes de menaces différentes, comme nous le verrons dans les sections suivantes.

Les données sont la sève des entreprises numériques modernes ; les attaquants ont donc de fortes motivations financières pour s’attaquer aux données d’une organisation. Une fois volées, les données peuvent être vendues sur le dark web et exploitées par d’autres parties pour nuire davantage à leur propriétaire d’origine. Une organisation peut également être la proie d’un ransomware (ou rançongiciel), via lequel les attaquants rendent les données de l’organisation indisponibles, soit en les chiffrant sur place, soit en les supprimant entièrement de l’infrastructure de l’organisation. Les attaquants exigent ensuite un paiement — une « rançon » — en échange de la restauration des données. Une troisième catégorie d’attaque contre les données, utilisée par des acteurs aux motivations purement malveillantes, consiste à corrompre subtilement les données, perturbant ainsi les processus commerciaux et les expériences numériques qui en dépendent.

La fuite de données, ou violation de données, se produit lorsqu’un adversaire accède à des informations confidentielles sans le consentement du propriétaire. Outre leur impact sur la propriété intellectuelle, ces attaques causent souvent des dommages à la marque et une perte de confiance. La loi oblige les organisations victimes de violations à signaler toute perte de données contenant des informations permettant d’identifier les personnes. Les techniques de phishing, l’exploitation des vulnérabilités des applications destinées au public et la compromission de la chaîne d’approvisionnement sont autant de méthodes populaires pour infiltrer l’environnement numérique où sont stockées les données.

Pour prendre exemple récent, citons l’attaque de la chaîne d’approvisionnement deSolarWinds², que les adversaires ont utilisée pour pénétrer dans des milliers de sociétés et d’organisations gouvernementales. Cet accès initial a servi de tremplin aux étapes ultérieures d’exploitation de l’attaque en établissant une présence persistante dans l’infrastructure numérique, point de départ d’un mouvement latéral à travers de multiples applications et réseaux. En fin de compte, ces tactiques ont permis d’atteindre l’objectif final de l’attaquant, à savoir la compromission des informations d’identification et des mots de passe, et l’exfiltration des données de la victime.

Les « rançongiciels » représentent une autre forme d’attaque contre les données : les pirates déploient des logiciels malveillants pour perturber ou bloquer entièrement des processus commerciaux clés. Le plus souvent, les données commerciales essentielles sont chiffrées ou supprimées, ce qui perturbe les flux de travail stratégiques. Dans certains cas, les données de la base de données d’authentification sont également chiffrées ou supprimées, ce qui a pour effet de bloquer complètement l’accès au système pour les utilisateurs légitimes. Ce n’est qu’à la réception de la « rançon » que les attaquants rétablissent l’accès au système ou déchiffrent les données. En mai 2021, une attaque par ransomware a paralysé ColonialPipeline³, qui transporte de l’essence et du kérosène dans le sud-est des États-Unis.

Certains adversaires utilisent une approche plus nuancée dans leurs attaques de données. Plutôt que d’exfiltrer les données ou de les rendre indisponibles, ces attaquants sophistiqués effectuent un petit nombre de modifications soigneusement ciblées sur les données in situ de l’organisation victime ; le bénéfice de cette attaque est ensuite délivré par le biais des flux de travail externes normaux de l’application. Il peut s’agir, par exemple, d’augmenter la proportion de places à prix réduit sur un vol, de manipuler une base de données d’inventaire pour augmenter ou réduire le stock apparent, ou d’ajouter un code de réduction spécial sur un site de vente en ligne. Ces modifications « furtives », souvent difficiles à détecter avant que le mal ne soit fait, tirent parti des workflows de la victime pour extraire de la valeur.

Les pirates lancent des attaques qui mobilisent les ressources du réseau et de l’infrastructure informatique, au point que les processus commerciaux s’arrêtent ou perdent leur efficacité. Les objectifs de ces attaques sont variés : atteinte à la marque de l’organisation cible, extorsion de paiement ou recherche d’un résultat commercial spécifique, comme l’impossibilité de vendre des billets en ligne. Les attaquants sophistiqués utilisent également ce type d’attaque comme un écran de fumée pour dissimuler d’autres étapes d’une attaque simultanée plus complexe.

Les attaquants utilisent des botnets pour diriger du trafic vers les ressources de la cible afin de produire un déni de service distribué (DDoS). Les attaques DDoS volumétriques inondent le réseau cible de trafic, consommant toute la bande passante disponible. Les attaques DDoS protocolaires envoient du trafic spécialisé pour remplir les tables de connexion des dispositifs de mise en réseau à état — les pare-feu, notamment — de sorte que les connexions légitimes sont abandonnées. Les attaques DDoS applicatives consomment les ressources des serveurs avec des requêtes illégitimes.

Les attaquants peuvent obtenir un accès non autorisé aux ressources informatiques pour effectuer des calculs en leur nom, dont les résultats sont transmis à un serveur de commande et de contrôle. Cette méthode permet le plus souvent d’exécuter du code de cryptominage en arrière-plan, à l’insu du propriétaire de l’ordinateur. Le phishing et les téléchargements à la dérobée sont classiquement utilisés pour déployer du code de cryptominage sur les ordinateurs. Les pirates utilisent la tactique MITRE ATT&CK de mouvement latéral pour augmenter la capacité de CPU volée et la tactique de persistance pour maintenir leur capacité à exécuter des calculs non autorisés.

Des acteurs mal intentionnés causent du tort aux organisations en abusant d’un flux de travail ou d’une expérience utilisateur légitimes. Ces menaces peuvent entraîner des pertes de revenus, une dégradation de l’image de marque et des coûts opérationnels élevés pour faire face à la fraude.

Les pirates informatiques, motivés par le profit personnel, utilisent des processus commerciaux légitimes pour nuire aux organisations. Par exemple, ils peuvent utiliser l’automatisation pour acheter un nombre important de billets pour un événement populaire, empêchant ainsi quiconque d’en acquérir, puis les revendre à un prix plus élevé.

Des informations commerciales peuvent être extraites du site web public d’une organisation ou volées dans des systèmes internes, puis utilisées de manière préjudiciable à l’organisation. Par exemple, un concurrent peut récupérer des informations sur les prix et baisser ses propres prix pour attirer les clients.

Les pirates peuvent modifier le contenu d’un site web public et le défigurer pour mettre une organisation dans l’embarras. Ils peuvent également en modifier le contenu pour fournir des informations erronées aux utilisateurs du site.

Les fraudeurs trouvent le moyen de réaliser des transactions financières au nom d’autres utilisateurs afin d’en tirer profit. Ils utilisent des informations d’identification volées pour prendre le contrôle d’un compte ou inciter des utilisateurs peu méfiants à se rendre sur un site semblable à celui qu’ils utilisent normalement et à fournir leurs identifiants. Ce type de fraude se produit généralement sur des sites de commerce électronique ou des portails d’institutions financières. À l’époque du Covid, aux États-Unis, de nombreux fraudeurs se sont livrés à la fraude au chômage : ils ont déposé des demandes de prestation frauduleuses en utilisant des identités volées et se sont fait verser les allocations.⁴

Un adversaire persistant qui lance une menace contre une organisation est patient, organisé et hautement qualifié. Pour causer des dommages, l’attaquant doit atteindre plusieurs objectifs tactiques : collecte de renseignements, obtention d’un accès initial, établissement d’une base, vol d’informations, exfiltration de données, etc. Le cadre MITRE ATT&CK⁵ énumère les objectifs tactiques, les techniques permettant de les atteindre et les procédures de mise en œuvre de ces techniques. Les défenseurs peuvent s’appuyer sur ce cadre pour décomposer une attaque en un ensemble de tactiques, techniques et procédures (TTP), disponibles sur le site du cadre MITRE ATT&CK. Notons que pour chaque tactique et ses techniques associées, l’adhésion aux principes de confiance zéro dans l’environnement numérique réduit la probabilité de réussite de l’attaquant et augmente celle de détection précoce de son activité, comme le montre la figure 1.

Le cadre D3FEND offre une base de connaissances des contre-mesures et un graphe de connaissances qui « contient des types et des relations sémantiquement rigoureux qui définissent à la fois les concepts clés du domaine des contre-mesures de cybersécurité, et les relations nécessaires pour relier ces concepts entre eux ».⁷ Ce cadre aide les praticiens de la sécurité à envisager les capacités nécessaires pour se défendre contre les menaces qui ciblent leur environnement numérique.

En outre, il est possible d’envisager le risque de sécurité en termes de préparation aux différentes TTP énumérées dans le cadre MITRE ATT&CK en faisant le point sur la capacité à exécuter les contre-mesures pertinentes décrites par le cadre D3FEND. Le tissu conjonctif entre les deux cadres est l’abstraction appelée « artefact numérique ». Lorsque les attaquants utilisent un ensemble de TTP pour mener leur attaque, leur activité produit des artefacts numériques observables. Le cadre D3FEND aide les praticiens à rechercher spécifiquement les artefacts numériques produits par l’activité de l’adversaire et à élaborer un plan défensif réalisable.

Nous observons que les catégories de contre-mesures de MITRE D3FEND correspondent parfaitement aux techniques de sécurité de confiance zéro basées sur les principes de confiance zéro, comme le montre la figure 2.

Les applications et les expériences numériques d’aujourd’hui sont motivées par le désir des entreprises d’obtenir un engagement plus riche auprès d’une plus grande variété de clients cibles, qu’il s’agisse d’humains ou d’appareils intelligents, dans le contexte plus large d’un écosystème d’entreprises numériques interconnectées s’adressant à une main-d’œuvre et une clientèle de plus en plus mobiles. Simultanément, en raison des exigences accrues d’agilité et d’efficacité commerciales, les architectures d’application s’appuient beaucoup plus sur les composants open-source et SaaS. Par conséquent, l’application centrale dépend aujourd’hui d’une infrastructure plus profonde et moins contrôlée que jamais. Les besoins commerciaux modernes ont considérablement complexifié l’architecture des applications, ce qui se traduit par l’exposition d’une surface d’attaque plus large et plus dynamique, exploitée par des adversaires sophistiqués, mieux financés et plus motivés que jamais.

Le cadre MITRE ATT&CK offre une nomenclature organisée pour les tactiques, techniques et procédures exploitées par les malfaiteurs pour composer des attaques complexes. Le cadre MITRE D3FEND décrit un graphe de connaissances des contre-mesures exploitables par les organisations pour détecter les artefacts numériques observables, générés par les TTP d’une attaque. Les contre-mesures de MITRE D3FEND peuvent être associées à divers principes de confiance zéro, ce qui va augmenter l’efficacité de leur mise en œuvre.

Télécharger le rapport