Qu’est-ce qu’une menace persistante avancée ?

Une menace persistante avancée (APT) est un événement de sécurité complexe en plusieurs étapes qui cible des actifs commerciaux spécifiques. Une APT est un acteur non autorisé qui pénètre dans un environnement organisationnel, se déplace entre les systèmes pour obtenir des actifs, transfère des informations sensibles et tente d’en sortir sans être détecté. Les menaces persistantes avancées peuvent être difficiles à identifier et à traiter, en raison de tactiques sophistiquées et d’une approche ciblée. La protection contre les APT nécessite une approche multi-systémique et multidisciplinaire.

Un événement APT peut avoir l’un des objectifs suivants.

Vol de propriété intellectuelle

La propriété intellectuelle, telle que les secrets commerciaux ou gouvernementaux, le code source propriétaire ou les communications privées, est l’ensemble des données sensibles qui sont privées pour une organisation. En accédant pour la première fois à ces données, les groupes APT obtiennent illégalement des informations pour obtenir un avantage concurrentiel ou avoir un impact négatif sur le réseau cible de l’entreprise.

Fraude financière

Les APT peuvent prendre le contrôle des systèmes et des opérations de l’entreprise, en donnant à l’acteur non autorisé l’accès privilégié nécessaire pour commettre une fraude financière. Ces opérations peuvent envoyer des virements financiers à partir de comptes d’utilisateurs ou voler des données sensibles à une entreprise pour se faire passer pour des personnes privilégiées au sein de l’entreprise.

Rançongiciel 

Un événement APT réussi peut avoir pour objectif de mettre en œuvre un rançongiciel. Dans cet exemple, l’APT commence à chiffrer les données sensibles et à empêcher les utilisateurs d’accéder au réseau cible. Ces groupes non autorisés peuvent exiger une rançon élevée en échange de la fourniture de la clé permettant de déchiffrer les fichiers. 

Atteinte à la réputation

L’objectif spécifique de certains groupes APT est de porter atteinte à la réputation de l’organisation en divulguant des informations au public.

Les APT ne prennent en compte que les cibles de grande valeur. Les menaces persistantes avancées (APT) sont plus complexes à identifier qu’une cybermenace classique, car elles ne suivent pas les modèles traditionnels. Comme il n’existe pas de vecteur d’événement de sécurité, de calendrier ou de signature commun, il est plus difficile de localiser et de neutraliser ces événements de sécurité. 

Lors d’événements de sécurité classiques, il peut y avoir une augmentation soudaine des opérations de base de données ou du trafic lié aux mouvements de données, tandis que l’approche plus méthodique des événements APT reste cachée.

Une APT peut également ne pas rechercher un gain instantané, ce qui lui permet de prendre son temps pour créer une menace plus étendue. En restant indétectables dans les systèmes, les APT peuvent passer inaperçues pendant de longues périodes au sein d’une entreprise jusqu’à ce que le groupe décide d’agir.

Voici les caractéristiques et les symptômes les plus courants d’une menace persistante avancée.

Des événements sophistiqués en plusieurs étapes pour y accéder

Les menaces persistantes avancées impliquent des événements en plusieurs étapes, qui suivent souvent une série d’étapes similaires.

Tout d’abord, un acteur non autorisé effectue une reconnaissance sur une organisation cible et ses systèmes afin de recueillir des informations sur les actifs et les vulnérabilités potentielles. À partir de là, ils développent des méthodes pour tirer parti des vulnérabilités identifiées.

Une fois qu’un acteur non autorisé accède aux systèmes de l’entreprise, il passe par différentes parties du système. Pour ce faire, ils ont accès à des privilèges élevés grâce à l’ingénierie sociale, à la navigation dans les segments du réseau et à d’autres techniques. Ils peuvent également distraire le personnel de sécurité. Les serveurs de commande et de contrôle sont configurés pour coordonner les communications.

Une fois que les ressources cibles sont accessibles, un acteur non autorisé commence généralement à exfiltrer les données ou à modifier le système compromis, en fonction de l’objectif de l’événement. Certaines menaces persistantes avancées suivent cette étape finale pour tenter de dissimuler leurs traces afin d’empêcher toute connaissance de l’événement.

Réalisée par un groupe APT très motivé

Les événements APT proviennent d’acteurs non autorisés très motivés qui opèrent généralement en groupe. Ces groupes se présentent sous de nombreuses formes, notamment des APT parrainés par l'État, des organisations professionnelles de cybercriminalité, des groupes hacktivistes ou de petites équipes de pirates informatiques pour compte d'autrui.

Bien que l'un des principaux objectifs des APT soit le gain financier, certains de ces groupes organisent des événements APT pour recueillir des informations sensibles, exposer des données, saboter des infrastructures ou avoir un impact sur la réputation des organisations. 

Un événement qui s’est produit sur une période significative et qui concerne plusieurs systèmes

Les étapes décrites précédemment peuvent se dérouler sur une longue période. En raison de la nature ciblée des événements APT, les groupes planifient soigneusement de se déplacer lentement pour éviter d’attirer l’attention ou de déclencher des alertes dans les systèmes. Dans certains cas, l’APT passe inaperçu pendant des mois, voire des années, avant de prendre des mesures pour atteindre l’objectif initial.

Conçue pour ne pas laisser de traces

La dernière étape du mouvement d’un acteur de la menace APT consiste à masquer toute trace d’un événement, par des techniques telles que la suppression de fichiers, la modification des journaux ou l’obscurcissement de certains aspects d’une base de données. En réduisant la probabilité qu’une équipe de cybersécurité découvre une anomalie du système, les acteurs non autorisés sont plus susceptibles de s’en sortir sans conséquences.

De plus, en dissimulant les preuves de leur présence, les APT peuvent également garder secrète leur méthode d’infiltration spécifique. Cette sortie secrète leur permet d’utiliser la même stratégie lente et méthodique avec les autres organisations cibles.

Le renseignement avancé sur les menaces persistantes (APT) est une forme spécialisée de renseignement sur les menaces qui informe et oriente les entreprises dans le cadre des campagnes APT en cours, des acteurs non autorisés établis et des techniques d’ingénierie sociale actuelles utilisées par les APT. 

Le renseignement APT diffère du renseignement sur les menaces général en ce qui concerne ses sources, ses techniques de triangulation, ses rapports, ses analyses et ses applications.

Voici plusieurs mesures de sécurité efficaces pour vous aider à prévenir les APT et à vous en défendre.

Renseignements sur les menaces

Les systèmes de renseignement sur les menaces constituent une stratégie efficace pour aider à prévenir les APT. Le renseignement sur les menaces rassemble des données de sécurité internes et externes afin de fournir une vision globale de l’état actuel des événements et de leurs vecteurs communs. En utilisant des données publiques et privées, vous pouvez déterminer vos principaux adversaires potentiels et vos tactiques APT, ainsi que la manière de vous en défendre.

Les organisations peuvent recueillir des informations et créer des stratégies en mettant en œuvre des plateformes de renseignement sur les menaces, des flux de renseignements sur les menaces open source et des frameworks tels que MITRE ATT&CK.

Enregistrement et télémétrie

La journalisation efficace et complète des systèmes de cybersécurité, du réseau, des points d’accès aux actifs, de la surveillance des points de terminaison et des données générales sur l’état de santé des systèmes permet aux experts en sécurité de développer une vue d’ensemble complète de vos systèmes d’entreprise. La conservation de journaux granulaires et la mise en œuvre d’analytiques avancées améliorent la détection des anomalies et facilitent les enquêtes rétroactives sur les événements de sécurité imprévus.

Technologie

Il existe plusieurs technologies que vous pouvez utiliser pour améliorer votre capacité à détecter, neutraliser et atténuer les APT. Voici quelques technologies centrales de cette pile technologique de sécurité :

• Systèmes de détection d’intrusion (iDS) : outils qui surveillent le trafic réseau afin d’identifier toute activité étrange.
• Systèmes de gestion des informations et des événements de sécurité (SIEM) : solution qui met en corrélation les données provenant de différents systèmes de sécurité afin de détecter les menaces en temps réel et de réagir aux événements de sécurité inattendus.
• Détection et réponse des points de terminaison (EDR) : cartographie et surveille tous les points de terminaison de l’entreprise afin d’identifier les anomalies et d’y répondre automatiquement.

Sécurité à plusieurs niveaux

Outre les mesures de sécurité APT, vous pouvez également mettre en œuvre une stratégie de sécurité à plusieurs niveaux pour réduire la probabilité d’un événement de sécurité inattendu. Vous pouvez segmenter le réseau, sécuriser le stockage des données de localisation, implémenter l’accès au moindre privilège, appliquer l’authentification multifactorielle pour tous les comptes de l’entreprise et utiliser des normes strictes de chiffrement au repos et en transit. En outre, l’application régulière de correctifs aux logiciels réseau, aux logiciels système et aux logiciels d’application permet d’atténuer les vulnérabilités connues.

Formation

L’un des points d’entrée les plus courants pour les APT et autres événements imprévus de cybersécurité est le contact avec les employés de l’entreprise. Qu’il s’agisse d’escroqueries par hameçonnage ou de manipulations sociales en incitant un employé à cliquer sur un lien compromis, les groupes ciblent souvent des individus au sein de l’organisation. Avec les progrès de l’IA, les techniques avancées d’usurpation d’identité sont de plus en plus courantes.

Vous pouvez mener régulièrement des programmes de sensibilisation à la sécurité pour lutter contre les menaces d’ingénierie sociale au sein de votre organisation. Vos employés devraient être capables de reconnaître les premiers signes d’une APT et de signaler les événements à votre équipe de sécurité.

AWS propose des services conçus pour aider à protéger les entreprises contre les menaces persistantes avancées. AWS Security Hub transforme la sécurité du cloud grâce à une visibilité unifiée, à des informations exploitables et à des flux de travail automatisés.

Amazon GuardDuty propose une solution de détection des menaces entièrement évolutive et gérée pour le cloud. Amazon GuardDuty peut rapidement identifier, corréler et répondre aux menaces grâce à des analyses automatisées et à des recommandations de correction personnalisées afin de minimiser les interruptions d’activité. Amazon GuardDuty propose une détection intelligente des menaces pour vous aider à protéger vos comptes AWS, vos charges de travail et vos données.

Amazon Inspector découvre automatiquement les charges de travail, telles que les instances Amazon Elastic Compute Cloud (Amazon EC2), les images de conteneurs et les fonctions AWS Lambda, ainsi que les référentiels de code, et les analyse à la recherche de vulnérabilités logicielles et d’exposition involontaire au réseau.

Amazon Macie découvre les données sensibles à l’aide du machine learning et de la correspondance de modèles, fournit une visibilité sur les risques de sécurité des données et permet une protection automatisée contre ces risques.

Réponse aux incidents de sécurité AWS vous permet de vous préparer aux événements de sécurité, d’y répondre et d’y remédier. Le service de réponse aux incidents de sécurité automatise la surveillance et les enquêtes, accélère la communication et la coordination et offre un accès direct 24h/24 et 7j/7 à l’équipe AWS Customer Incident Response Team (CIRT).

Commencez à protéger votre organisation contre les APT sur AWS en créant un compte gratuit dès aujourd’hui.