Vous êtes sur le site public du Cert-IST
Recommandations de RSA pour les attaques APT

Date :01 Mars 2012

Publication: Article

1) Introduction

Les attaques par infiltration, que l'on désigne souvent avec l'acronyme APT (Advanced Persistent Threat), constituent aujourd'hui une menace majeure pour les entreprises. Comme nous le mentionnons dans notre bilan annuel des failles et attaques, nous avons observé en 2011 une multiplication du nombre d'attaques de ce type (avec par exemple les attaques contre RSA, Areva ou le Ministère français de l'Economie et des Finances) ; la question pour les entreprises n'est plus de savoir si un jour elles subiront ce type d'attaques, mais quand cette attaque se produira, et comment l'entreprise pourra détecter et réagir après l’attaque.

RSA a été une des victimes de ces attaques (en mars 2011 des pirates sont parvenus à compromettre des postes internes de l'entreprise puis à voler des données critiques relatives aux calculettes SecurID vendues par la société). Par ailleurs, cette société a publié en moins d’un an, quatre rapports distincts traitant du sujet des attaques APT où elle analyse les moyens que l'on peut mettre en place pour contrer ces attaques. Nous présentons ces rapports dans cet article.

 

2) RSA Security Briefing, février 2011 : Mobilizing Intelligent Security Operations for Advanced Persistent Threats

Ce rapport de 13 pages (disponible ici) a été publié avant que la société RSA ne subisse elle même une attaque APT. Il a été co-écrit par RSA et VMware et est très axé sur les outils technologiques qui peuvent permettre de détecter et limiter l'impact d'une attaque APT (en particulier au moyen d’environnements virtualisés de type « cloud »). Les idées principales qui y sont développées sont :

  • La sécurité de l'entreprise doit être guidée par une analyse de risques et se concentrer en priorité sur la protection les biens les plus importants de l'entreprise.
  • Le SOC (Security Operation Center) est un acteur central qui permet la maîtrise de la sécurité. Il doit avoir une vision globale de la sécurité de l'entreprise. C'est lui qui analyse les risques de sécurité, surveille les infrastructures clés et établit les mesures de réaction en cas d'attaque.
  • La virtualisation des systèmes informatiques permet de disposer d'environnements techniques plus faciles à superviser et offre des fonctions de défenses spécifiques (le mécanisme de « sandbox » permet de limiter l'impact d'une infection et la reconfiguration dynamique des systèmes permet d'adapter l'environnement en cas d'attaque).

Globalement, le rapport est fortement orienté sur la démonstration technique qu'un environnement virtualisé, supervisé par une équipe SOC est l'architecture la plus capable de contrer la menace APT. Le fait que ce rapport soit co-écrit avec Vmware explique probablement l'importance donnée à la virtualisation. Du fait de sa forte orientation technique, ce rapport nous parait moins intéressant que les autres publications que nous décrivons ci-après.

 

3) RSA APT Summit, juillet 2011 : Advanced Threats - The New World Order - RSA  APT Summit Findings

En juillet 2011, RSA et TechAmerica ont organisé à Washington une rencontre d'une journée intitulée « The APT Summit » au cours de laquelle les personnes invitées ont échangé sur le sujet des APT et sur les moyens pour contrer cette menace. Un rapport préliminaire de 3 pages (disponible ici) a été publié début septembre, puis un document plus détaillé (disponible ici) a été diffusé en octobre 2011.

Le document préliminaire donne une synthèse claire des conclusions de ce sommet :

  • Les attaques visent désormais les personnes (par des techniques d'ingénieries sociales) plutôt que les plates-formes techniques.
  • Les organisations doivent considérer que certaines attaques vont réussir à compromettre des postes internes à l'entreprise.
  • Etre au courant des attaques impactant d'autres entreprises est essentiel pour connaître les menaces.
  • Les fournisseurs sont aussi des cibles d'attaques car ils permettent par rebond d'attaquer l'entreprise.
  • L'entreprise doit développer à l'avance des plans de réponse sur incident et ne doit pas considérer ces plans comme une simple fonction sécurité.
  • Les défenses basées sur des signatures d'attaques (par exemple les solutions antivirales) sont inefficaces en cas d'attaque APT.
  • Mettre en place un partage d'informations entre les entreprises à propos des attaques est une extrême priorité.
  • Il faut chercher des moyens pour détecter les attaques le plus tôt possible et pour stopper la progression de l'attaquant.
  • Les annonces publiques d'attaques APT réussies ne représentent que la partie visible de l’iceberg.
  • Les infrastructures actuelles sont trop complexes et doivent être simplifiées pour être plus sûres.

 

4) RSA SBIC report - août 2011 : When Advanced Persistent Threats Go Mainstream

Ce rapport de 20 pages a été rédigé par le SBIC (Security for Business Innovation Council) de RSA. Il s’agit d’un groupe de réflexion, animé par RSA, qui rassemble des RSSI de grandes entreprises.

Ce rapport (disponible français et en anglais) présente tout d’abord de façon très détaillée et pédagogique le phénomène des APT. Le reste du document propose 7 recommandations pour lutter contre cette menace.

  • Recommandation 1. Collecter et analyser de l’« intelligence » de haut niveau.
    Pour lutter contre les APT, le rapport recommande de développer au sein de l’entreprise une expertise sécurité spécifique, qu’il baptise la « cyber risk intelligence ». Cette « intelligence » (au sens anglo-saxon du terme) s’attache à acquérir une connaissance approfondie suivant deux axes : l’entreprise d’une part (quels sont les systèmes critiques et quelles sont les défenses en place) , et les techniques utilisées par les attaquants d’autre part. Cet aspect est développé très largement dans le 4ème rapport RSA que nous présentons au chapitre suivant.
  • Recommandation 2. Déployer un système avancé de monitoring. Ce second élément insiste sur la nécessite de superviser la sécurité de l’entreprise au moyen de structure de type SOC (Security Operation Center). On retrouve ici les principes mis en avant dans le premier rapport que nous avons présenté précédemment.
  • Recommandation 3. Maîtriser les contrôles d’accès (limiter les privilèges accordés à chaque utilisateur et empêcher les utilisateurs ayant des privilèges élevés d’utiliser ces privilèges sur de multiples systèmes de l’entreprise).
  • Recommandation 4. Promouvoir la formation des utilisateurs. On pourra noter que les recommandations données dans ce domaine sont assez coercitives et probablement mal adaptées au contexte d’entreprises européennes.
  • Recommandation 5. Intégrer les attentes des décideurs (les convaincre que la menace APT est différente de celles traitées jusqu’à présent et plus difficile à contrer).
  • Recommandation 6. Réviser l’architecture système (bannir les architectures réseaux « à plat » et isoler les systèmes critiques).
  • Recommandation 7. Participer activement aux échanges d’informations (avec d’autres entreprises ou les autorités gouvernementales).

Outre la nécessité du soutien de la direction de l’entreprise (recommandation 5), ces recommandations se répartissent donc en trois catégories de mesures :

  • des mesures classiques de défense en profondeur et de sensibilisation des utilisateurs (recommandations 3, 4 et 6),
  • la mise en place d’une supervision permanente de la sécurité au sein de l’entreprise via des structures de type SOC (recommandation 2),
  • le développement d’une force spécifique (baptisée la « cyber risk intelligence ») et le partage d’information avec la communauté (recommandation 1 et 7).

Ce dernier point est développé dans le rapport suivant de RSA.

 

5) RSA SBIC report janvier 2012 : Getting Ahead of Advanced Threats

Ce rapport part du constat qu’en général les organisations n’ont pas une connaissance suffisamment approfondie sur les menaces auxquelles elles doivent faire face et sur leurs propres défenses de sécurité, pour pouvoir lutter efficacement contre la menace APT.

Il recommande pour pallier cette faiblesse de mettre en place une « cyber risk intelligence » et propose un plan d’actions en six phases pour acquérir cette « intelligence ». Notre compréhension est que cette « intelligence » est une structure humaine dédiée à l’analyse permanente des nouvelles menaces, de la façon dont l’entreprise est exposée à ces menaces, et des moyens disponibles pour les contrer. De notre point de vue, cette fonction de « veille permanente sur les nouveaux risques » existe déjà dans la plupart des entreprises. Mais ce que veut sans doute dire ce rapport RSA c’est que :

  • Des moyens accrus doivent être donnés à ces structures. Dans le cas de la menace APT, les attaquants disposent de moyens importants (plusieurs mois de travail sont probablement consacrés à chaque attaque menée). Les défenseurs doivent donc avoir des moyens proportionnels à la force des attaquants.
  • Le cas des attaques APT doit être explicitement traité par ces structures. Mais plutôt qu’une « task force » ponctuelle, une structure devrait être permanente pour adapter les défenses en fonction des nouvelles attaques.
  • L’entreprise doit regarder au delà de son périmètre et échanger avec la communauté sur le sujet des incidents de sécurité. Le partage d’information permettra aux participants de cumuler les expériences plutôt que d’avoir à construire seul son expertise.

 

6) Conclusions

Les APT sont une menace qui ne peut pas être ignorée. Ces attaques sont intelligentes : il ne s’agit plus de virus se propageant de façon autonome et automatique, mais d’outils informatiques manipulés par des attaquants humains. Cette intelligence humaine sait s’adapter aux défenses existantes et en exploiter les moindres faiblesses.

La réponse à cette menace n’est pas triviale. Il y a peu de publications approfondies sur ce sujet et la contribution de RSA que nous venons de présenter dans cet article constitue :

  • Un état des lieux incontournable (voir en particulier les résultats de « l’APT summit » présenté au chapitre 3),
  • Une base de réflexion intéressante sur les solutions qui peuvent être mises en place.