Les RSSI et administrateurs systèmes doivent composer avec une véritable explosion des cybermenaces en 2023. Au cœur de ces attaques se trouvent les vulnérabilités, qui constituent des portes d’entrée et des « opportunités » pour les pirates informatiques.
Selon le dernier rapport de la NSA, le nombre de failles de sécurité exploitées a bondi de 33% au cours des 18 derniers mois. Pire encore, près de 55% de ces brèches concernent des vulnérabilités connues mais non corrigées !
Dans ce contexte, il est indispensable de comprendre et d’anticiper les chemins d’attaques empruntés par les hackers à partir des vulnérabilités détectées au sein des systèmes d’information.
Modélisation des cyberattaques avec MITRE ATT&CK
Pour modéliser les tactiques, techniques et procédures (TTP) des hackers, le framework MITRE ATT&CK constitue une référence internationale.
Cette matrice répertorie l’ensemble des étapes généralement suivies par un attaquant pour compromettre un SI, voler des données et se maintenir dans le réseau.
On distingue classiquement 3 grandes phases :
- L’accès initial : exploitation d’une vulnérabilité applicative, d’un mauvais paramétrage firewall, spearphishing etc.
- L’élévation de privilèges : utilisation de malware, d’exploits, de techniques de passwords spraying etc.
- L’action sur objectifs : destruction de données, ransomwares, exfiltration de bases de données, surveillance de postes etc.
Le logiciel SCUBA permet justement de cartographier finement tous les chemins d’attaques envisageables à partir des vulnérabilités détectées au sein du SI. Grâce à son analyse MITRE ATT&CK, le RSSI identifie rapidement les scénarios de compromission les plus probables et les plus critiques pour l’entreprise.
Quelques exemples de chemins d’attaques redoutables
La NSA, le FBI et la CISA alertent régulièrement les entreprises sur les tactiques privilégiées par certaines campagnes de cyberattaques. Voici 3 chemins d’attaques particulièrement redoutables et observés en 2023 :
Attaques par ransomwares
Ces derniers mois, de nombreuses collectivités et PME ont été victimes de Conti, Black Basta ou Hive :
- Infection depuis un mail de spearphishing (T1566)
- Exécution de code PowerShell pour désactiver les protections anti-virus (T1089)
- Déploiement latéral via SMB pour infecter un maximum de postes et serveurs (T1105)
- Vol de données, chiffrement et rançon (T1486)
Intrusion via des appliances VPN
De récentes campagnes VICEROY TIGER ont visé des appliances VPN de Fortinet, Palo Alto Networks et Pulse Secure :
- Exploitation d’une vulnérabilité de type buffer overflow (T1133)
- Collecte des identifiants VPN en mémoire vive (T1003)
- Connexions VPN avec les comptes volés (T1078)
- Accès au réseau interne et déploiement de backdoors (T1543)
Attaques sur les serveurs Microsoft Exchange
Le proxylogon en 2021 et ses variantes ont affecté des milliers d’entreprises dans le monde :
- Exploitation de vulnérabilités zero-day sur Exchange (T1190)
- Ajout de comptes d’administrateurs (T1136)
- Accès aux emails via le protocole SMTP (T1114)
- Exfiltration massive de données confidentielles (T1530)
L’analyse précise des scénarios d’attaques, guidée par l’expertise des éditeurs de solutions comme SCUBA, doit absolument constituer une priorité pour mieux protéger le cœur du SI de l’entreprise.
Vers une gestion offensive des vulnérabilités
La réduction drastique des vulnérabilités accessibles aux hackers constitue désormais l’un des enjeux majeurs de cybersécurité pour les RSSI. Au delà de la surveillance, il s’agit d’adopter une posture offensive :
- Cartographier en continu sa surface d’attaque
- Prioriser les vulnérabilités sur lesquelles agir via la criticité métier
- Corréler chaque faille à des scénarios d’attaque réalistes (chemins ATT&CK)
- Réduire l’exposition grâce à des plans d’action mesurables
Une telle démarche, portée à la fois par le management des risques et des solutions dédiées, permet d’anticiper plus efficacement les mouvements des cybercriminels.
Face à une menace polymorphe en constante évolution, attendez-vous à l’inattendu et vérifiez votre niveau de préparation !