| Solutions/Technologies

Depuis maintenant plusieurs années, les solutions techniques autour de la sécurité IT sont toujours plus nombreuses : Firewalls Next-Generation, PAM, Disk Encryption, SIEM, IPS, EDR, CASB, Sandboxing…

Néanmoins les incidents majeurs que nous pouvons tous observer depuis les dernières semaines restent toujours applicables, aussi triviaux que restent les vecteurs d’infection.

Les attaquants ont très bien compris que l’ingénierie sociale reste l’un des moyens les plus fiables pour atteindre une cible et surtout plus simple à mener que des attaques sophistiquées. Le facteur humain est particulièrement imprévisible et difficile à maîtriser, il demeure le maillon le plus vulnérable de la chaine.

L’émergence d’une nouvelle menace : le Shadow-IT

Force est de constater que les nouveaux risques autour du Shadow-IT sont notamment dû à un manque de sensibilisation induisant l’utilisation non légitime de plateformes externalisées dans le Cloud (ex: Dropbox, WeTransfer, Doodle, Prezi…) avec une sécurisation moindre (non conformité à la politique de mot de passe, pas de gestion des accès, aucune traçabilité, visibilité souvent publique du contenu, cession du droit d’utilisation…).

Par ailleurs, ces plateformes publiques sont la cible, et l’on comprend aisément pourquoi, d’actes fréquents de malveillance. Au sein de notre cellule de veille externe appelée RESIST, nous pouvons mesurer quasi quotidiennement les leaks divulguant des comptes professionnels compromis, avec, dans la plupart des cas, un effort réalisé pour obtenir les mots de passe en clair (issus d’une phase de cassage). Il sera donc aisé ensuite pour l’attaquant de cibler le Webmail, l’extranet ou tout autre accès externe non muni d’une authentification forte par exemple.

Le cas de la messagerie

C’est avec des degrés relatifs d’ingéniosité allant du simple Scam (arnaque) vous invitant sur votre boite personnelle à réaliser une opération financière pour aider un inconnu, jusqu’au Spear Phishing (enrichi d’informations issues d’ingénierie sociale) élaboré ciblant votre entreprise spécifiquement avec un effort de contextualisation (scénarisation de l’attaque) que la messagerie reste le principal vecteur de délivrance d’une souche malveillante.

Si les capacités techniques autour de la messagerie se sont perfectionnées ces dernières années avec l’implémentation de plus en plus fréquente du SPF/DKIM/DMARC, des solutions anti-phishing et du sandboxing, les attaquants usent toujours de techniques évoluées rendant parfois la détection technique difficile sans risque de faux positif : compromission préalable de domaines légitimes, contenu sous forme d’images plutôt que de texte, drive by download, chiffrement des flux, souches à variantes multiples, latéralisation par contacts connus…).

Le dernier rempart reste donc l’utilisateur, qui n’a généralement pas les clés suffisantes pour être en capacité de détecter une anomalie d’un message normal, et ce dans un volume de mails journaliers conséquents.

Et dans votre organisation ?

Que feraient vos employés si une clé USB traînait au sol devant l’enceinte de vos bureaux?
Combien sont vos collègues qui ne verrouillent jamais leur station de travail pourtant hébergeant du contenu sensible?
Quel serait le pourcentage de cibles cliquant sur un mail reprenant le logo de votre entreprise annonçant une modification concernant la prime de vacances?
Combien seraient ceux qui rechargeraient leur téléphone portable professionnel déverrouillé dans un lieu public (une gare, une salle d’attente…)?
Qui n’a jamais vu dans le TGV ou l’avion un écran de laptop dévoilant du contenu potentiellement classifié (attaque dite de type shoulder surfing)?

Les réponses sont pourtant multiples

Fini le simple mail de rappel ringard demandant de ne pas cliquer instinctivement sur chaque mail reçu, la preuve par l’exemple reste le moyen le plus efficace pour se rendre compte d’une situation à risque.

Les exercices de phishing sont, par exemple, un bon moyen de réaliser un double objectif : celui de mesurer le niveau de risque grâce aux résultats obtenus et de sensibiliser les utilisateurs post-opération.

 

Certaines métriques parlent souvent d’elles-mêmes :

  • Nombre total de postes compromis (avec le distingo des profils à risques tels que les VIPs)
  • Détermination du volume d’informations volées (par exemple : aspiration des contenus hébergés sur Google Drive ou Microsoft Office 365)
  • Temps qui s’écoule entre l’envoi de la campagne et le premier clic (la moyenne se situe autour de 82 secondes – Source : Data Breach Investigation Report 2015 de Verizon)
  • Temps moyen d’alerte par les collaborateurs auprès des équipes sécurité

 

En matière d’audit, d’autres scénarios peuvent être considérés comme le test du stagiaire ou celui de la clé USB déposée sur un endroit accessible de l’entreprise. Les tests d’intrusion physique permettent également de mesurer le respect des procédures dans des situations où l’auditeur pourra user d’éventuels scénarios complexes visant à exploiter la potentielle crédulité des interlocuteurs.

Par ailleurs, de nouvelles formes de sensibilisation sont à relever, en mêlant interactivité, jeux et cours en ligne. On notera les initiatives de l’ANSSI tout récemment avec le programme SecNumacadémie accessible au grand public ou encore les serious game “Game of Threats” de PWC et “Keep An Eye Out” du CIGREF.

Enfin, d’autres contre-mesures peuvent être liées à la détection de signaux faibles ou de faits remarquables à l’extérieur des SIs traditionnels qui doivent mettre en alerte les entités sécurité toujours à des fins de sensibilisation:

 

  • Dépôt d’un domaine avec une variante proche du domaine originel (typosquatting) marquant une probable préparation d’attaque visant à exploiter par ingénierie sociale des partenaires, clients ou même des collaborateurs internes;
  • Référencement de documents sur Internet avec un tatouage numérique (watermark) ou une mention de classification tel que “confidentiel”, “ne pas diffuser”, “interne uniquement” ainsi que le nom de l’entreprise relevant une probable erreur humaine;
  • L’indexation de threads sur des forums d’aide IT, support éditeurs, plateforme d’hébergement de code… comprenant le nom de l’entreprise ainsi que des informations précieuses pour un attaquant (fichiers de configuration, secrets d’authentification, schémas d’architecture…);
  • Détection d’adresses mails et mots de passe appartenant au domaine de l’entreprise dans les différents leaks issus de piratages de sites WEB extérieurs à l’entreprise (souvent issus du Shadow-IT)

Openminded réalise cette supervision au travers de RESIST avec, là encore le moyen de prévenir et réagir rapidement après divulgation, mais également de profiter de ces cas d’école pour sensibiliser en interne sur les risques opérationnels de tels évènements.

Christophe Longuepez