Accueil Non classé Mode de défense : Defense-in-Depth contre Kill Chain

Mode de défense : Defense-in-Depth contre Kill Chain

Frédéric Braibant, Nomios
Frédéric Braibant, Nomios

Quel mode de défense choisir ? Maintenir impérativement l’attaquant hors du système d’information ou admettre qu’il puisse le pénétrer et agir en conséquence ? Defense-in-Depth vs Kill Chain : le point de vue de Frédéric Braibant, manager intégration chez Nomios.

Nous avons tous en tête le concept de ‘’Defense-in-Depth’’ présentant la défense du système d’information comme une couche de barrières successives permettant de maintenir l’attaquant en dehors de celui-ci. Sa représentation la plus commune est une suite de cercles concentriques au centre desquels se trouve la donnée à protéger et à l’extrémité la défense dite périmétrique. En schématisant très grossièrement, dans la pratique, les composantes Perimeter, Network et Host du modèle comprennent généralement un ensemble de solutions de filtrage et de prévention d’intrusion dont la fonction est de bloquer les attaques externes.

Ce n’est clairement pas la bonne façon de concevoir notre mécanisme de défense ! L’avènement récent, tout du moins du point de vue marketing, des attaques dites ciblées a mis à mal le concept. En le suivant, nous ne pouvons que ralentir un attaquant motivé et non l’empêcher de pénétrer le réseau.

A l’issue de l’attaque, très médiatisée de par la préalable compromission de l’intégrité des tokens de la société RSA, subit en 2011 par Lockeed Martin les analystes sécurité de la société de défense américaine ont défini un nouveau principe de défense, ‘’Kill Chain’’ qui a été repris depuis par les éditeurs de solutions de sécurité pour illustrer les capacités de leurs produits.

Les sept points de passage obligés d’un attaquant

Pour être en mesure de l’établir, ils sont allés à l’encontre du concept de ‘’Defense-in-Depth’’. Au lieu d’essayer impérativement de le maintenir hors de celui-ci, ils admettaient que l’attaquant puisse pénétrer le système d’information. Une fois ce pas franchi, ils ont défini un workflow présentant les sept points de passage obligés d’un attaquant. Bien évidemment, sur certaines attaques, les plus basiques, toutes les étapes ne sont pas obligatoires. Les six premières étapes sont : Reconnaissance – Weaponization – Delivery – Exploitation – Command and Control ; c’est seulement une fois celles-ci réalisées que l’attaquant pourra tenter d’atteindre son objectif final : exfiltrer de la propriété intellectuelle, voler des numéros de carte de crédit, ‘’défacer’’ le site institutionnel, se répandre dans le réseau à la recherche de la cible etc. Le concept de ‘’Kill Chain’’ est de détecter et bloquer l’attaquant sur l’une de ces sept étapes, le plus tôt est bien évidemment le mieux.

Mais quels sont les outils pour appliquer le concept ?

Un firewall pour bloquer la reconnaissance, un IPS pour bloquer la weaponization, du filtrage d’URL pour bloquer le delivery, du patching pour bloquer l’exploitation etc. Finalement les mêmes outils que nous utilisions pour mettre en application le concept de ‘’Defense-in-Depth’’. La sécurité n’est donc définitivement pas une question d’outil, enfin pas essentiellement. Bien évidemment ici je force le trait, avoir les bons outils aide énormément. Au gré de l’évolution des menaces les outils cités ne cessent d’évoluer apportant de nouvelles fonctionnalités et de nouveaux produits apparaissent régulièrement présentant de nouveaux mécanismes pour nous aider dans notre tâche.

La sécurité du système d’information est, au-delà de la technique pure, procédurale tant dans sa conception que dans son exploitation quotidienne. ‘’Defense-in-depth’’ ou ‘’kill chain’’ sont des principes qui nous aident dans la conception de nos architectures et la définition de nos procédures. Si nous revenons au ‘’kill chain’’ il nous aide à comprendre la capacité de notre système à détecter et à bloquer un attaquant, à évaluer les capacités de nos outils, à déterminer ceux qui nous manquent ou ceux qui sont redondants. Il nous aide aussi, par exemple, à définir les étapes de notre plan d’incident-réponse. Par contre il ne peut être une fin en soi. Ses détracteurs arguent qu’il ne détaille aucunement comment se prémunir de l’objectif final de l’attaquant. Certes et c’est important car cette dernière étape peut encore permettre d’éviter le pire. Mais c’est à nous, aux équipes techniques, de le faire évoluer pour concevoir le système le plus sur possible. Nous pouvons par exemple le compléter avec la définition et la mise en application des procédures de gestion des accès ou de classification de la donnée énoncées dans certaines documentations énonçant le principe de ‘’Defense-in-depth’’.

L’homme est essentiel

Nous en revenons toujours au même point, pour que les aspects techniques et procéduraux soient efficients il est nécessaire que le rouage essentiel, l’homme, le soit aussi. Les équipes techniques doivent avoir connaissance des nouvelles menaces, des nouveaux principes permettant de les mitiger et disposer d’update réguliers sur les technologies. Mais cela ne s’arrête pas là il est nécessaire que les procédures établies soient régulièrement adaptées et révisées. Au-delà des équipes techniques, les collaborateurs doivent être sensibilisés et comprendre l’utilité des règles de sécurité et que celles-ci sont nécessaires et aucunement antithétiques avec le business. Sans parler de spear phishing, le rapport Verizon 2015*, mentionne, avec des pourcentages similaires à ceux des années précédentes, que 23% des e-mail de phishing sont ouverts et que pour 11% de ceux-ci l’attachement associé l’est aussi. Si nous revenons au ‘’kill chain’’ la meilleure protection pour casser la chaine à l’étape de Delivery est que l’utilisateur soit informé et vigilant !

 

* 2015 Data Breach Investigations Report