Attaques complexes et qui peuvent se dérouler sur plusieurs mois, les APT sont difficiles à débusquer et peuvent provoquer d’importantes fuites de données. Seules de nouvelles techniques mais aussi un meilleur partage de l’information peuvent en venir à bout.
Une étude de Ponemon Institute révéle qu’en 2015 le délai moyen de détection d’une attaque est de 98 jours dans le secteur financier et jusqu’à 197 jours dans la distribution. Les APT (Advanced Persistent Threat) sont devenues la hantise des RSSI alors que les moyens de protection traditionnels ne parviennent pas toujours à détecter ce type d’attaque.
Machine Learning et Big Data à la rescousse
Le PDG de ITrust, Jean-Nicolas Piotrowski, relève : “Si l’on considère la manière dont se décompose une attaque APT, sur la phase de reconnaissance et d’infiltration, les outils de sandboxing ne peuvent détecter une APT qu’en amont de l’attaque, c’est-à-dire en phase d’infiltration. Si l’APT a déjà passé la sandbox, dans le meilleur des cas l’IDS pourra détecter le mouvement latéral de l’attaque, mais généralement, lorsque l’APT est entrée, on ne peut plus la détecter.” La startup mise ainsi sur le Big Data et Machine Learning afin de détecter l’APT au moyen de signaux faibles émis par une APT dans son cycle de vie. De son côté, Bitdefender s’est allié avec Citrix afin de proposer une solution qui travaille au niveau de l’hyperviseur. Sa solution Bitdefender Hypervisor Introspection (HVI) peut ainsi fonctionner avec un niveau de privilèges supérieur qui doit lui permettre, selon son éditeur, de détecter les malwares déjà installés et ainsi parer leurs attaques.
Miser sur l’intelligence face aux attaquants
Le partage d’information reste toutefois indispensable pour se préparer aux agressions APT. Ainsi, la notion de Threat Intelligence, un meilleur partage d’informations sur les attaques, monte en puissance. Eric Perraudeau, directeur chez Qualys, souligne l’intérêt de coupler analyse de vulnérabilité et Threat Intelligence : “Qualys peut diagnostiquer vos faiblesses en amont d’une attaque par analyse des vulnérabilités, mais pas seulement. Nous intégrons des flux d’intelligence, les RTI pour Real Time Threat Intelligence, avec les failles 0-day, les attaques DDoS, etc. Nous effectuons alors une corrélation avec les vulnérabilités des assets de l’entreprise afin de personnaliser notre service de veille.”
Ivan Fontarensky, responsable de la Threat Intelligence chez Airbus Defence & Space – CyberSecurity, explique l’utilité de la Threat Intelligence : “En juin 2015, alors que nos ingénieurs collectaient de l’information sur le groupe APT3, un membre de forum a décrit un email de phishing exploitant une vulnérabilité de type 0-day. Nous avons immédiatement décrit cette attaque sur notre Threat Intelligence Platform (TIP). Dès le lendemain, un de nos clients recevait un email infecté. Il ne s’agissait pas du même message, donc les sondes n’ont pas déclenché l’alerte, mais des utilisateurs sensibilisés au danger ont transmis le message à l’équipe de Threat intelligence. Rapidement, le lien a été fait via notre TIP et nous avons pu établir que le groupe APT3 était à l’origine de l’attaque. Nous avions prémâché le travail la veille et avons immédiatement jugulé l’attaque.” Pour Ivan Fontarensky, face aux menaces complexes telles que les APT, un facteur de succès est de faire travailler de concert l’équipe CSIRT de réponse sur incident, l’équipe de SOC et l’équipe de Threat. L’objectif est d’analyser les menaces, les comprendre, les prévenir et enfin se préparer aux attaques.
Jean-Nicolas Piotrowski,
PDG ITrust
“Toutes les technologies dont on dispose aujourd’hui sont basées sur des doctrines anciennes, les antivirus, les IDS, les firewalls et les systèmes de corrélation qui sont inefficaces sur certaines zones ou obsolètes. Et lorsqu’on détecte l’attaque au moment de l’exfiltration des données, c’est trop tard !”