Les APT sont des cyberattaques très sophistiquées qui visent des organisations importantes ou de premier plan et qui sont menées par des acteurs de la menace disposant de ressources suffisantes, tels que des groupes parrainés par des États-nations ou des organisations criminelles. 

La défense contre les APT nécessite une approche à plusieurs niveaux qui comprend les mesures de cybersécurité habituelles, la formation des employés et le renseignement sur les menaces. Dans cet article, nous nous concentrerons sur l'importance de l'application de correctifs en temps réel (live patching) pour réduire le risque d'attaques APT.

Qu'est-ce qu'une menace persistante avancée (APT) ?

Les menaces persistantes avancées (APT) sont un type de cyberattaque qui se distingue par trois caractéristiques principales : elles sont très sophistiquées, de longue durée et visent spécifiquement une organisation ou un individu donné. 

Dans l'ensemble, les APT sont souvent le fait d'acteurs de la menace disposant de ressources suffisantes, tels que des groupes parrainés par des États-nations, des organisations criminelles ou des hacktivistes. 

Parmi les groupes APT les plus connus, citons Fancy Bear, qui serait affilié au gouvernement russe, et APT10, un groupe de pirates chinois qui a ciblé des agences gouvernementales et des entreprises technologiques. 

Les APT font partie des types de cyberattaques les plus sophistiqués et les plus dangereux. Pour s'en protéger, il faut adopter une approche à plusieurs niveaux qui associe contrôles techniques, formation des employés et renseignements sur les menaces.

Qui est visé ?

Monter une APT n'est pas une tâche facile et ce type d'attaque vise généralement des cibles importantes et significatives. Pensez aux sociétés d'énergie et aux services publics, à l'aérospatiale, aux ONG, etc.

Par exemple, le groupe de pirates informatiques russes Energetic Bear (également connu sous le nom de Dragonfly) a ciblé plusieurs entreprises du secteur de l'énergie en Europe et en Amérique du Nord, en accédant à leurs réseaux et en recueillant des informations.

De même, le groupe de pirates chinois APT10 a ciblé plusieurs entreprises aérospatiales aux États-Unis et en Europe, dérobant des données sensibles sur des avions militaires et commerciaux.

Les APT ont également été utilisés pour cibler des ONG pour des raisons politiques ou idéologiques. Par exemple, le groupe de pirates iraniens Charming Kitten (également connu sous le nom de Phosphorus) a ciblé plusieurs ONG aux États-Unis, volant des données sensibles et menant des activités d'espionnage.

Pourquoi les APT sont-ils si dangereux ?

Tout dépend des efforts déployés. Les acteurs de la menace qui déploient des stratégies APT ont un objectif en tête et ne reculeront devant rien pour l'atteindre. Voici quelques caractéristiques des APT qui rendent ces menaces plus dangereuses que les cyberattaques ordinaires :

• Vecteurs d'attaques multiples: Les APT font appel à de multiples vecteurs et techniques d'attaque, notamment l'ingénierie sociale, les logiciels malveillants et les vulnérabilités de type "zero-day". Cette variété de techniques augmente les chances de succès car la détection et la défense sont plus difficiles. 
• Persistance: Les APT sont conçues pour ne pas être détectées pendant une longue période, ce qui permet une surveillance étendue et la collecte de renseignements. Contrairement à la plupart des cyberattaques opportunistes et de courte durée, les APT peuvent être exécutées pendant des mois, voire des années. 
• Objectifs spécifiques: Les attaques APT sont très ciblées et les attaquants ont généralement un objectif précis en tête. Il peut s'agir de voler des données sensibles ou de la propriété intellectuelle, de perturber des infrastructures critiques ou de faire de l'espionnage. 
• Attaques sur mesure: Les attaques sont souvent conçues sur mesure pour la cible visée. Les attaquants peuvent utiliser des techniques sophistiquées telles que le spear-phishing ou les attaques par trou d'eau pour obtenir un accès initial aux systèmes ou au réseau de la cible. Une fois à l'intérieur, les attaquants peuvent utiliser une variété de techniques pour se déplacer latéralement dans le réseau et recueillir des renseignements.

Comme vous pouvez le constater, il s'agit d'un effort déterminé. Les cyberattaques diffusées dans l'espoir de toucher quelque chose quelque part sont une chose, mais les cyberattaques aussi avancées, ciblées et déterminées représentent un autre niveau de danger.

Moyens de se prémunir contre les APT

La prévention d'une attaque par une menace persistante avancée (APT) peut s'avérer difficile, car ces attaques sont très sophistiquées et persistantes. Cependant, plusieurs stratégies peuvent être mises en œuvre pour réduire le risque d'une attaque APT ou minimiser son impact si elle se produit. Voici quelques stratégies à envisager :

• Déterminer les atouts essentiels de l'organisation. Cela vous permet d'investir dans la sauvegarde des cibles les plus attrayantes à divers points de vue. 
• Maintenir les correctifs de sécurité à jour. S'assurer que tous les logiciels disposent des dernières mises à jour de sécurité minimise le nombre de vulnérabilités que les attaquants APT peuvent exploiter. 
• Mettre en place des contrôles techniques rigoureuxtels que des systèmes de détection et de prévention des intrusions, des pare-feu, des logiciels antivirus et anti-malware, ainsi que des outils de prévention de la perte de données.  
• Procéder régulièrement à des évaluations de la vulnérabilité et à des tests de pénétration. Des évaluations régulières de la vulnérabilité et des tests de pénétration permettront d'identifier les faiblesses de votre réseau et de vos applications.  
• Surveiller et gérer le trafic réseau en recherchant les comportements inhabituels, les portes dérobées, les fichiers partagés et les utilisateurs suspects, y compris les terminaux.
• Élaborer une "liste d'autorisations". La définition des domaines et des applications dont l'accès au réseau est autorisé permet de réduire davantage la surface d'attaque de l'APT.
• Fournir une formation continue de sensibilisation à la sécurité. Aider les employés et les sous-traitants à comprendre les dernières tactiques et techniques APT et à apprendre à reconnaître et à signaler les activités suspectes.

Vous devez également mettre en œuvre un plan de réponse aux incidents qui peut vous aider à atténuer une attaque APT en cours et à vous remettre de l'attaque. Dans l'ensemble, seule une approche multicouche permet de réduire le risque d'être victime d'une attaque APT et d'en minimiser l'impact si elle se produit.

D'accord, mais comment faire pour que les correctifs soient bien appliqués ?

L'omission d'une seule des suggestions ci-dessus peut augmenter le risque d'être victime d'une attaque APT. Certains points sont plus difficiles à mettre en œuvre que d'autres. La gestion d'une liste blanche, par exemple, est un travail continu mais gérable, et la formation est quelque chose que vous devez faire minutieusement une ou deux fois - et qu'il suffit de mettre à jour en permanence.

Le rapiéçage, cependant, est difficile parce qu'il nécessite une main-d'œuvre importante et entraîne souvent des perturbations. En outre, il existe un flux constant de nouveaux correctifs pour les nouvelles vulnérabilités, il y a un flux constant de nouveaux correctifs pour de nouvelles vulnérabilités - et avec des milliers de nouvelles vulnérabilités par mois, l'application de correctifs peut devenir écrasante.

Pour ces raisons, les entreprises ont tendance à ne pas appliquer les correctifs de manière systématique, ce qui signifie que les acteurs APT ont de nombreuses occasions de monter et de maintenir une attaque.

Envisager le Live Patching pour se prémunir contre les attaques APT

La solution ? Les correctifs en direct aident les organisations à appliquer des correctifs de manière cohérente en réduisant les perturbations liées à l'application des correctifs. Les entreprises qui intègrent le live patching dans leurs défenses de cybersécurité peuvent s'attendre à offrir une résistance beaucoup plus forte aux acteurs de la menace, car l'un des points d'entrée les plus courants - un composant logiciel vulnérable - est désormais fermé.

Il est donc important de prendre toutes les mesures de cybersécurité habituelles pour se prémunir contre les menaces persistantes avancées, mais vos meilleurs efforts pourraient être sapés par de mauvaises pratiques en matière de correctifs. Pour en savoir plus sur le live patching, cliquez ici - et découvrez comment TuxCare peut aider votre organisation à se protéger contre les menaces APT.

Résumé

Nom de l'article

Vous voulez arrêter les APT ? Essayez le Live Patching

Description

Dans cet article, vous apprendrez comment mettre l'accent sur l'importance des correctifs en direct pour réduire le risque d'attaques APT.

Auteur

Stephan Venter

Nom de l'éditeur

TuxCare

Logo de l'éditeur