Clause de non-responsabilité: je travaille dans une entreprise qui développe des logiciels de sécurité pour atténuer les attaques ciblées.

Certaines des méthodes que nous utilisons sont similaires à celles utilisées par les attaquants (lorsque les clients veulent tester leurs systèmes).

Par exemple, un client nous a demandé de tester sa sécurité en effectuant des attaques de phishing [spear] ciblées. Nous avons envoyé un e-mail uniquement au service informatique avec une combinaison de 2 e-mails. L'un était un e-mail apparemment mal adressé au conseil d'administration avec un lien vers un fichier PDF nommé quelque chose comme Executive bonus summary.pdf , l'autre était censé être un nouveau portail externe que l'entreprise pouvait utiliser pendant les Jeux olympiques. ("Veuillez vérifier que vos identifiants de domaine fonctionnent correctement ..."). Avec une recherche rapide sur les réseaux sociaux, nous aurions pu créer des e-mails spécifiques à l'utilisateur, mais cela prendrait du temps et n'était finalement pas nécessaire.

Nous avons enregistré un nom de domaine visuellement similaire à celui de la cible, puis utilisé pour héberger de fausses pages (de style identique aux vraies) et envoyer des e-mails signés DKIM (pour éviter les filtres anti-spam).

Parmi les techniciens ciblés, 43% nous ont donné leurs informations de connexion d'entreprise, 54% ont essayé de télécharger le faux pdf (le pdf était juste des octets de déchets donc il ressemblait à un téléchargement corrompu. Un gars a essayé 5 fois d'utiliser Firefox, IE et enfin wget).

Nous ont été informés qu'un seul utilisateur avait détecté l'attaque et l'a signalée à la direction (mais seulement après nous avoir donné ses informations d'identification).

Alors ... Entrer dans l'entreprise n'est pas impossible. En ce qui concerne la diffusion d'informations, notre argumentaire de vente normal comprend une démonstration de nous contournant les pare-feu de l'entreprise / le DLP traditionnel. Je ne pense pas que nous ayons jamais échoué à moins qu’ils n’aient été bloqués ou qu’ils utilisent une bonne diode de données (bien que le taux d’exfiltration varie. Dans un cas, nous avions un pare-feu restrictif de type liste blanche , de même que le logiciel encodait les documents en images et continuait à mettre à jour une photo de profil sur Google. Ensuite, nous avons regardé le profil en externe et téléchargé chaque morceau.

Cela dit, nous avons constaté à maintes reprises que les logiciels peuvent être contournés, mais les utilisateurs sont toujours le maillon le plus faible.

Donc, pour répondre à votre question, une attaque ciblée inclut la touche personnelle. Des sites Web personnalisés conçus pour tromper les utilisateurs, des recherches sur les logiciels (et la version) utilisés pour vérifier les vulnérabilités connues, des enquêtes sur les réseaux sociaux, l'ingénierie sociale, etc.

Un autre point à considérer bien que moins courant est la corruption / le chantage. Si vous parlez d'acteurs étatiques, ce n'est pas inconcevable.

Toute la sécurité peut se résumer à la modélisation des menaces, à l'évaluation des risques, à la gestion des risques et à l'atténuation des risques. Donc non, les défenses conçues pour protéger contre les attaques non ciblées ne fonctionneront probablement pas bien contre les attaques ciblées.

Qu'est-ce qui différencie un attaquant ciblé (ou ce que vous appelez un «attaquant professionnel»)? Simplement l'intelligence et l'argent qu'ils sont prêts à employer pour vous attaquer spécifiquement.

Donc, oui, si quelqu'un est prêt à dépenser de l'argent, du temps et des efforts pour vous attaquer spécifiquement, alors il a un avantage. La stratégie à défendre serait de reconnaître que ces types d'attaques constituent un scénario de menace réaliste dans votre modèle de risque et de mettre en œuvre des contrôles pour gérer et atténuer ces risques.

La différence entre une attaque aléatoire et une attaque ciblée peut être bien résumée:

• L'attaquant veut N nombre de nœuds distants pour DDoSing / Spamming / Phishing / etc.

ou

• L'attaquant veut des données XYZ sur la machine de user2174870 spécifiquement.

Si l'attaquant est juste chercher à construire un botnet (>> 99% des attaques) alors être simplement plus difficile à craquer que le prochain est généralement suffisant. J'essaie de photographier deux ordres de grandeur plus difficiles à craquer, et même dans ce cas, j'utilise IDS pour savoir quand j'ai été craqué. Heureusement.

Cependant, si l'attaquant veut spécifiquement vos données, alors la situation devient une course aux armements et le seul coup gagnant est de ne pas jouer ( shutdown -h now ). À moins d'éteindre la machine, vous devez supposer que l'attaquant a, en fonction de ses ressources, des vulnérabilités zero-day pour votre pile applicative, des renifleurs de réseau, des malwares sur vos autres équipements qui accèdent au box cible, et éventuellement des clés à 5 $. Oh, et il est peut-être composé de 50 personnes plus intelligentes que vous avec un budget illimité. Doublement, si vous avez des secrets commerciaux, des secrets d'État ou publiez des commentaires désobligeants sur le souverain de jour.

Je vais être honnête, vous ne pouvez pas vous défendre contre les attaques ciblées. Vous pourrez peut-être budgétiser une partie importante de votre budget [d'entreprise | personnel] pour embaucher des personnes susceptibles de tenir pendant une courte période, mais cela ne durera même pas. Le mieux est de débrancher la machine, et même ce n'est pas une garantie.

Cela dit, ne «soyez pas une cible». Trop de gens ont peur d'être une cible, c'est ce qui maintient la NSA au pouvoir. Soyez une cible intelligente. Si votre spécialité est la dissidence politique, n'essayez pas de gagner une guerre technologique. Reconnaissez que vos communications électroniques ne sont pas sécurisées et planifiez votre dissidence en conséquence.

Ce serait totalement différent si vous étiez la cible d'acteurs parrainés par l'État. Si vous êtes une cible de grande valeur, ils peuvent utiliser non seulement des ressources de piratage comme les logiciels malveillants zero-day, mais aussi la surveillance vidéo, les écoutes téléphoniques, la corruption de vos amis, le phishing par e-mail, le keylogging, l'intrusion dans votre maison ou même l'enlèvement et la torture. juste pour obtenir des informations.

Jetez un œil à la quantité de ressources que la CIA utilise pour traquer Oussama Ben Laden même s'il n'a pas d'accès direct à Internet ou au téléphone ligne. La seule stratégie est de ne pas vous peindre comme une cible.

Habituellement, l'endroit le plus ennuyeux pour essayer de pénétrer est un système complètement personnalisé sur un noyau complètement personnalisé (pas de commandes familières, de paradigmes io, d'infrastructure de gestion de processus, etc. - ces choses existent sous une certaine forme, bien sûr, mais uniquement sur le système / cible unique et vous n'avez aucune idée). Heureusement pour les pénétrateurs, il y en a très peu d’entre eux dans la nature.

L’inverse est également vrai en général: les attaques les plus difficiles à défendre (ou même à détecter) sont complètement personnalisées. ceux. Presque tous les systèmes couramment utilisés adhèrent à une politique de "oui par défaut" au moins quelque part dans eux pour des raisons de convivialité, car les utilisateurs rejettent tout ce qui est réellement sécurisé parce que "réellement sécurisé" a également tendance à signifier "déchirer votre -en retrait frustrant à utiliser ". Cela étant, et étant également acquis que la plupart des attaquants n'ont pas le temps de faire autre chose que d'utiliser les outils et les frameworks existants, les outils de sécurité communs dont nous disposons sont construits autour du cas d'attaque majoritaire: une attaque basée sur des outils de cracking de base. .

Une attaque entièrement personnalisée (qui est bien exécutée) manquera de tous les signes révélateurs que les outils défensifs de base recherchent, vous laissant souvent une fenêtre d'opportunité limitée pour saisir le vent d'une attaque basée uniquement sur sur des heuristiques (elles-mêmes souvent basées simplement sur (y) notre meilleure compréhension de ce que devraient être les modèles historiques de réseau ou de ressources système "normaux"). Cette fenêtre se ferme une fois que le système est enraciné, bien sûr, car les outils de détection utilisés sont généralement les premiers à recevoir une mise à jour malveillante.

Mais les dépenses de ce type d'attaque avancée sont immenses. Vous devez être extrêmement malchanceux ou extrêmement précieux en tant que cible pour faire l'objet d'une telle attention. Ce coût est comparable au coût de déploiement d'un système entièrement personnalisé (le coût d'un système personnalisé est généralement plus élevé, bien sûr, mais amélioré par la base de déploiement - l'économie d'une attaque est exactement inverse de cela). Le coût de la sécurité est toujours équilibré quelque chose comme:

• L'ennui que la sécurité réelle apporte
• Le coût fiscal / effort / temps de développement d'une défense sérieuse

VS

• La criticité d'une attaque réelle de type X

Considérant combien de systèmes supposent des choses comme http -> https les redirections, DNS, IPSec, tout-des-faux-CAs-in-IE, etc. sont impossibles à faire des compromis (har har!) il semble certainement que l'élément de criticité ne soit donné que très peu de poids. Par conséquent, les systèmes de produits mis à jour tardivement avec le plus petit des outils de détection minimaux semblent généralement être à l'ordre du jour. Tout ce que vous pouvez faire au-delà de cela augmente le coût de votre piratage et même un gouvernement passera à une cible plus facile à moins d'avoir une raison spécifique de vous cibler. Un conseil pas très heureux, je suppose, mais c'est le monde dans lequel nous vivons actuellement.

Je répondrai simplement dans une citation de Jacob Appelbaum, dont je n'ai probablement pas à parler.

Lors du premier Congrès sur la surveillance de la vie privée & tenu à l'EPFL en Suisse, Applebaum a déclaré (je transcris):

"Si la NSA veut entrer dans n'importe quelle machine ou système dans le monde , nous devons supposer qu'ils sont dans. "

Le "piratage" est facile. Il existe des outils qui vous fourniront une belle interface graphique vous permettant d'exécuter l'une des bibliothèques d'exploits, des outils qui pénétreront dans le WiFi, exécuteront MiTM, etc. Ceci, ainsi que des tentatives maladroites et généralisées de phishing et d'autres réseaux sociaux l'ingénierie, constitue une grande partie des attaques non ciblées. En bref, ils ne sont pas originaux. Cela signifie que la plupart des bons antivirus protégeront contre la plupart des attaques générales - ce que les attaquants ne dérangent pas, car ils ont juste besoin de trouver quelqu'un sans antivirus. Une attaque individuelle ciblée est beaucoup plus dangereuse, car un attaquant expérimenté examinera non seulement la topographie de votre réseau et essaiera de comprendre vos mesures de sécurité, mais il observera également vos employés pour essayer de comprendre comment attaquer le soi-disant "8ème couche" (personnes). L'un des exemples les plus tristement célèbres de ceci était Kevin Mitnick. Je suis sûr qu'il était doué dans le domaine des ordinateurs, mais il excellait vraiment dans l'ingénierie sociale - à tel point qu'il est entré par effraction dans une installation sécurisée, s'est fait prendre et a quand même réussi à convaincre le garde de sécurité de le laisser partir. / p>

Les sociétés audiovisuelles DISPOSENT de tous les "outils de piratage" et font de leur mieux pour annuler le risque posé à leurs clients. Les attaques qui ont de bien meilleures chances de fonctionner sont celles que quelqu'un adapte pour contourner VOS pare-feu, ne pas être détecté par VOTRE AV et effacer VOS journaux lorsqu'ils sont terminés.

Un autre angle que je n'ai pas trouvé dans les réponses. http://lasec.epfl.ch/keyboard/

Nous avons trouvé 4 façons différentes (y compris l'attaque Kuhn) de récupérer totalement ou partiellement les frappes de claviers filaires à une distance allant jusqu'à 20 mètres, même à travers les murs. Nous avons testé 12 modèles de claviers filaires et sans fil différents achetés entre 2001 et 2008 (PS / 2, USB et ordinateur portable). Ils sont tous vulnérables à au moins une de nos 4 attaques.

Il s'agit d'un institut de recherche civil il y a cinq ans . Étudiez les normes de protection répertoriées http://www.wikiwand.com/en/Tempest_(codename) ici.

Il est techniquement possible de mettre en place suffisamment de contrôles pour garantir que vous ne serez pas compromis d'un point de vue informatique.

Le cas extrême est d'éteindre et de retirer tout le matériel informatique. Voir? Aucun ordinateur signifie qu'aucun ordinateur ne sera compromis. OK, alors que diriez-vous que nous autorisons les ordinateurs, mais pas de réseaux: tout est vide. Nous ne sommes pas garantis invulnérables, mais nous sommes proches. OK, alors pourquoi ne pas autoriser les réseaux, mais uniquement sur des machines sans contenu sensible et sans stockage persistant de quelque type que ce soit? Aucun téléchargement ni exécution de code non signé. Ou peut-être autoriser les téléchargements à conserver la liste blanche des applications. Et ainsi de suite.

Il y a un continuum de sécurité entre «absolument impénétrable et complètement inutile» à «extrêmement pratique et peu sûr» avec la sécurité toujours en contradiction avec la commodité. Si une mesure de sécurité n'est pas en contradiction avec la commodité, alors elle n'est pas considérée comme «sécurité» - vous l'appelez simplement «pratique standard».

Mais voici le point important: À moins que votre sécurité informatique ne soit un désastre de niveau Home Depot , votre composant le plus faible est votre personnel, pas vos systèmes. La sécurité ne fonctionne que lorsqu'elle est réellement mise en œuvre, et les systèmes d'une entreprise rarement à la hauteur des propres normes de l'entreprise.

De plus, l'ingénierie sociale gagne toujours. Le phishing est de loin l'attaque la plus efficace contre des cibles renforcées, et peu est fait pour atténuer cette menace. L'attaquant a toujours eu l'avantage; l'attaquant ne doit gagner qu'une seule fois, tandis que le défenseur doit gagner à chaque fois pour rester en sécurité. Et l'ingénierie sociale signifie que l'attaquant peut éliminer le combat de l'informatique et exploiter l'interaction humaine pour remporter sa victoire.

Oui, vous pouvez être en sécurité, mais cela signifie traiter votre technologie comme hostile et vos employés comme des attaquants. Cela signifie ériger des barrières aux interactions et à l'interopérabilité. Cela signifie rejeter les petites choses que les gens tiennent pour acquises. Et cela signifie que votre opération paiera un grand prix pour cette sécurité. Mais c'est possible.

Les micrologiciels, antivirus et autres défenses axées sur la prévention ne peuvent bloquer efficacement que les attaques qui se sont avérées mauvaises. IE si un certain type de trafic ou un certain fichier est défectueux 100% du temps, il peut effectivement être bloqué. Bien que les outils de prévention ne puissent pas aider avec les menaces plus avancées, ils ont une utilité pour bloquer le trafic défectueux connu. Il y a beaucoup de mauvais trafic / fichiers qui doivent être bloqués pour défendre efficacement votre organisation. C'est très précieux mais pas contre les menaces avancées. Il est possible de créer des fichiers qui semblent bons et de masquer le mauvais trafic dans un bon trafic. Cela nécessite des défenses de différence pour détecter.

Lorsque vous vous lancez dans des attaques avancées et sponsorisées par l'État, vous devez aborder les choses de manière holistique. Ils n’ont peut-être pas besoin de vous cibler directement pour obtenir vos données si elles sont hébergées ailleurs. Si les tiers avec lesquels vous travaillez sont des cibles plus faciles, ils seront probablement les premiers attaqués. Cela dépend de vous d'identifier le moyen le plus simple d'obtenir vos données et de mettre en place des mesures d'atténuation pour gérer ce risque.

La meilleure façon de se défendre contre les menaces avancées est de se concentrer sur la détection. Les attaquants passeront les défenses préventives, mais leurs actions une fois sur le réseau devraient vous être visibles. C’est là que l’avantage du défenseur entre en jeu. Offense a l'avantage d'entrer car ils n'ont besoin que d'une seule vulnérabilité à exploiter. La défense a l'avantage à l'intérieur du réseau. C'est votre domaine d'origine, vous devez bien le savoir, il doit y avoir des couches de défenses en place pour ralentir les attaquants, vous donnant le temps de les détecter, les isoler et les bloquer. En réfléchissant à nouveau de manière holistique, vous devez connaître les cibles probables et les points faibles de votre organisation. Ils devraient avoir des couches d'atténuation en place autour d'eux.

La détection se résume à trouver et à détecter un comportement anormal. Il est possible qu'il y ait eu une alerte pour une attaque qui n'a pas été trouvée parmi la pile d'autres alertes. Un attaquant ne devrait pas être en mesure d'effacer ses traces dans votre réseau. Leur activité est quelque part dans votre infrastructure, vous avez besoin d'yeux pour voir cette activité et de la connaissance de votre infrastructure pour savoir où chercher. Une organisation doit avoir un inventaire des actifs pour savoir quand de nouveaux périphériques sont ajoutés, des bases de référence pour savoir quel comportement est normal afin que les comportements anormaux se démarquent, la gestion / surveillance des configurations pour savoir quand les fichiers système sont falsifiés, la surveillance basée sur le réseau et l'hôte pour voir le trafic et activités, contrôles d'accès solides pour ralentir les mouvements latéraux au sein de votre infrastructure, je pense que vous avez compris. Plus vous disposez de contrôles, meilleure est votre visibilité. Voir Contrôles de sécurité critiques SANS. À l'intérieur de votre réseau, tout attaquant devra laisser des preuves de ses activités. C’est à vous de mettre en place des outils pour voir ces activités et savoir où chercher.

Ne sachant rien d'autre sur un attaquant, vous pouvez supposer qu'il voudra établir la persistance une fois qu'il aura pénétré, trouvé des données et exfiltré des données. C'est là que vos outils défensifs entrent en jeu. Un trafic valide doit être autorisé, ce qui vous laisse vous concentrer sur la manière d'exposer un attaquant qui recherche des données et les exfiltre. Surveillez vos données ciblées et vos points de sortie potentiels Ce seront les points les plus faciles pour les trouver, car un attaquant avancé fera tout son possible pour se fondre dans un trafic valide et être invisible.

Pour être aussi bref et doux que possible: (bien que je puisse ajouter des détails plus tard si la communauté l'exige)

Les attaques aléatoires

Cible généralement une vulnérabilité spécifique dans une version spécifique d'un logiciel spécifique. Le but ici est de l'essayer contre toutes les machines possibles et toutes les machines n'auront pas la vulnérabilité, et les solutions IDS / IPS ne laisseront pas le même type d'attaque être exécuté contre le reste de leurs clients dès qu'il sera détecté. Ce genre d'attaque «Je vous salue Marie» sera rapidement contrecarré par les bons.

Les attaques ciblées

Il s'agit de l'objectif final qui est généralement un à une poignée d'ordinateurs qui appartiennent tous à une entité spécifique. Un attaquant qui est à la recherche de vous va dépenser du temps et de l'argent pour recueillir des informations sur tout votre matériel et vos logiciels. Ils achèteront le même équipement que celui de votre usine s'ils le doivent. Ils passeront d'innombrables heures à rechercher les failles dans chaque partie de votre système. Une fois qu'ils ont trouvé cette faille et l'ont testé sur leur réplique ou sur l'émulation de votre système, ils l'exécuteront une fois et agiront rapidement car ils savent ce qu'ils recherchent. Cela passera probablement inaperçu dans les journaux car il n'apparaît pas sur des centaines d'ordinateurs à travers le monde, il n'y a pas d'analyse en cours sur de grandes plages d'adresses IP qu'un FAI doit détecter. Essentiellement, l'attaque ne s'est jamais produite à moins que vous ne gardiez un œil très attentif sur vos journaux et que vous remarquiez que certaines données critiques ont été téléchargées de votre côté qui n'auraient pas dû l'être.

À part : Sauf si vous en valez vraiment la peine, il est peu probable qu'une attaque comme celle-ci se produise, mais si c'est le cas, il semble que la seule chose que vous puissiez faire est de la détecter et non de l'empêcher. Mais là encore, il existe toujours des moyens de contourner la détection.

Les techniques sont les mêmes que pour les attaques aléatoires non ciblées. Ce à mon humble avis différencie vraiment ce type d'attaques:

• temps disponible
• argent disponible pour acheter un exploit non divulgué
• effort dépensé
• surface d'attaque attaquée
• fonctionne après l'exploitation

Généralement avec une attaque aléatoire et non ciblée:

• son effort en termes de time sera principalement limité à une seule tentative
• il tentera d'exploiter un seul aspect de l'ensemble de votre surface d'attaque
• Une fois les attaques réussies, le travail sera principalement fait
• il sera plus facile de nettoyer la cible des attaques

Au lieu de cela avec un professionnel attaque ciblée:

• son effort en termes de temps sera plus long et continu dans le temps
  • Plus d'une personne sera probablement impliquée en tant qu'attaquants
• la surface d'attaque ciblée sera toute la surface d'attaque
  • tous les points faibles de la surface d'attaque seront testés d
• Une fois qu'il sera en mesure de s'introduire dans vos périmètres, le travail ne sera pas fait
  • les attaques continueront en interne pour garantir un accès plus facile
• il sera vraiment difficile de refuser un accès supplémentaire aux systèmes / réseaux car après l'effraction:
  • des portes dérobées seront placées tout autour
  • les identifiants seront volés
  • une faiblesse interne et une connaissance approfondie du réseau / des systèmes augmentera en augmentant la surface d'attaque (c.-à-d. WAN des partenaires commerciaux, etc.)