Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’attaque Sunburst était-elle vraiment indécelable ?

février 2021 par Gatewatcher

On ne présente plus la cyberattaque Sunburst, ayant affecté l’entreprise Solarwinds et ses clients.
On décompterait au moins 18 000 infectés sur les 33 000 utilisateurs du logiciel de supervision Orion, édité par l’entreprise texane, et le bilan risque fort de s’alourdir dans les prochains mois.

Initié dès septembre 2019, cette action de piratage sophistiquée s’est propagée à partir de mars 2020 jusqu’à sa détection, de façon quasi fortuite, courant décembre 2020. Ses auteurs ont donc pu disposer de près d’un an pour explorer en toute impunité les réseaux de leurs victimes regroupant pour l’instant des administrations et grandes entreprises aux Etats-Unis, y compris certains acteurs reconnus de la cybersécurité et de l’IT. Même si les APTs se caractérisent par un degré élevé de dissimulation sur une longue période de temps, la phase active de Sunburst avant détection interroge car elle dépasse de beaucoup une durée moyenne (dwell-time) en réduction constante : en 2020 elle était inférieure à 100 jours aux USA.

Pourquoi les acteurs de la cyber n’ont-ils pas su la détecter ?

De l’avis de la majorité des acteurs, l’attaque Sunburst ne pouvait pas être décelée par les outils de cyber détection, la compromission ayant visé des éléments de code considérés comme légitimes car signés numériquement par l’éditeur Solarwind.

La plupart des acteurs de cybersécurité privilégient actuellement un modèle de détection basé sur l’analyse comportementale et contextuelle des cybermenaces par des algorithmes et de l’apprentissage automatique. Efficaces dans certains cas, ce recours massif à l’IA obéit aussi à des impératifs plus marketing en renvoyant une image de modernité qui attire les utilisateurs et rassure les investisseurs.

Cette approche n’est pas forcément pertinente pour contrer une attaque sophistiquée s’appuyant sur la chaîne d’approvisionnement. En outre, les auteur de Sunburst ont conçu leur attaque dans une approche que l’on pourrait qualifier « d’anti-IA by design », basée sur de la génération algorithmique de nom de domaine, ou DGA. Cette technique de piratage, difficile à détecter, explique largement l’échec des solutions de sécurité traditionnelles dans la détection du piratage.

Comment détecter ce type d’attaque ?

Gatewatcher est aujourd’hui en mesure de démontrer que ses technologies auraient été capables de détecter l’attaque Sunburst dès septembre 2020 ainsi que d’autres attaques persistantes avancées similaires, voire plus élaborées. En effet, le modèle de Gatewatcher est de fonctionner par cas d’usage en déterminant, au cas par cas, la méthodologie de détection et la typologie de l’attaque. Les équipes d’analyste du Lab Gatewatcher ont procédé début janvier 2021 à une simulation de l’attaque Sunburst sur son infrastructure de détection, configurée avec les paramètres de septembre 2020. Sur 1000 alertes, les algorithmes de Trackwatch® ont obtenu un taux de détection de 99.9%. L’étude et l’analyse de Sunburst a également permis à Gatewatcher de faire progresser fortement l’acuité et la performance qualitative de son modèle de détection. La technologie Trackwatch® de Gatewatcher a, par exemple, été en mesure d’affiner le niveau de faux positif, environ 1 % en septembre 2020, pour atteindre un taux de 0.1% sur toutes les attaques basées sur du DGA, y compris Sunburst.

Gatewatcher peut aujourd’hui se prévaloir d’être l’un des rares acteurs capable de détecter une attaque persistante avancée de type Sunburst, bien en amont de l’apparition des premiers indicateurs de compromission (IOC).




Voir les articles précédents

    

Voir les articles suivants