Actu
Rapport « Hacker Intelligence Initiative » d’Imperva : Les menaces persistantes « non avancées »
mai 2014 par Imperva
Imperva Inc. vient de dévoiler son rapport HII d’avril, "Les menaces persistantes non avancées."Celui-ci se penche sur les techniques attribuées aux soi-disantes Menaces Persistantes Avancées (APT) qui ne requièrent en fait des compétences techniques très basiques. Les chercheurs ont identifié plusieurs techniques très simples utilisées par les hackers pour obtenir un accès privilégié et accéder aux données protégées. Ces derniers ciblent les failles du protocole NTLM de Microsoft en se basant uniquement sur leur connaissance des protocoles courants de Windows, de l’ingénierie sociale simple et des logiciels disponibles facilement.
“Comme le démontre notre équipe de chercheurs dans le rapport HII, certains APTs sont très simples à exécuter” explique Amichai Shulman, Directeur de la Technologie d’Imperva. “Il doit y avoir un changement fondamental dans la façon dont nous considérons les APT et comment nous protéger contre eux. Ces types d’attaques sont difficiles à anticiper et comme le montre le rapport, très faciles à mettre en place. Afin de réduire les dommages, les équipes de sécurité doivent comprendre comment protéger leurs données sensibles une fois que les hackers y ont déjà l’accès.
Le rapport se concentre sur les phases d’intensification d’accès privilégiés et de collecte d’informations montrant ainsi comment les hackers arrivent à leurs fins sans s’appuyer sur des vulnérabilités « zero-day » ou des exploitations sophistiquées. Les chercheurs ont examiné comment les attaques ciblent des faiblesses connues dans le protocole NTLM de Windows, un protocole d’authentification standard de Microsoft. Ce protocole, bien qu’étant connu pour être défaillant, reste largement utilisé dans les entreprises. On apprend également comment les hackers peuvent exploiter ces vulnérabilités afin d’étendre leur portée au sein d’une entreprise visée et ainsi accéder à ses données. Enfin, le rapport fournit des conseils clés aux entreprises pour protéger leurs données les plus sensibles des conséquences de ce type d’attaques.
Les principaux enseignements du rapport :
Les fuites de données généralement attribuées aux APT peuvent être réalisées de manière relativement simple, avec seulement quelques compétences techniques de base.
Les fonctionnalités intégrées à Windows, combinées à des fichiers partagés considérés comme « innocents » ainsi qu’aux sites SharePoint, peuvent fournir aux attaquants un point d’entrée pour accéder aux données les plus critiques de l’entreprise.
Pour accroître la sécurité, la stratégie de remédiation devrait intégrer la surveillance du processus d’authentification ainsi que les modèles d’accès aux données, en plus de l’adaptation des mécanismes d’autorisation.
