Security Defined Cybersecurity EncyclopediaQu'est-ce qu'une kill chain de cyberattaques ?

Qu'est-ce qu'une kill chain de la cybersécurité ?

6.5 min read

Qu'est-ce qu'une kill chain de la cybersécurité ?

Le modèle de kill chain de cyberattaques explique la procédure type que suivent les cybercriminels lorsqu'ils mènent une attaque réussie. Ce framework développé par Lockheed Martin et dérivé de modèles d'attaque militaires et transposé au monde numérique permet aux équipes de comprendre, de détecter et de prévenir les cybermenaces persistantes. Si toutes les cyberattaques n'utilisent pas les sept étapes du modèle de kill chain, la grande majorité des attaques en utilisent la plupart, allant souvent de l'étape 2 à l'étape 6.

définition de la kill chain des cyberattaques

 

Quelles sont les étapes de la kill chain  ?

étapes du modèle de kill chain des cyberattaques

Il existe plusieurs autres modèles de kill chain informatiques développés par d'autres entreprises, mais par souci de simplicité, nous allons nous en tenir au modèle de Lockheed Martin, qui est le framework le plus connu du secteur. Nous avons inclus des explications ainsi que de brèves solutions pour chacune d'entre elles, afin que vous puissiez mieux comprendre le processus suivi par les hackers pour pénétrer dans une cible.

 

Étape 1 : Reconnaissance

Comme toute forme de guerre traditionnelle, les cyberattaques les plus réussies commencent par une recherche détaillée d'informations. La reconnaissance est la première étape de la kill chain. Elle fait appel à de nombreuses techniques et à des outils différents, ainsi qu'à des fonctions de navigation Web courantes, comme les :

  • Moteurs de recherche
  • Archives Web
  • Services cloud publics
  • Registres de noms de domaine
  • Commandes WHOIS
  • Renifleurs de paquets (Wireshark, tcpdump, WinDump, etc.)
  • Mappages réseau (nmap)
  • Commandes DIG
  • Ping
  • Scanners de ports (Zenmap, scanner de ports TCP, etc.)

Il existe un large éventail d'outils et de techniques utilisés par les hackers pour recueillir des informations sur leurs cibles, chacun d'entre eux exposant différents éléments de données qui peuvent être utilisés pour trouver des portes d'entrée dans vos applications, réseaux et bases de données, qui sont de plus en plus souvent exploités via le cloud. Il est important que vous protégiez vos données sensibles à l'aide de mécanismes de défense SASE dans le cloud, d'un chiffrement et des pages Web sécurisées afin d'empêcher les hackers de tomber sur des informations compromettantes en parcourant vos ressources publiquement accessibles, y compris vos applications et services cloud.

 

Étape 2 : Création d'un arsenal

Une fois qu'un hacker a recueilli suffisamment d'informations sur sa cible, il choisit un ou plusieurs vecteurs d'attaque pour commencer son intrusion dans votre espace. Un vecteur d'attaque est un moyen pour un pirate d'obtenir un accès non autorisé à vos systèmes et informations. Les vecteurs d'attaque vont de l'élémentaire au très technique, mais il faut garder à l'esprit que, pour les cybercriminels, les cibles sont souvent choisies en évaluant le coût par rapport au ROI.

Les hackers tiennent compte de tous les facteurs, de la puissance de traitement au délai de récupération. En général, ils se dirigent vers la solution offrant le moins de résistance, c'est pourquoi il est si important de considérer tous les points d'entrée possibles le long de la surface d'attaque (tous les points où vous êtes susceptible d'être attaqué) et de renforcer votre sécurité en conséquence.

Les vecteurs d'attaque les plus courants sont les suivants :

  • Identifiants volés ou avec un niveau de sécurité faible
  • Services d'accès à distance (RDP, SSH, VPN)
  • Employés négligents
  • Attaques internes
  • Chiffrement faible ou inexistant
  • Mauvaise configuration du système
  • Relations de confiance entre les appareils/systèmes
  • Phishing (social engineering)
  • Attaques par déni de service
  • Attaques de type « Man-in-the-middle » (MITM)
  • Chevaux de Troie (trojans)
  • Attaques par injection SQL
  • Et bien d'autres

N'oubliez pas : un hacker n'a besoin que d'un seul vecteur d'attaque pour réussir son intrusion. Par conséquent, l'efficacité de votre sécurité se mesure à son point le plus faible et c'est à vous de découvrir où se trouvent ces vecteurs d'attaque potentiels. Les attaques par ransomware continuent d'exploiter les services d'accès à distance pour s'introduire, se déplacer latéralement dans vos actifs, détecter des données sensibles en vue de leur exfiltration, le tout avant de chiffrer et de demander une rançon.

En général, une fois qu'un hacker est entré, sa prochaine étape consiste à trouver différents moyens de se déplacer latéralement dans votre réseau ou vos ressources cloud et d'augmenter ses privilèges d'accès afin que son attaque permette de recueillir les informations les plus précieuses et en restant inaperçu le plus longtemps possible. Pour prévenir ce type de comportement, il faut adopter les principes du « Zero Trust » qui, appliqués à l'architecture réseau et de sécurité, exigent systématiquement la réaffirmation de l'identité des utilisateurs lorsqu'ils se déplacent d'une zone à l'autre au sein des réseaux ou des applications.


Rapports : Rapports Netskope Threat Labs


 

Étape 3 : Livraison

Maintenant qu'un hacker a accédé à vos systèmes, il dispose de la liberté nécessaire pour livrer la charge utile qu'il vous réserve (malwares, ransomwares, spywares, etc.). Il installera des programmes pour toutes sortes d'attaques, qu'elles soient immédiates, différées ou déclenchées par une certaine action (attaque par bombe logique). Parfois, ces attaques sont ponctuelles et d'autres fois, les hackers se connectent à distance à votre réseau afin de le surveiller constamment et de le gérer.

La détection des malwares avec les SWG de nouvelle génération pour le déchiffrement TLS et l'inspection du trafic Web et cloud sont des éléments clés pour empêcher la livraison de ces types de payloads. Le cloud est de plus en plus le véhicule de ces attaques, 68 % des malwares étant diffusés dans le cloud plutôt que sur le Web. L'exécution de services inline d'analyse des menaces pour le trafic Web et cloud, ainsi que le suivi de l'état de tous les points de terminaison, sont essentiels pour garantir que votre entreprise n'est pas infectée par des malwares.

 

Étape 4 : Exploitation

Une fois que la charge utile prévue par le hacker est livrée, l'exploitation d'un système commence, selon le type d'attaque. Comme indiqué précédemment, certaines attaques sont différées et d'autres dépendent d'une action spécifique de la cible, ce que l'on appelle une bombe logique. Ces programmes intègrent parfois des fonctions de masquage afin de dissimuler leur activité et leur origine, et d'éviter ainsi toute détection.

Une fois le programme exécutable déclenché, le hacker pourra commencer l'attaque comme prévu, ce qui nous amène aux étapes suivantes, englobant différents types d'exploitations.

 

Étape 5 : Installation

Si un hacker voit l'opportunité d'attaques futures, sa prochaine action sera d'installer une porte dérobée pour profiter d'un accès permanent aux systèmes de la cible. Il peut ainsi entrer et sortir du réseau sans courir le risque d'être détecté en rentrant par d'autres vecteurs d'attaque. Ces types de portes dérobées peuvent être établies via des rootkits et des identifiants peu robustes, et tant que leur comportement ne déclenche pas de signaux d'alarme pour une équipe de sécurité (comme des temps de connexion inhabituels ou des mouvements de données importants), ces intrusions peuvent être difficiles à détecter. L'architecture SASE unit les défenses de sécurité pour collecter des métadonnées riches sur les utilisateurs, les appareils, les applications, les données, l'activité et d'autres attributs afin de faciliter les enquêtes et d'améliorer la capacité de détection des anomalies.

 

Étape 6 : Rappel

Après avoir installé des programmes et portes dérobées, le hacker prendra le contrôle des systèmes et lancera les attaques qu'il vous réserve. Toutes les actions entreprises ici ont pour seul but de garder le contrôle sur la cible, ce qui peut prendre toutes sortes de formes, comme l'implantation d'un ransomware, d'un spyware ou d'autres méthodes d'exfiltration de données à l'avenir.

Malheureusement, lorsque vous êtes informé d'une intrusion et d'une exfiltration, il est probablement trop tard : les hackers ont déjà pris le contrôle de votre système. C'est pourquoi il est important de disposer de mesures de protection qui surveillent et évaluent les mouvements de données afin de détecter toute activité suspecte. Une machine est bien plus à même de détecter et de prévenir les comportements malveillants plus rapidement que n'importe quel administrateur réseau.


White Paper: Protéger les données à l'aide du machine learning


 

Étape 7 : Persistance

Tous ces efforts ont été entrepris pour en arriver là. Au cours de cette étape d'exécution continue, le hacker agit sur sa cible et peut chiffrer vos données pour obtenir une rançon, exfiltrer vos données à des fins lucratives, mettre votre réseau en échec via un déni de service ou surveiller les comportements de votre système pour détecter toute autre brèche via un spyware, pour ne citer que quelques menaces potentielles. L'espionnage et la surveillance sont les principales actions de cette dernière étape de la kill chain, au cours de laquelle les attaquants font profil bas et persistent.

C'est à ce moment-là que la surveillance en temps réel des mouvements de données et la détection des comportements suspects sont cruciales, car les hackers agiront aussi rapidement que possible pour atteindre leurs objectifs. Il n'y a jamais assez de temps pour réagir à toutes les éventuelles anomalies au sein d'une grande d'entreprise. Aussi, votre rôle de prévention doit être proactif plutôt que réactif.

Mise en pratique de la kill chain de cybersécurité

Vous devriez maintenant avoir une compréhension rudimentaire des étapes courantes de la kill chain auxquelles votre entreprise est confrontée, et c'est à vous de combler les lacunes de votre stratégie de sécurité. Bien que ces étapes aient été développées à l'origine dans l'optique d'une sécurité traditionnelle, axée sur le périmètre, nombre d'entre elles sont également utilisées par les pirates internes, avec des techniques telles que l'escalade des privilèges, le « Shoulder surfing », les injections SQL, et bien d'autres encore.

Les attaques peuvent être motivées par toutes sortes de raisons, y compris des raisons financières, politiques, et même simplement pour le plaisir et la reconnaissance. Comprendre les motivations qu'un hacker peut avoir pour cibler votre entreprise vous aidera à déterminer les vecteurs d'attaques potentiels.

Lorsque vous élaborez vos stratégies de défense, il est important d'examiner tous les éventuels points faibles, de votre réseau au cloud. La bonne nouvelle, c'est que Netskope est particulièrement bien placé pour s'attaquer à tous les types de menaces internes et externes visant vos utilisateurs, vos applications, vos données et votre infrastructure cloud. Découvrez dès aujourd'hui comment Netskope peut vous aider à prévenir les pertes de données et à surveiller les mouvements anormaux des données dans le cloud.

 

S'abonner aux rapports Threat Labs

Recevez le rapport mensuel Threat Labs dès sa publication.