Netskope named a Leader in the 2022 Gartner® Magic Quadrant™ for Security Service Edge. Get the Report.

  • Plateforme

    Une visibilité inégalée et une protection des données et des menaces en temps réel sur le plus grand cloud privé de sécurité au monde.

  • Produits

    Les produits Netskope sont conçus sur Netskope Security Cloud.

Netskope offre une solution moderne de sécurité du cloud, dotée de fonctions unifiées en matière de protection des données et de détection des menaces, et d'un accès privé sécurisé.

Découvrir notre plateforme

Netskope reconnu comme un des leaders dans le rapport du Magic Quadrant™ 2022 du Gartner dédié au SSE

Recevoir le rapport

Optez pour les meilleurs services de sécurité cloud du marché, avec un temps de latence minimum et une fiabilité élevée.

Plus d'informations

Neutralisez les menaces qui échappent souvent à d'autres solutions de sécurité à l'aide d'un framework SSE unifié.

Plus d'informations

Solutions Zero Trust pour les déploiements du SSE et du SASE

Plus d'informations

Netskope permet à toutes les entreprises d'adopter des services et des applications cloud ainsi que des infrastructures cloud publiques rapidement et en toute sécurité.

Plus d'informations
  • Suivi de nos clients

    Sécurisez votre transformation digitale et profitez pleinement de vos applications privées, cloud et Web.

  • Support client

    Un accompagnement proactif et la volonté d'optimiser votre environnement Netskope et de booster votre réussite.

  • Formation et certification

    Netskope training will help you become a cloud security expert.

Choisissez Netskope pour vous aider à faire face aux menaces toujours grandissantes, mais aussi aux risques émergents, aux évolutions technologiques, aux changements organisationnels et réseau, ainsi qu'aux nouvelles exigences réglementaires.

Plus d'informations

Notre équipe mondiale d'ingénieurs qualifiés met à profit son expérience plurielle dans les domaines de la sécurité du cloud, la mise en réseau, la virtualisation, la diffusion de contenu et le développement logiciel pour fournir une réponse rapide et efficace à vos questions techniques.

Plus d'informations

Sécurisez votre parcours de transformation numérique et tirez le meilleur parti de vos applications cloud, Web et privées grâce à la formation Netskope.

Plus d'informations
  • Ressources

    Découvrez comment Netskope peut vous aider à sécuriser votre migration vers le Cloud.

  • Blog

    Découvrez comment Netskope permet de transformer la sécurité et les réseaux à l'aide du Security Service Edge (SSE).

  • Événements et ateliers

    Restez à l'affût des dernières tendances en matière de sécurité et créez des liens avec vos pairs.

  • Security Defined

    Tout ce que vous devez savoir dans notre encyclopédie de la cybersécurité.

Podcast Security Visionaries

Épisode bonus : L'importance du Security Service Edge (SSE) – en anglais

Écouter le podcast

Découvrez comment Netskope permet de passer au Zero Trust et au modèle SASE grâce aux fonctions du Security Service Edge (SSE).

Lire le blog

Netskope au RSA 2022

Rencontrez et discutez avec des spécialistes de la sécurité Netskope chez RSA.

Plus d'informations

Qu'est-ce que le Security Service Edge ?

Découvrez le côté sécurité de SASE, l'avenir du réseau et de la protection dans le cloud.

Plus d'informations
  • Entreprise

    Nous vous aidons à conserver une longueur d'avance sur les défis posés par le cloud, les données et les réseaux en matière de sécurité.

  • Pourquoi Netskope

    La transformation du cloud et le travail à distance ont révolutionné le fonctionnement de la sécurité.

  • Équipe de direction

    Nos dirigeants sont déterminés à faciliter la réussite de nos clients.

  • Partenaires

    Nous collaborons avec des leaders de la sécurité pour vous aider à sécuriser votre transition vers le cloud.

Netskope permet l'avenir du travail.

En savoir plus

Netskope redéfinit la sécurité du cloud, des données et des réseaux afin d'aider les entreprises à appliquer les principes Zero Trust pour protéger leurs données.

Plus d'informations

Penseurs, concepteurs, rêveurs, innovateurs. Ensemble, nous fournissons le nec plus ultra des solutions de sécurité cloud afin d'aider nos clients à protéger leurs données et leurs collaborateurs.

Meet our team

La stratégie de commercialisation de Netskope privilégie ses partenaires, ce qui leur permet de maximiser leur croissance et leur rentabilité, tout en transformant la sécurité des entreprises.

Plus d'informations
Security Defined Cybersecurity Encyclopedia Qu'est-ce qu'une kill chain de cyberattaques ?

Qu'est-ce qu'une kill chain de la cybersécurité ?

7 min read

Qu'est-ce qu'une kill chain de la cybersécurité ?

Le modèle de kill chain de cyberattaques explique la procédure type que suivent les cybercriminels lorsqu'ils mènent une attaque réussie. Ce framework développé par Lockheed Martin et dérivé de modèles d'attaque militaires et transposé au monde numérique permet aux équipes de comprendre, de détecter et de prévenir les cybermenaces persistantes. Si toutes les cyberattaques n'utilisent pas les sept étapes du modèle de kill chain, la grande majorité des attaques en utilisent la plupart, allant souvent de l'étape 2 à l'étape 6.

définition de la kill chain des cyberattaques

 

Quelles sont les étapes de la kill chain  ?

étapes du modèle de kill chain des cyberattaques

Il existe plusieurs autres modèles de kill chain informatiques développés par d'autres entreprises, mais par souci de simplicité, nous allons nous en tenir au modèle de Lockheed Martin, qui est le framework le plus connu du secteur. Nous avons inclus des explications ainsi que de brèves solutions pour chacune d'entre elles, afin que vous puissiez mieux comprendre le processus suivi par les hackers pour pénétrer dans une cible.

 

Étape 1 : Reconnaissance

Comme toute forme de guerre traditionnelle, les cyberattaques les plus réussies commencent par une recherche détaillée d'informations. La reconnaissance est la première étape de la kill chain. Elle fait appel à de nombreuses techniques et à des outils différents, ainsi qu'à des fonctions de navigation Web courantes, comme les :

  • Moteurs de recherche
  • Archives Web
  • Services cloud publics
  • Registres de noms de domaine
  • Commandes WHOIS
  • Renifleurs de paquets (Wireshark, tcpdump, WinDump, etc.)
  • Mappages réseau (nmap)
  • Commandes DIG
  • Ping
  • Scanners de ports (Zenmap, scanner de ports TCP, etc.)

Il existe un large éventail d'outils et de techniques utilisés par les hackers pour recueillir des informations sur leurs cibles, chacun d'entre eux exposant différents éléments de données qui peuvent être utilisés pour trouver des portes d'entrée dans vos applications, réseaux et bases de données, qui sont de plus en plus souvent exploités via le cloud. Il est important que vous protégiez vos données sensibles à l'aide de mécanismes de défense SASE dans le cloud, d'un chiffrement et des pages Web sécurisées afin d'empêcher les hackers de tomber sur des informations compromettantes en parcourant vos ressources publiquement accessibles, y compris vos applications et services cloud.

 

Étape 2 : Création d'un arsenal

Une fois qu'un hacker a recueilli suffisamment d'informations sur sa cible, il choisit un ou plusieurs vecteurs d'attaque pour commencer son intrusion dans votre espace. Un vecteur d'attaque est un moyen pour un pirate d'obtenir un accès non autorisé à vos systèmes et informations. Les vecteurs d'attaque vont de l'élémentaire au très technique, mais il faut garder à l'esprit que, pour les cybercriminels, les cibles sont souvent choisies en évaluant le coût par rapport au ROI.

Les hackers tiennent compte de tous les facteurs, de la puissance de traitement au délai de récupération. En général, ils se dirigent vers la solution offrant le moins de résistance, c'est pourquoi il est si important de considérer tous les points d'entrée possibles le long de la surface d'attaque (tous les points où vous êtes susceptible d'être attaqué) et de renforcer votre sécurité en conséquence.

Les vecteurs d'attaque les plus courants sont les suivants :

  • Identifiants volés ou avec un niveau de sécurité faible
  • Services d'accès à distance (RDP, SSH, VPN)
  • Employés négligents
  • Attaques internes
  • Chiffrement faible ou inexistant
  • Mauvaise configuration du système
  • Relations de confiance entre les appareils/systèmes
  • Phishing (social engineering)
  • Attaques par déni de service
  • Attaques de type « Man-in-the-middle » (MITM)
  • Chevaux de Troie (trojans)
  • Attaques par injection SQL
  • Et bien d'autres

N'oubliez pas : un hacker n'a besoin que d'un seul vecteur d'attaque pour réussir son intrusion. Par conséquent, l'efficacité de votre sécurité se mesure à son point le plus faible et c'est à vous de découvrir où se trouvent ces vecteurs d'attaque potentiels. Les attaques par ransomware continuent d'exploiter les services d'accès à distance pour s'introduire, se déplacer latéralement dans vos actifs, détecter des données sensibles en vue de leur exfiltration, le tout avant de chiffrer et de demander une rançon.

En général, une fois qu'un hacker est entré, sa prochaine étape consiste à trouver différents moyens de se déplacer latéralement dans votre réseau ou vos ressources cloud et d'augmenter ses privilèges d'accès afin que son attaque permette de recueillir les informations les plus précieuses et en restant inaperçu le plus longtemps possible. Pour prévenir ce type de comportement, il faut adopter les principes du « Zero Trust » qui, appliqués à l'architecture réseau et de sécurité, exigent systématiquement la réaffirmation de l'identité des utilisateurs lorsqu'ils se déplacent d'une zone à l'autre au sein des réseaux ou des applications.


Rapports : Rapports Netskope Threat Labs


 

Étape 3 : Livraison

Maintenant qu'un hacker a accédé à vos systèmes, il dispose de la liberté nécessaire pour livrer la charge utile qu'il vous réserve (malwares, ransomwares, spywares, etc.). Il installera des programmes pour toutes sortes d'attaques, qu'elles soient immédiates, différées ou déclenchées par une certaine action (attaque par bombe logique). Parfois, ces attaques sont ponctuelles et d'autres fois, les hackers se connectent à distance à votre réseau afin de le surveiller constamment et de le gérer.

La détection des malwares avec les SWG de nouvelle génération pour le déchiffrement TLS et l'inspection du trafic Web et cloud sont des éléments clés pour empêcher la livraison de ces types de payloads. Le cloud est de plus en plus le véhicule de ces attaques, 68 % des malwares étant diffusés dans le cloud plutôt que sur le Web. L'exécution de services inline d'analyse des menaces pour le trafic Web et cloud, ainsi que le suivi de l'état de tous les points de terminaison, sont essentiels pour garantir que votre entreprise n'est pas infectée par des malwares.

 

Étape 4 : Exploitation

Une fois que la charge utile prévue par le hacker est livrée, l'exploitation d'un système commence, selon le type d'attaque. Comme indiqué précédemment, certaines attaques sont différées et d'autres dépendent d'une action spécifique de la cible, ce que l'on appelle une bombe logique. Ces programmes intègrent parfois des fonctions de masquage afin de dissimuler leur activité et leur origine, et d'éviter ainsi toute détection.

Une fois le programme exécutable déclenché, le hacker pourra commencer l'attaque comme prévu, ce qui nous amène aux étapes suivantes, englobant différents types d'exploitations.

 

Étape 5 : Installation

Si un hacker voit l'opportunité d'attaques futures, sa prochaine action sera d'installer une porte dérobée pour profiter d'un accès permanent aux systèmes de la cible. Il peut ainsi entrer et sortir du réseau sans courir le risque d'être détecté en rentrant par d'autres vecteurs d'attaque. Ces types de portes dérobées peuvent être établies via des rootkits et des identifiants peu robustes, et tant que leur comportement ne déclenche pas de signaux d'alarme pour une équipe de sécurité (comme des temps de connexion inhabituels ou des mouvements de données importants), ces intrusions peuvent être difficiles à détecter. L'architecture SASE unit les défenses de sécurité pour collecter des métadonnées riches sur les utilisateurs, les appareils, les applications, les données, l'activité et d'autres attributs afin de faciliter les enquêtes et d'améliorer la capacité de détection des anomalies.

 

Étape 6 : Rappel

Après avoir installé des programmes et portes dérobées, le hacker prendra le contrôle des systèmes et lancera les attaques qu'il vous réserve. Toutes les actions entreprises ici ont pour seul but de garder le contrôle sur la cible, ce qui peut prendre toutes sortes de formes, comme l'implantation d'un ransomware, d'un spyware ou d'autres méthodes d'exfiltration de données à l'avenir.

Malheureusement, lorsque vous êtes informé d'une intrusion et d'une exfiltration, il est probablement trop tard : les hackers ont déjà pris le contrôle de votre système. C'est pourquoi il est important de disposer de mesures de protection qui surveillent et évaluent les mouvements de données afin de détecter toute activité suspecte. Une machine est bien plus à même de détecter et de prévenir les comportements malveillants plus rapidement que n'importe quel administrateur réseau.


White Paper: Protéger les données à l'aide du machine learning


 

Étape 7 : Persistance

Tous ces efforts ont été entrepris pour en arriver là. Au cours de cette étape d'exécution continue, le hacker agit sur sa cible et peut chiffrer vos données pour obtenir une rançon, exfiltrer vos données à des fins lucratives, mettre votre réseau en échec via un déni de service ou surveiller les comportements de votre système pour détecter toute autre brèche via un spyware, pour ne citer que quelques menaces potentielles. L'espionnage et la surveillance sont les principales actions de cette dernière étape de la kill chain, au cours de laquelle les attaquants font profil bas et persistent.

C'est à ce moment-là que la surveillance en temps réel des mouvements de données et la détection des comportements suspects sont cruciales, car les hackers agiront aussi rapidement que possible pour atteindre leurs objectifs. Il n'y a jamais assez de temps pour réagir à toutes les éventuelles anomalies au sein d'une grande d'entreprise. Aussi, votre rôle de prévention doit être proactif plutôt que réactif.

Putting the Cyber Security Kill Chain Steps into Practice

Vous devriez maintenant avoir une compréhension rudimentaire des étapes courantes de la kill chain auxquelles votre entreprise est confrontée, et c'est à vous de combler les lacunes de votre stratégie de sécurité. Bien que ces étapes aient été développées à l'origine dans l'optique d'une sécurité traditionnelle, axée sur le périmètre, nombre d'entre elles sont également utilisées par les pirates internes, avec des techniques telles que l'escalade des privilèges, le « Shoulder surfing », les injections SQL, et bien d'autres encore.

Les attaques peuvent être motivées par toutes sortes de raisons, y compris des raisons financières, politiques, et même simplement pour le plaisir et la reconnaissance. Comprendre les motivations qu'un hacker peut avoir pour cibler votre entreprise vous aidera à déterminer les vecteurs d'attaques potentiels.

Lorsque vous élaborez vos stratégies de défense, il est important d'examiner tous les éventuels points faibles, de votre réseau au cloud. La bonne nouvelle, c'est que Netskope est particulièrement bien placé pour s'attaquer à tous les types de menaces internes et externes visant vos utilisateurs, vos applications, vos données et votre infrastructure cloud. Découvrez dès aujourd'hui comment Netskope peut vous aider à prévenir les pertes de données et à surveiller les mouvements anormaux des données dans le cloud.

 

S'abonner aux rapports Threat Labs

Recevez le rapport mensuel Threat Labs dès sa publication.