Skip to content

Menace interne : lorsque l’ennemi se cache au coeur du système

« Chouette, encore un nouveau mot à la mode ! » … C’est bien, de réagir avec humour. C’est souvent l’attitude adoptée face à une nouvelle forme de menace. Mais malheureusement, celle dont nous allons parler est bien réelle et l’humour ne suffira pas à la combattre.Voyons tout cela d’un peu plus près. C’est un fait : les actes malveillants commis directement par les membres d’une entreprise sont de plus en plus nombreux. D’après le rapport sur les menaces internes publié par Crowd Research Partners en 2018, que nous recommandons vivement, 53 % des personnes interrogées déclarent avoir subi une attaque d’origine interne au cours des 12 mois qui précèdent, et 90 % d’entre eux s’estiment vulnérables face à ce danger.

Quelles sont les raisons à cela ? Parmi les principaux catalyseurs de cette mise en péril, les personnes interrogées citent en premier les « privilèges d’accès excessifs ». A priori, on pourrait s’imaginer que les tactiques de défense les plus communes consistent en une bonne hygiène d’accès et une prévention efficace des mouvements latéraux.

Or, il n’en est rien. Les solutions qui restent privilégiées sont des protections périmétriques et centrées sur les données, auxquelles s’ajoute, il faut s’en réjouir, l’analyse comportementale des utilisateurs. Pour autant, ces approches permettent-elles réellement de guérir le mal à la racine ? Ou bien sont-elles capables de n’en traiter que les symptômes ? Nous proposons, dans ce guide, de caractériser la nature des menaces internes, ainsi que les individus qui les incarnent. Partant de là, nous évaluerons la pertinence de différentes tactiques de défense pour vous permettre d’affiner la vôtre.

Spécificités de « l’attaquant »
interne

Commençons par un constat évident : le danger lié aux « menaces internes » découle directement du degré d’intimité que partage l’auteur de cette menace avec sa victime. Les tactiques défensives employées pour contrer les menaces internes doivent prendre en compte un premier axiome, qui est que notre adversaire est parvenu à acquérir, de façon incontestable et indétectée, les droits d’accès typiques d’un employé sur les données, les systèmes et les réseaux, tout du moins en partie.

Dans le schéma de cyberdéfense ATT&CK de MITRE, par exemple, notre « attaquant » interne entame son méfait aux étapes 6 ou 7.

À partir de ce stade, la vitesse de progression de cet « initié » dépend de son degré de malveillance, dont l’étendue peut aller du simple niveau non intentionnel au pur sadisme ! Tout dépend, en réalité, de l’attaquant lui-même.

Lancement initial

Exécution

Persistance

Augmentation de privilèges

Évasion de défense

Accès aux données d’identification

Discovery

Latéral mouvement

Collecte

Impact

Exfiltration

Commande et contrôle

Conclusion A:

Deux éléments concrets et très logiques sont à retenir pour rendre ce modèle applicable à l’étude des menaces internes :

  1. Les protections périmétriques d’ancienne génération ne sont guère efficaces contre les attaquants internes. Elles permettent, pour la plupart, de faire la différence aux étapes 1 et 2, ainsi que, dans une bien moindre mesure, aux étapes 3 à 5 et 11 à 12.
  2. Parmi les menaces internes qui devraient être enrayées par tout programme de lutte, les plus importantes sont l’accès aux données d’authentification, la découverte et le mouvement latéral. Il s’agit en effet des premières étapes du parcours qui font qu’une menace passe du niveau bénin à celui d’incident de sécurité catastrophique. Une tactique de défense destinée à endiguer les étapes 6 à 8 permet de briser la dynamique de la menace interne avant que le moindre dommage réel ne se produise (dès l’étape 9).

Écosystème d’une menace interne

Pour quantifier les droits réels dont bénéficie un « attaquant » interne du fait de sa position particulière, il convient de bien comprendre l’écosystème qui régit ces droits. Le schéma d’organisation typique s’apparente plus ou moins à celui-ci :

En général, les règles métier qui régissent les types d’utilisateurs et les profils d’accès sont coordonnées depuis un système de gestion RH. Ce niveau fondamental est celui que l’on rencontre dans les infrastructures informatiques pour mettre en œuvre les listes de contrôle d’accès et la gestion des droits techniques.

Les différentes règles métier d’une organisation sont converties techniquement en solutions de gouvernance d’annuaires et d’identités au moyen d’une solution de gestion des identités et des accès (IAM).

« une infrastructure d’informations partagées qui permet de localiser, de gérer, d’administrer et d’organiser les éléments quotidiens et les ressources réseau »

Wikipedia
Un service d’annuaire, ou Directory Service dans le domaine informatique

Pour résumer, les droits dont hérite un « attaquant » interne sont :

  1. Définis dans le système RH
  2. Transcrits en règles techniques par la solution IAM
  3. Appliqués en dernier lieu par un service d’annuaire et une solution de gouvernance des identités, lesquels peuvent être dans certains cas regroupés au sein d’un logiciel unifié

L’une des conséquences de cette situation est que toute tentative de modification des règles métier dans le système RH (étape 1) dans le but d’altérer les droits des utilisateurs appliqués à l’étape 3 se révèle inefficace. La probabilité qu’une telle attaque aboutisse, compte tenu du nombre d’approbations humaines intervenant dans cette chaîne, serait nettement inférieure à la moyenne, et les fruits de cette réussite mettraient du temps à mûrir.

Conclusion B:

Cet écosystème de gestion des utilisateurs implique les corollaires suivants :

  1. Le niveau de risque dû à un «attaquant» interne qui n’envisage pas de modifier ses droits d’accès est déterminé par la combinaison de ces quatre différents systèmes. Tout programme de lutte contre les menaces internes doit par conséquent débuter après l’étape de confinement des règles métier dans le système RH. L’assurance que ces règles sont traduites et appliquées avec précision au niveau technique ne doit intervenir que plus tard.
  2. Si l’intention d’un « attaquant » interne est de modifier ses privilèges, son option la plus directe consiste à intervenir sur le service d’annuaire. Une autre démarche qui consisterait à remonter le processus (via le système RH ou la solution IAM) pour obtenir le même résultat n’est pas impossible, mais sa réalisation serait beaucoup plus complexe. Un programme de lutte contre les menaces internes digne de ce nom doit donc inclure une tactique de défense extrêmement rigoureuse au niveau de l’annuaire.

Attaquants internes et tactiques de défense

Mesures concrètes à prendre.

Benoît le Maladroit : un attaquant innocent agissant de manière accidentelle

Comportement et motivations

Les intentions de Benoît sont tout à fait louables. Seul problème : il est facile à berner. Une conséquence typique de sa maladresse est une fuite de données causée soit par son usage inapproprié d’Internet (stockage personnel dans le cloud, e-mails personnels, outils en ligne non gérés, réseaux sociaux, etc.), soit par la perte de ses périphériques (clés USB, ordinateur portable, etc.)

Tactiques de défense

Le risque engendré par Benoît vient du fait que son employeur a fait preuve d’indulgence tant dans la définition des règles métiers que dans la conversion de celles-ci en prescriptions techniques. Pour limiter ces risques, deux mesures s’imposent :

  • D’après notre conclusion B-1, la tactique de sécurité la plus fondamentale consiste à maintenir une bonne hygiène sur l’ensemble de la chaîne, à commencer par le système RH. Une approche visant le moindre niveau de privilège doit notamment être définie, puis appliquée au moyen d’outils de mise en conformité.
  • Étant donné que les maigres privilèges dont jouit Benoît peuvent déjà suffire à causer de graves dommages, les organisations ont tout intérêt à réduire au minimum les risques de fuites de données involontaires. Pour cela, elles peuvent mettre en place des barrières périmétriques (DLP, EPP, pare-feu, etc.), ainsi qu’un chiffrement des données.

Armand le Malfaisant

Comportement et motivations

Armand n’agit pas au nom d’une tierce partie : c’est lui- même qui a décidé de porter préjudice à son entreprise. La méthode d’Armand consiste à exploiter indûment ses privilèges sur les ressources pour dérober des secrets et/ ou endommager les actifs internes. Dans de rares cas, si Armand possède des compétences en informatique suffisantes, il peut se livrer à une série de piratages pour accéder à des données en principe hors d’atteinte.

Tactiques de défense

En règle générale, les tactiques d’hygiène et de conformité appliquées à Benoît prévalent aussi pour Armand. Il convient toutefois de noter que pour contrer une attaque intentionnelle, les protections périmétriques restent majoritairement sans effet, et ne se révèlent aux mieux utiles que lors des investigations postérieures à l’incident. Dans le cas où Armand se met à jouer les hackers, notre conclusion A-2 montre que la priorité absolue des organisations est d’empêcher le mouvement latéral, l’accès aux données d’identification et l’escalade des privilèges. Une telle mesure doit, en vertu de la conclusion B-2, intervenir au niveau même l’annuaire. Concrètement, il s’agit de barricader et de surveiller en temps réel cette composante vitale de l’infrastructure. Il convient également de mentionner que les approches de mise en conformité sont le plus souvent inefficaces contre des adversaires techniquement aguerris. En effet, il n’est pas très sorcier de concevoir une attaque consistant à enchaîner des événements conformes à la norme.

Jeannette la Marionnette

Comportement et motivations

Jeannette est une utilisatrice dépourvue de toute mauvaise intention, mais dont le compte a été malencontreusement détourné par une tierce partie. Dans ce contexte, ses « motivations propres » s’apparentent à celles qui animent généralement les hackers : espionnage ou sabotage commandité par un État, gain financier, etc. Les organisations doivent partir du principe que Jeannette est techniquement capable d’exploiter les faiblesses et les failles du système informatique pour accéder à des ressources qui ne lui appartiennent pas.

Tactiques de défense

Jeannette est l’équivalent des pires « Armand » au monde. Les tactiques de défense pour contrecarrer ses ardeurs s’apparentent donc à celles de la section précédente, avec peut-être encore moins d’indulgence, du fait que les conséquences créées par les opérations de Jeannette seront probablement bien pires que celles d’Armand. Pour faire court : l’hygiène est de la plus haute importance ; les outils de mise en conformité et de sécurité périmétrique sont globalement inefficaces ; le renforcement et la surveillance de l’annuaire sont cruciaux.

Esther la partenaire

Comportement et motivations

Esther peut être l’équivalent de Benoît, d’Armand ou de Jeannette, selon les cas. La seule différence est qu’elle officie non pas en tant qu’employée, mais comme sous-traitante ; un statut qui lui confère, en théorie, des droits restreints sur l’infrastructure technique de son client.

Or, il est généralement difficile d’affirmer avec certitude de quels droits disposent les prestataires externes dans la réalité. Très souvent, on voit des fournisseurs bénéficier de privilèges encore plus élevés que ceux de leurs homologues employés. Qui plus est, dans bon nombre de cas, la gestion de ces ressources particulières est pour le moins fantaisiste : les comptes sont souvent provisionnés directement au niveau du système IAM ou de l’annuaire, en allant jusqu’à contourner les règles métiers et les mesures d’hygiène essentielles applicables au niveau RH.

Considérée sous cet angle, la menace que représente Esther peut atteindre la même nocivité que celle de Benoît, Armand ou Jeannette.

Tactiques de défense

Les tactiques de défense efficaces contre Esther consistent à fusionner toutes les mesures précitées. S’agissant de son cas particulier, les organisations peuvent également entreprendre les actions suivantes :

• Mettre en place contractuellement des évaluations de sécurité régulières visant à évaluer la posture de sécurité de leurs fournisseurs

• Spécifier contractuellement les responsabilités et la redevabilité de chaque partie en cas d’infraction

• Renforcer les mécanismes de défense des services d’annuaire si les comptes des sous-traitants dépassent le périmètre de compétence du système RH

Résumé

Observons la pertinence de chaque pratique de sécurité en fonction du personnage concerné.

    Benoît le Maladroit Armand le Malfaisant Jeannette la Marionnette Esther la partenaire

HYGIÈNE ET  GOUVERNANCE

Définition et transcription strictes des règles entre RH <-> IAM <-> directory +++ +++ +++ +++
Politique de privilège minimum +++ +++ +++ +++
Contrôle de conformité +++ + +++ +++
Protection de l’annuaire +++ +++
TECHNOLOGY DRIVEN Protection périmétrique ++ + ++ ++
Chiffrement des données ++ + ++ ++
LEGAL & COMPLIANCE Audit de chaîne d’approvision- nement +++

Dans l’ensemble, il apparaît clairement que les règles de bonne pratique en matière d’hygiène et de gouvernance sont les deux initiatives les plus efficientes pour atténuer les risques d’origine interne.

Protection des services d’annuaire

Comme nous l’avons vu, les esprits malveillants en interne tenteront systématiquement d’effectuer un déplacement latéral (après la découverte et l’escalade des privilèges, si nécessaire) via leurs services d’annuaire. Dans 99 % des cas, ceci implique l’exploitation des failles ou des erreurs de configuration propres à Active Directory. Malheureusement, et de même que pour les autres annuaires en général, Active Directory tend à devenir assez rapidement défectueux, au point que les vulnérabilités et mauvaises configurations ne sont pas rares.

Côté défense, la protection d’Active Directory implique un triple arsenal : anticipation des menaces, détection des attaques et réponse aux violations.

Anticipation des menaces

L’anticipation signifie essentiellement :

  1. Appliquer les règles de bonne pratique de Microsoft et des conseillers dignes de confiance (Gov-CERT, etc.)
  2. Surveiller Active Directory pour déceler les régressions et les nouveaux chemins d’attaque
  3. Repartir de l’étape 1 pour corriger les régressions. Il faut agir ainsi de manière continue

La plupart des grandes organisations appliquent l’étape 1 une fois de temps en temps, à la suite d’un test d’intrusion ou d’une violation. Or, les mises en œuvre d’Active Directory évoluent rapidement et les régressions sont (re-) créées quotidiennement, d’où la nécessité d’un processus d’évaluation et de correction ininterrompu.

Ce constat permet d’éliminer le recours aux audits et tests manuels, beaucoup trop lents et trop coûteux pour être exécutés de manière récursive à une cadence élevée. Les entreprises doivent plutôt envisager une technologie native dédiée.

Détection des attaques

On déplore souvent une certaine confusion, en ce qui concerne la sécurité d’Active Directory, entre la détection des attaques et celle des régressions de conformité. Cette dernière est indispensable pour anticiper les menaces, mais elle ne répond nullement aux attaques en cours, dans la mesure où la plupart des modèles malveillants reposent sur des chaînes d’événements conformes.

Du point de vue conceptuel, la détection des attaques visant Active Directory n’a rien d’exotique : elle consiste à obtenir des renseignements sur les tactiques, les techniques et les procédures employées par les assaillants, puis à vérifier les événements et objets d’Active Directory qui correspondent à ces indicateurs.

Sur le plan technique, en revanche, il est très difficile de mettre cette stratégie en œuvre avec des technologies de surveillance traditionnelles de type SIEM. Plusieurs raisons à cela :

  • Les fichiers journaux d’Active Directory sont difficiles à collecter et à analyser en temps réel, les hackers disposent alors d’une fenêtre temporelle pour agir sans être inquiétés
  • Les règles de corrélation sont beaucoup plus difficiles à définir et à maintenir pour l’AD que pour le reste du paysage des menaces. En effet, il ne s’agit pas d’IOC statiques : chaque nouvel événement déclenche un calcul graphique qui vise à déterminer si un nouveau « chemin d’accès à des privilèges supérieurs » a été créé
  • Certaines techniques d’attaque parmi les plus dangereuses, telles que DCShadow, ne laissent pas la moindre trace dans le journal système, ce qui rend inutile toute corrélation effectuée sur cette base.

Pour ce qui est de la stratégie anticipative, la détection centrée sur l’annuaire requiert des technologies natives spécialisées, capables de déjouer ces caractéristiques uniques.

Réponse aux menaces

Certaines attaques sont indubitablement appelées à réussir. Les solutions de sécurité centrées sur Active Directory doivent donc impérativement être intégrées de manière transparente à la pratique de réponse aux incidents.

En clair, cela signifie que les analystes doivent pouvoir explorer l’arborescence complète des événements de l’annuaire et non uniquement les fichiers journaux, et disposer d’une visibilité complète sur les détails des événements (qui apparaissent tronqués dans les journaux).

Pour les incidents les plus triviaux, la possibilité de déclencher des solutions automatiques par le biais d’intégrations SOAR est un complément vital pour alléger la charge supportée par les analystes SOC et IR au quotidien.

Comments are closed.

Download pdf

Conclusion

En définitive, nous constatons que la menace venue de l’intérieur est de nature protéiforme. Heureusement, il existe quelques dénominateurs communs entre les différents auteurs de ces actes. Les entreprises doivent tout particulièrement veiller à ce que leur gouvernance RH soit appliquée par des moyens techniques tout au long du cycle de vie des utilisateurs, et à ce que les services d’annuaire, qui constituent les cibles les plus évidentes des attaques réelles, bénéficient de protections dédiées afin d’anticiper les menaces, détecter les attaques et répondre aux violations.

Contact us