En quoi, une attaque APT se distingue-elle des autres attaques ? Une attaque APT est une menace informatique avancée puisqu’elle utilise et combine une panoplie de techniques et outils afin de soustraire, généralement, des informations sensibles en utilisant des programmes malicieux, venimeux. Cette attaque se caractérise par sa furtivité sur le long terme et elle est très difficile à détecter.
Elle est l'oeuvre de cybercriminels qui travaillent en groupe de taille variable, composé de différents profils tel que hacker, analyste-Thread Intelligence, développeur et administrateur système. Ils démarrent toujours leur attaque par une phase dereconnaissance efficace afin de collecter le maximum d’informations exploitables sur la cible en utilisant les principales sources d’informations à travers internet, tel que les sites de l’entreprise, les communiqués de presse, les documents publics,les livres blancs, les rapports, les réseaux sociaux, la collecte d’adresses mails, par téléphone ou directement. Une fois les données souhaitées atteintes, ils passent à la phase de compromission-malwares et exploits qui consiste en la recherche d’une porte d’entrée dans le réseau informatique de la cible et au maintien de portes dérobées exploitables sur son réseau pour un accès continu sur une longue période.
Mais, pour rechercher les informations intéressantes et sensibles à détourner, le cybercriminel a besoin de droits d’accès privilégiés vers d’autres systèmes internes, c’est la phase, renforcement des accès et mouvements latéraux, qui va lui permettre d’avancer dans ce sens puis vient la phase d’extraction où le cybercriminel arrive au but de son attaque en exfiltrant les informations dérobées.
Mesures de protection contre les APT ?
La prévention et la sensibilisation au sein de l’entité sont primordiales pour avoir une sécurité assurée, sans négliger l’importance des analyses de vulnérabilités et de test d’intrusion de façon régulière ce qui permettra d’optimiser les stratégies de sécurité.
La détection complète des attaques en APT est ostensiblement difficile. Néanmoins, grâce à l’analyse des logs de façon transversale, SIEM (Security information and event management) peut récolter les évènements de sécurité de tout type et du Big data qui, en corrélant signaux, signaux faibles et signaux lent pourra dans l’avenir, être une réponse aux attaques en APT.
Le document complet peut être téléchargé en :
http://archives.forumatena.org/les-attaques-en-apt-phases-dégâts-et-contre-mesures