Malgré l'importance accrue accordée à la cybersécurité ces dernières années, le nombre de violations de données continue d'augmenter. Alors que les entreprises se concentrent davantage (et dépensent plus) sur la sécurité, les cybercriminels redoublent d'efforts. C'est notamment le cas des menaces persistantes avancées (APT) dirigées contre les appareils de l'internet des objets.
Les cybercriminels contemporains sont très motivés, tant sur le plan financier que sur d'autres plans.
Les ransomwares sont facilement disponibles sur le Dark Web, et les ransomwares constituent une forte motivation financière pour les criminels. Des acteurs étatiques ont également fait leur apparition dans le paysage des menaces, en menant des attaques à caractère politique.
Pour ces raisons, entre autres, le nombre de souches de logiciels malveillants augmente et les logiciels malveillants produits sont de plus en plus perfectionnés, alors que les entreprises intensifient leurs efforts de cyberdéfense.
Cette tendance n'est pas près de s'arrêter, car les malfaiteurs sont trop incités à agir.
Vulnérabilités dans l'internet des objets
L'internet des objets (IdO) désigne le réseau d'appareils compatibles avec l'internet utilisés par les consommateurs et les entreprises. Tout, du stimulateur cardiaque connecté au réseau au détecteur de fumée Nest en passant par la Tesla à conduite autonome, est un appareil de l'IdO.
La popularité des appareils IdO ne cesse de croître. Malheureusement, les cyberattaques IoT gagnent également en popularité. Attaques IoT :
- sont faciles à démarrer grâce au code disponible publiquement, à la fois sur le Dark Web et dans des dépôts de code tels que GitHub.
- Avoir un taux de réussite élevé
- sont difficiles à détecter et à corriger, ce qui favorise les APT
- Permettre à un pirate de prendre pied dans le réseau d'une organisation
- Permettre à un attaquant d'ajouter d'autres appareils à son réseau de zombies (les réseaux de zombies peuvent être utilisés pour des attaques DDoS, du spamming, etc.)
Le nombre de vulnérabilités augmente de manière générale, et les attaques contre les appareils de l'internet des objets sont particulièrement nombreuses.
Surfaces d'attaque de l'internet des objets
Les attaquants commencent par rechercher des appareils IoT vulnérables et tentent de les compromettre. Ils peuvent le faire en masse. Ils peuvent se permettre de ne pas réussir à pirater des appareils à plusieurs reprises, mais il suffit que les appareils IoT succombent une seule fois à une attaque pour être compromis.
Pour ne rien arranger, les appareils IoT présentent souvent un certain nombre de vulnérabilités, connues ou non. Le nombre de vulnérabilités de l'IdO augmente et les utilisateurs n'appliquent souvent pas les correctifs ou n'installent pas les mises à jour en temps voulu, ce qui facilite grandement la tâche des attaquants qui veulent compromettre les appareils.
Un autre sujet de préoccupation est que les appareils IoT sont souvent dotés d'identifiants par défaut qui ne sont jamais mis à jour. Cela rend la question des vulnérabilités et des correctifs pratiquement sans intérêt : si un attaquant peut simplement forcer les identifiants ou les obtenir à partir d'une liste accessible au public, l'appareil peut tout aussi bien être déjà compromis.
Quelques caractéristiques des menaces persistantes avancées de l'IdO
Techniques d'évasion
Les menaces persistantes avancées sont souvent conçues pour échapper à la détection grâce à l'obscurcissement du code, à la détection de l'environnement virtuel et à de nombreuses autres méthodes.
Techniques de dissimulation
Les cybercriminels parviennent de mieux en mieux à dissimuler les logiciels malveillants qui infectent un système.
Autopropagation
De nombreux APT, en plus de rester sur un système de manière persistante, cherchent à infecter d'autres systèmes.
Efficacité des ressources
C'est un facteur qui différencie les APT IoT des APT traditionnels sur un ordinateur ordinaire. Les APT IoT ont besoin de moins de 5 % de la puissance de calcul d'un appareil moyen pour fonctionner et, parfois, le logiciel malveillant est suffisamment intelligent pour s'adapter après avoir détecté la capacité de mémoire de l'appareil.
La nouvelle chaîne de destruction cybernétique de l'IdO
La chaîne de la mort cybernétique est la série d'étapes franchies par les acteurs de la menace. Chaque étape peut en théorie être identifiée et bloquée par les cyberdéfenses. Lockheed Martin a décrit la "chaîne de la mort cybernétique" pour les APT comme suit :
Cependant, pour les appareils IoT, il y a des étapes supplémentaires dans la chaîne d'exécution qui rendent les APTs IoT d'autant plus menaçants. La nouvelle chaîne de mise à mort de l'IdO se présente comme suit :
Les APT IoT ne se contentent pas d'infecter un seul appareil ou réseau ; ils se propagent à d'autres appareils et se dissimulent de manière à rester persistants.
Stratégies de défense de l'IdO
Les mises à jour des systèmes sont essentielles pour corriger les vulnérabilités, mais elles sont souvent irréalisables ou ne sont pas effectuées pour d'autres raisons. Une fois le correctif publié, les attaquants peuvent procéder à une rétro-ingénierie de l'exploit, rendant ainsi vulnérables les appareils non mis à jour. En outre, les fournisseurs ne peuvent pas ou ne veulent pas suivre le rythme des correctifs apportés à toutes les vulnérabilités découvertes dans leurs produits.
La mise en quarantaine est une solution possible en cas d'infection. Toutefois, en raison de contraintes réelles, il peut être impossible ou peu pratique de mettre des dispositifs en quarantaine. Par exemple, il peut être difficile de mettre en quarantaine une caméra de sécurité qui montre des signes de compromission mais qui est essentielle pour surveiller la sécurité du bâtiment.
IoT APT : OPSWAT's Stratégies de défense recommandées
Pour arrêter les APT IoT, il est nécessaire de bloquer toutes les menaces cachées dans les données. Encore une fois, les cybercriminels peuvent facilement se permettre d'échouer, mais les cyberdéfenses doivent être efficaces à tout moment.
Les défenses basées sur la détection sont vulnérables aux techniques de dissimulation des logiciels malveillants. Les menaces avancées peuvent même tromper les bacs à sable en s'exécutant de manière aléatoire ou en détectant si elles se trouvent ou non dans un environnement virtuel avant de s'exécuter. En outre, même la meilleure technologie de détection des logiciels malveillants peut ne pas voir venir une menace de type "zero-day".
OPSWAT croit en la combinaison de stratégies basées sur la détection avec une prévention avancée des menaces. Notre technologie d'assainissement des données (CDR) neutralise les menaces dans tous les documents ou images entrant dans un réseau en désarmant et en reconstruisant les fichiers en supprimant le contenu potentiellement malveillant. Tout fichier peut et doit être soumis à ce processus, qu'une menace soit détectée ou non.
En plus de tirer parti de l'assainissement des données (CDR), les organisations qui utilisent des appareils IoT devraient suivre autant que possible les meilleures pratiques en matière de sécurité en mettant régulièrement à jour les appareils et en réinitialisant les identifiants de connexion par défaut. Enfin, les appareils en réseau ne devraient être connectés à l'internet au sens large que si cela est absolument nécessaire.
