L'exfiltration de données est la pierre angulaire des cyber-opérations malveillantes. Néanmoins, la nature de l'exfiltration et son impact ont considérablement changé au cours des dernières années. Historiquement, les hackers liés à des commanditaires étatiques se livraient au vol de données pour atteindre des objectifs d'espionnage industriel ou de vol de propriété intellectuelle. Plus récemment, les pirates se sont lancés dans l'exfiltration, non plus en fonction de la valeur des données à leurs yeux, mais plutôt en fonction du désir des victimes de ne pas les voir exposées. Il en découle un écosystème d'exfiltration et de divulgation à des fins monétaires ou "hacktivistes", où la partie malveillante cherche à causer des dommages aux victimes. Compte tenu des tendances actuelles, les propriétaires, les opérateurs et les défenseurs des réseaux doivent s'assurer que des contrôles sont en place pour détecter, atténuer ou complètement bloquer une telle activité, compte tenu des coûts potentiels.
Les impacts de l'exfiltration
À première vue, l'exfiltration semble moins préoccupante que d'autres incidents tels que la perturbation du réseau. Si elle a généralement un impact immédiat sur une organisation, les risques à long terme peuvent rendre la perte de données sensibles encore plus destructrice qu'un ransomware particulièrement virulent. Il existe trois risques principaux liés aux événements de perte ou d'exfiltration de données : la perte de données sensibles ou de propriété intellectuelle, l’atteinte à la réputation d'une organisation suite à un incident rendu public et l’ouverture de l'organisation à l'extorsion par des acteurs ayant extorqué des données, puis menacé de les publier en l'absence de paiement ou de toute autre action.
Identifier des comportements d'exfiltration
On a tendance à penser que l'activité d'exfiltration est bruyante et relativement facile à repérer, au vu du déplacement de grandes quantités de données vers des sources nouvelles ou inconnues. Pourtant, même cette identification nécessite une combinaison de visibilité et de surveillance active du réseau, à tel point que la plupart des organisations n'ont pas conscience deces évènements, ou ils se fondent complètement dans les activités régulières, et ne produisent pas un "bruit" significatif lors des détections. En outre, les cybercriminels utilisent de multiples techniques pour minimiser leur visibilité et échapper à la détection, soit par l'obscurcissement, soit en se fondant dans d'autres actions. Ils ont notamment recours à l'utilisation de services tiers légitimes, tels que les systèmes de sauvegarde dans le cloud ou le stockage sur le Web, comme destinations pour les fuites de données. Ils utilisent aussi la tunnelisation du trafic sur des services non HTTP ou l'utilisation de protocoles alternatifs pour le transfert de données volumineuses qui ne sont pas nécessairement aussi rigoureusement surveillées. Ou encore la division des données en petits morceaux pour l'exfiltration afin d'éviter que des flux de trafic anormalement importants ne quittent le réseau. Bien que tous ces éléments soient préoccupants, aucun n'est impossible à détecter. Les défenseurs peuvent combiner la surveillance d'anomalies plus générales du trafic et l'identification spécifique de certaines techniques ou comportements pour détecter ce type d'activité.
Au niveau le plus général, l'identification des flux réseau suspects représente une technique potentiellement puissante pour détecter les activités d'exfiltration. Outre la simple recherche de flux de données importants, l'identification de la directionnalité et des ratios de chargement et de déchargement sont des enrichissements nécessaires pour tirer parti de la surveillance des flux. Par exemple, un flux "important" peut simplement indiquer une connexion riche en données et de longue durée, telle que la diffusion en continu, l'accès à distance ou une activité connexe.
En identifiant non seulement les flux sortants anormaux, mais en les reliant à une nouvelle infrastructure réseau suspecte ou non observée auparavant, on obtient de puissantes possibilités de détection. Par exemple, en reliant un flux sortant suspect à une nouvelle infrastructure réseau ou à une instance de serveur privé virtuel (VPS) (comme Linode, DigitalOcean ou un fournisseur similaire), on peut identifier une activité préoccupante. En allant plus loin, la même logique peut également être appliquée aux connexions non standard (comme le FTP externe ou d'autres protocoles) vers des destinations inconnues ou non fiables pour identifier une activité d'exfiltration potentielle.
Appliquer la défense « Cyber Kill Chain »
Afin d’empêcher l'exfiltration, il est essentiel d’adopter une approche "Cyber Kill Chain" en ce qui concerne la surveillance et la défense du réseau. Dans ce scénario, les défenseurs recherchent les voies d'intrusion et les dépendances globales de l'adversaire afin d'identifier les signes précurseurs nécessaires (accès initial, mouvement latéral, collecte de données et mise en scène des données) avant que les données ne quittent le réseau. Grâce à un examen critique de ce dont un cybercriminel a besoin pour réussir, il est possible de mettre en œuvre des contrôles plus généraux sur les capacités de l'hôte et du réseau pour mettre en échec non seulement les opérations d'exfiltration, mais aussi toute une série d'intrusions. Les contrôles pertinents comprennent l'application de correctifs aux systèmes tournés vers l'extérieur, la réduction des services disponibles à partir d'un accès externe, la limitation des types de trafic entrant sur le réseau et la surveillance des activités sensibles telles que les sessions d'administration ou d'accès à distance.
De nombreuses organisations se concentrent sur ces mesures afin de réduire les risques, mais une véritable défense en couches nécessite de dépasser les limites du réseau pour assurer une couverture des actions ultérieures des cybercriminels. Étant donné le nombre quasi infini de mécanismes d'accès initiaux possibles dont ils disposent, ainsi que la possibilité de subvertir des systèmes ou des utilisateurs, même lorsque les éléments sont corrigés ou autrement surveillés, la défense doit s'étendre aux flux de trafic du réseau interne et aux éléments hôtes. Les défenseurs doivent identifier les techniques de mouvement latéral et leurs artefacts dans les comportements du réseau et de l'hôte. Alors que l'adoption croissante de produits de défense et de réponse aux points d'extrémité (EDR) couvre les observations centrées sur l'hôte, l'investissement dans la visibilité et la surveillance du trafic est-ouest est essentiel pour saisir la traversée des réseaux défendus par les adversaires. Mis en œuvre ensemble, ces éléments peuvent garantir la couverture des opérations des adversaires, qu'il s'agisse d'acteurs criminels opportunistes, des hacktivistes ciblés ou de menaces pilotées par des états malveillants.
Dans l'ensemble, les défenseurs doivent combiner une compréhension des comportements et des tendances des adversaires afin de déterminer comment ils opèrent et quelles techniques sont pertinentes dans les opérations d'intrusion. Une fois ces éléments identifiés, il convient de combiner le EDR et le NDR afin de garantir une détection et une surveillance en couches et de combler toute lacune potentielle de visibilité que les adversaires pourraient tenter d'utiliser à leur avantage. Bien qu'elle ne soit ni facile ni économique, la défense contre les cybermenaces modernes, qu'il s'agisse d'opérations de ransomware ou d'exfiltration de données à des fins diverses, exige un investissement conséquent pour garantir aux défenseurs une posture en phase avec un paysage de menaces en constante évolution.
Par Pascal Beurel, Senior Sales Engineer chez Gigamon