Indicators of Compromise : que sont les indicateurs de compromission ?

Évaluation des vulnérabilités, des attaques et des privilèges

Définition des indicateurs de compromis (IoC)

Lors d'un incident de cybersécurité, les indicateurs de compromission (IoC pour Indicators of Compromise) sont des indices et des preuves d'une fuite de données. Ces miettes numériques peuvent révéler non seulement qu'une attaque a eu lieu, mais aussi la plupart du temps quels outils ont été utilisés dans l'attaque et qui est derrière elle.

Les Indicators of Compromise peuvent également être utilisés pour déterminer dans quelle mesure une compromission a affecté une organisation ou pour tirer les leçons d’une attaque, afin d'aider à protéger l'environnement contre de futures attaques.

Les indicateurs sont généralement collectés à partir d’antimalwares et d’antivirus, mais d'autres outils de cybersécurité à intelligence artificielle peuvent être utilisés pour agréger et organiser les indicateurs lors de la réponse à un incident.

Comment fonctionnent les indicateurs de compromis ?

Même si les auteurs de malware essaient de créer des logiciels qui évitent la détection, chaque application laisse des traces de son existence sur le réseau. Ces indices peuvent être utilisés pour déterminer si le réseau est attaqué ou si une fuite de données s'est produite.

Les enquêteurs utilisent ces indices pour rassembler des preuves après un incident de cybersécurité afin de préparer des contre-mesures et d'engager des poursuites pénales contre un attaquant. Les indicateurs de compromission révèlent également quelles données ont été volées et la gravité de l'incident de cybersécurité.

Les indicateurs de compromission sont les miettes de pain laissées par un agresseur après un incident de cybersécurité. Les applications anti-malware peuvent partiellement arrêter l'incident, mais les IoC déterminent les données et les fichiers qui étaient accessibles à un attaquant.

Ces indicateurs sont cruciaux pour trouver les vulnérabilités et les exploits utilisés par les attaquants pour voler des données car ils offrent à l'organisation des informations sur les moyens de mieux protéger le réseau à l'avenir.

Indicateurs de compromission vs Indicateurs d'attaque

Les incidents de cybersécurité se déroulent en plusieurs phases. Mais en termes d'enquêtes, il y a deux préoccupations principales : l'attaque est-elle en cours ou le problème a-t-il été maîtrisé ? Les enquêteurs utilisent les indicateurs de compromission laissés par un attaquant pour répondre à ces deux questions.

Les IoC sont utilisés lors de la phase de réponse à un incident pour déterminer l'ampleur d'une attaque et des données violées. Les indicateurs d'attaque (IoA pour Indicators of Attack) sont utilisés pour déterminer si une attaque est en cours et doit être contenue avant qu'elle ne puisse causer plus de dommages.

Les IoC et les IoA fonctionnent avec des preuves et des métadonnées qui donnent aux enquêteurs des indices sur l'état d'une attaque. Les IoC sont utilisés après qu'une attaque ait été contenue, lorsque l'organisation a besoin de savoir où, quoi et comment. Les IoA se concentrent sur une attaque en cours qui peut être active et doit être contenue.

Pour les malwares et ransomwares extrêmement furtifs, un compromis pourrait durer des mois avant que les administrateurs n'en aient conscience. Les IoA permettront de déterminer si les soupçons sont exacts ou s'il s'agit d'un faux positif.

Exemples d'indicateurs de compromission

Les grands réseaux peuvent avoir des milliers d'IoC. C'est pourquoi la plupart des preuves sont regroupées et chargées dans des systèmes de gestion des événements de sécurité (SIEM pour Security Information and Event Management System) pour aider les enquêteurs à organiser les données. Les preuves peuvent provenir de nombreux endroits, mais voici quelques éléments qui peuvent être utilisés comme indicateurs :

  • Trafic sortant inhabituel : Les attaquants utiliseront des logiciels malveillants pour collecter et envoyer des données à un serveur contrôlé par l'attaquant. Le trafic sortant pendant les heures creuses ou le trafic communiquant avec une adresse IP suspecte peut indiquer un compromis.
  • Irrégularités de l'activité des utilisateurs à haut privilège sur des données sensibles : Les comptes d'utilisateurs compromis sont utilisés pour accéder à des données sensibles. Un compte d'utilisateur à privilèges élevés est nécessaire pour qu'un attaquant puisse accéder à des données qui sont autrement verrouillées à partir de comptes d'utilisateur standard avec des autorisations de base. Un compte d'utilisateur à haut niveau de privilèges accédant à des données sensibles pendant les heures creuses ou à des fichiers rarement consultés peut indiquer que les informations d'identification ont été phishées ou volées.
  • Activité provenant de régions géographiques étranges : La plupart des organisations ont un trafic qui provient d'une zone ciblée. Les cyberattaques d'État et celles qui proviennent de pays situés en dehors de la zone géographique ciblée par l'organisation génèrent des indicateurs de trafic provenant de régions autres que les régions normales.
  • Échecs d'authentification élevés : Lors de la reprise de comptes, les attaquants utilisent l'automatisation pour s'authentifier à l'aide d'identifiants phishés. Un taux élevé de tentatives d'authentification peut indiquer qu'un attaquant a volé des identifiants et tente de trouver un compte qui donne accès au réseau.
  • Augmentation du nombre de lectures de bases de données : Qu'il s'agisse d'une injection SQL ou d'un accès à la base de données directement via un compte d'administrateur, un vidage des données des tables de la base de données peut indiquer qu'un attaquant a volé des données.
  • Demandes excessives sur des fichiers importants : Sans un compte hautement privilégié, un attaquant est obligé d'explorer différents exploits et de trouver la bonne vulnérabilité pour accéder aux fichiers. De nombreuses tentatives d'accès à partir d'une même adresse IP ou d'une même région géographique doivent être examinées.
  • Changements de configuration suspects : La modification de la configuration des fichiers, des serveurs et des périphériques peut donner à un attaquant une deuxième porte dérobée vers le réseau. Les modifications pourraient également ajouter des vulnérabilités que les logiciels malveillants pourraient exploiter.
  • Inondation du trafic vers un site ou un emplacement spécifique : Une compromission sur les appareils pourrait les transformer en un réseau zombie. Un attaquant envoie un signal à l'appareil compromis pour inonder le trafic vers une cible spécifique. Une forte activité de trafic provenant de plusieurs appareils vers une IP spécifique peut signifier que des appareils internes font partie d'un déni de service distribué (DDoS).

Une compromission peut être identifiée par un ou plusieurs des indicateurs ci-dessus. Le travail d'un enquêteur consiste à passer en revue tous les indicateurs de compromission pour déterminer quelle vulnérabilité a été exploitée.

Utiliser les IoC pour améliorer la détection et la réponse

Après un incident de cybersécurité, les IoC peuvent être utilisés pour déterminer les causes d’une attaque et éviter tout exploit de la même vulnérabilité dans le futur.

Dans certains cas, les organisations n'enregistrent pas et ne surveillent pas correctement les bonnes ressources. Cette surveillance les laisse à la merci d'un attaquant, qui peut alors éviter d'être détecté après une enquête. Il est important de mettre avant tout en place une surveillance sur le réseau pour détecter une attaque, mais les logs et les pistes d'audit sont tout aussi importants pour enquêter.

Les points de données des IoC peuvent être collectés en temps réel pour réduire le temps de réponse pendant une enquête. Les SIEM sont utilisés pour séparer le bruit de fond des preuves véritables et précieuses nécessaires pour identifier une attaque et ses vecteurs d'exploitation.

La documentation des procédures de réponse aux incidents en cours peut également réduire le temps d'enquête. Ces procédures devraient être revues après une compromission afin de les améliorer.

Lors de la réponse à un incident, la phase des "leçons apprises" est la dernière étape. Les IoC sont utiles durant cette phase pour identifier quelles défenses de cybersécurité ont été mal configurées ou insuffisantes pour arrêter un attaquant. Plus les journaux et les pistes d'audit sont complets, plus leur enquête est efficace pendant la réponse à l'incident.