Suivant un scénario d’attaque/défense sur une société fictive, Guillaume Cherruau et François Vinel, deux ingénieurs avant-vente de Fortinet ont proposé une démonstration concrète du vol d’identifiants et de leur commercialisation à l’occasion du récent Silicon Day Cybersécurité. En modélisant chaque étape de la Cyber Kill Chain, ils ont analysé l’attaque, vérifié les brèches retenues et montré les outils de défense complémentaires pour y faire face.
La phase de reconnaissance intervient avant même l’attaque. Durant cette première étape, l’attaquant s’appuie sur le social engineering, sur les réseaux sociaux, articles de presse, sites Web d’entreprise et recherches de fichiers via le web. La simple détection d’une adresse e-mail, à joindre en cas d’erreur de livraison, peut être mise à profit.
L’outillage consiste à retenir, parmi une kyrielle de frameworks et de malwares personnalisables, les briques logiciels à réunir pour mener une attaque ciblée. Par exemple, l’outil evil-pdf pourra incruster un keylogger (un logiciel malveillant d’interception de frappes au clavier), au sein d’un fichier bureautique. L’attaquant n’a plus qu’à préparer son email, en se faisant passer pour un manager et en exigeant, dès que possible, une intervention sur l’erreur de livraison jointe.
Face à cette stratégie offensive, l’entreprise peut recourir aux services de pentest, s’équiper de scanners de vulnérabilités ou faire appel aux services SaaS FortiRecon ; dans ce dernier cas, une console de supervision améliore la visibilité sur les attaques en cours, précisant les comptes ciblés. Mieux, elle aide à réduire les risques numériques, grâce à une liste d’actions correctives.
Pendant l’attaque, le malware est remis à la victime par téléchargement automatique, ou via une clé USB infectée ou encore via un simple e-mail ; c’est la phase de delivery. L’attaque peut être bloquée à ce stade par un moteur antivirus. Pour lutter contre le phishing, FortiMail identifie les messages malicieux et leurs attachements suspects, rejetés automatiquement.
La phase d’exploitation détermine les dégâts résultant de l’attaque. Les mécanismes exploités sont le centre de Command and Control pour exfiltrer des fichiers partagés, le Reverse Shell pour gagner un accès distant à un poste client, ou le keylogger pour récupérer les identifiants saisis au clavier. Un logiciel EDR (Endpoint Detection and Response) bloquera ces malwares, FortiEDR offrant des défenses en prévention, en temps réel, et en réponse sur incident.
La dernière étape consiste à mener les bonnes actions, selon les motivations de l’attaquant. Pour se prémunir de la fuite de mots de passe et de leur commercialisation, la console FortiRecon améliore la posture de sécurité, dès la détection d’une tentative de vol d’identifiants.
Retrouvez en replay la slot Fortinet lié à l’évènement Silicon Day Cybersécurité
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Les eSIM, ou cartes SIM électroniques, sont devenues de plus en plus populaires depuis qu'Apple…
Le progiciel de gestion intégré ERP simplifie la planification des ressources d'une société. D'après Statista,…
Les plateformes de trading ont considérablement évolué, transformant le paysage de la finance moderne. Ces…
Dans le secteur dynamique du bâtiment et des travaux publics (BTP), les entreprises font face…
De tous les types de connectivité, les professionnels devraient privilégier la fibre dédiée Entreprise qui…