Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Pourquoi la gestion des identités est la clé pour arrêter les cyberattaques APT

Republié par Platon
Republié par Platon

Date :

Vues: 141

Dark Reading News Desk a interviewé Adam Meyers, responsable des opérations de contre-adversaire pour CrowdStrike à Black Hat USA 2023. Découvrez le clip de News Desk sur YouTube (transcription ci-dessous).

Lecture sombre, Becky Bracken : Bonjour à tous et bienvenue au Dark Reading News Desk en direct de Black Hat 2023. Je m'appelle Becky Bracken, rédactrice chez Dark Reading, et je suis ici pour accueillir Adam Meyers, responsable des opérations de contre-adversaire chez CrowdStrike, au bureau de nouvelles de Dark Reading.

Merci de nous rejoindre, Adam. Je l'apprécie. L'année dernière, tout le monde était très concentré sur Groupes APT en Russie, ce qu'ils étaient faire en Ukraine, et comment la communauté de la cybersécurité pourrait se rallier et les aider. Il semble y avoir eu un changement assez important depuis lors. Pouvez-vous nous faire le point sur ce qui se passe actuellement en Russie par rapport à il y a peut-être un an ?

Adam Meyers : Je pense donc que cela suscite bien sûr beaucoup de préoccupations. Je pense certainement que nous avons constaté que les perturbations qui surviennent généralement après le début du conflit ne disparaissent pas. Mais pendant que (nous étions concentrés), vous savez, sur ce qui se passait avec les Russes, les Chinois ont établi un effort massif de collecte de données autour de ça.

DR: Est-ce qu'ils (le gouvernement chinois et les groupes APT associés) utilisaient l'invasion russe comme couverture pendant que tout le monde regardait par ici ? Est-ce qu'ils faisaient ça avant ?

UN M: C'est une bonne question. Je pense que cela a fonctionné en fournissant ce genre de couverture parce que tout le monde est tellement concentré sur ce qui se passe en Russie et en Ukraine. Cela a donc détourné l'attention du battement de tambour constant de tout le monde criant à la Chine ou faisant des choses comme quoi ils étaient là.

DR: Nous connaissons donc les motivations de la Russie. Qu'en est-il de Groupes APT chinois? Quelles sont leurs motivations ? Qu'essayent-ils de faire ?

UN M: C'est donc un énorme plateforme de collecte. La Chine a un certain nombre de programmes majeurs différents. Ils ont des choses comme les plans quinquennaux dictés par le gouvernement chinois avec des exigences agressives en matière de développement. Ils ont le «Fabriqué en Chine 2025" initiative, ils ont le Ceinture et Initiative Route. Et c’est pourquoi ils ont construit tous ces différents programmes afin de faire croître l’économie et de développer l’économie en Chine.

Certaines des principales choses qu'ils ont ciblées concernent des choses comme les soins de santé. C'est la première fois que les Chinois sont confrontés à une classe moyenne croissante et donc les problèmes de santé préventive (sont une priorité), le diabète, les traitements contre le cancer, tout ça. Et ils s’approvisionnent en grande partie en Occident. Ils (les Chinois) veulent le construire là-bas. Ils veulent disposer de produits équivalents au marché national afin de pouvoir desservir leur propre marché et ensuite le développer dans la région environnante, la région Asie-Pacifique au sens large. Et ce faisant, ils renforcent leur influence. Ils construisent ces liens avec ces pays où ils peuvent commencer à promouvoir les produits chinois, les solutions commerciales et les programmes chinois… De sorte que lorsque l’on s’attaque à une question – Taiwan ou quelque chose du genre – qu’ils n’aiment pas aux Nations Unies, ils peut dire « Hé, tu devrais vraiment voter de cette façon. Nous l’apprécierions.

DR: C'est donc vraiment un collecte de renseignements et le gain de propriété intellectuelle pour eux. Et alors, qu’allons-nous voir dans les prochaines années ? Vont-ils opérationnaliser ces renseignements ?

UN M: Cela se produit actuellement, si vous regardez ce qu’ils font avec l’IA. Regardez ce qu'ils ont fait dans le domaine des soins de santé et de diverses fabrications de puces, où ils s'approvisionnent pour la plupart en externe. Ils ne veulent pas faire ça.

Ils pensent que les gens les voient comme l'atelier du monde et veulent vraiment devenir un innovateur. Et ils cherchent à y parvenir en tirant parti Groupes APT chinois et dépasser (les nations concurrentes) grâce aux cyberopérations, au cyberespionnage, (au vol) de ce qui est actuellement à la pointe de la technologie, puis ils peuvent essayer de reproduire et d'innover en plus de cela.

DR: Intéressant. OK, alors quittons la Chine et passons maintenant à la Corée du Nord, et ils sont dans le business – leurs groupes APT rapportent de l’argent, n’est-ce pas ? C'est ce qu'ils cherchent à faire.

UN M: Ouais. Il y en a donc trois morceaux. Premièrement, ils sont certainement au service des missions diplomatiques, militaires et politiques. processus de collecte de renseignements, mais ils le font aussi propriété intellectuelle.

Ils ont lancé un programme appelé Stratégie nationale de développement économique, ou NEDS. Et avec cela, il y a six domaines principaux qui se concentrent sur des choses comme l’énergie, les mines, l’agriculture, la machinerie lourde, tout ce qui est associé à l’économie nord-coréenne.

Ils doivent augmenter les coûts et le mode de vie du citoyen nord-coréen moyen. Seulement 30 % de la population dispose d'une électricité fiable, donc des choses comme les énergies renouvelables et les moyens d'obtenir de l'énergie (sont le genre de données Groupes APT nord-coréens sont en train de chercher).

Et puis la génération de revenus. Ils ont été coupés du système international SWIFT et des économies financières internationales. Et maintenant, ils doivent trouver des moyens de générer des revenus. Ils ont quelque chose qui s'appelle le Troisième Bureau, qui génère des revenus auprès du régime et aussi pour la famille.

Et donc ils (le Troisième Bureau) font beaucoup de choses, comme la drogue, le trafic d’êtres humains et aussi la cybercriminalité. Donc Groupes APT nord-coréens a été très efficace pour cibler les sociétés financières traditionnelles ainsi que les sociétés de crypto-monnaie. Et nous l’avons vu : l’une des choses dans notre rapport qui vient de paraître hier montre que le deuxième secteur vertical le plus ciblé l’année dernière était la finance, qui a remplacé les télécommunications. Cela a donc un impact.

DR: Ils gagnent des tonnes d'argent. Pivotons autour de l'Iran, qui constitue, je suppose, l'autre pilier majeur de l'action de l'APT. Que se passe-t-il entre Groupes APT iraniens?

UN M: Nous avons donc vu, dans de nombreux cas, de faux personnages cibler leurs ennemis (iraniens) – pour s’en prendre à Israël et aux États-Unis, en quelque sorte des pays occidentaux. Groupes APT soutenus par l'Iran créent ces faux personnages et déploient des ransomwares, mais ce n'est pas vraiment un ransomware car ils ne se soucient pas nécessairement de collecter de l'argent. Ils (Groupes APT iraniens) veulent simplement provoquer cette perturbation, puis collecter des informations sensibles. Tout cela fait perdre confiance aux gens dans les organisations politiques ou les entreprises qu’ils ciblent. Il s'agit donc en réalité d'une campagne perturbatrice déguisée en ransomware pour Acteurs menaçants iraniens.

DR: Il doit être très difficile d’essayer de déterminer la motivation d’un grand nombre de ces attaques. Comment tu fais ça? Je veux dire, comment sais-tu que ce n'est qu'une façade pour perturber et non une opération lucrative ?

UN M: C'est une excellente question, mais ce n'est en fait pas si difficile, car si vous regardez ce qui se passe réellement, n'est-ce pas ? — ce qui se passe — s'ils sont criminels et qu'ils sont motivés financièrement, ils effectueront des paiements. C'est l'objectif, non ?

S'ils ne semblent pas vraiment se soucier de gagner de l'argent, comme NotPetya par exemple, c'est assez évident pour nous. Nous ciblerons les infrastructures, puis nous examinerons le motif lui-même.

DR: Et de manière générale, parmi les groupes APT, quelles sont certaines des attaques du jour? Sur quoi comptent-ils vraiment en ce moment ?

UN M: Nous avons donc vu beaucoup de Groupes APT s'attaquer aux appareils de type réseau. Il y a eu beaucoup plus d'attaques contre des appareils exposés à divers systèmes cloud et appareils réseau, des éléments qui ne disposent généralement pas de piles de sécurité de point final modernes.

Et il ne s’agit pas uniquement des groupes APT. Nous le constatons énormément avec les groupes de ransomwares. Ainsi, 80 % des attaques utilisent des informations d’identification légitimes pour entrer. Ils vivent de la terre et se déplacent latéralement à partir de là. Et puis, s'ils le peuvent, dans de nombreux cas, ils essaieront de déployer un ransomware sur un hyperviseur qui ne prend pas en charge votre outil DVR, puis ils pourront verrouiller tous les serveurs qui s'exécutent sur celui-ci. hyperviseur et mettre l'organisation en faillite.

DR: Malheureusement, nous n'avons plus de temps. J'aimerais vraiment en discuter plus longtemps, mais pouvez-vous nous faire part rapidement de vos prédictions ? À votre avis, qu’allons-nous examiner dans l’espace APT dans 12 mois ?

UN M: L'espace a été assez cohérent. Je pense que nous les verrons (les groupes APT) continuer à faire évoluer le paysage des vulnérabilités.

Si vous regardez la Chine, par exemple, toute recherche sur la vulnérabilité doit passer par le ministère de la Sécurité d’État. L’accent y est mis sur la collecte de renseignements. C'est le motif principal dans certains cas ; il y a aussi des perturbations.

Et puis, en guise de prédiction, la chose à laquelle tout le monde doit penser est gestion de l'identité, à cause des menaces que nous constatons. Ces violations mettent en jeu l’identité. Nous avons ce qu'on appelle le « temps d'évasion », qui mesure le temps qu'il faut à un acteur pour passer de son implantation initiale dans son environnement à un autre système. Le plus rapide (temps d’évasion) que nous avons vu était de sept minutes. Ces acteurs avancent donc plus vite. Le plus important à retenir est qu'ils (les groupes APT) utilisent des informations d'identification légitimes, se présentant en tant qu'utilisateur légitime. Et pour se protéger contre cela, la protection de l’identité est essentielle. Pas seulement les points finaux.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.