Un attaquant planifiant d’infiltrer un bâtiment hautement sécurisé ne franchirait pas effrontément l’entrée principale armé d’une arme visible, pour être fatalement capturé par des scanners aux rayons X et des détecteurs de métaux. Il aurait plutôt recours à des méthodes plus astucieuses, en utilisant par exemple des objets trouvés à l’intérieur du bâtiment, comme un couteau provenant de la cuisine, pour mener à bien son attaque après avoir contourné les contrôles de sécurité initiaux.
Ce scénario trouve son pendant numérique dans une menace croissante en cybersécurité connue sous le nom de “Living off the Land” (LoL). Autrefois l’apanage des hackers parrainés par des États ciblant de grandes organisations, les attaques LoL sont de plus en plus adoptées par des gangs de ransomwares et d’autres cybercriminels contre des petites et moyennes entreprises.
Qu’est-ce que le ‘Living off the Land’ ?
L’idée derrière le « Living off the Land » est d’utiliser les outils et programmes déjà installés dans le système afin de lancer une attaque. Cela présente de nombreux avantages pour nos adversaires : ils n’ont pas besoin de développer et de maintenir des logiciels malveillants, ils n’ont pas besoin de les héberger, de les télécharger ni de les déployer sur le système attaqué, et les antivirus ne les détecteront pas. Cependant, le véritable avantage des attaques LoL est qu’elles se “fondent” dans la masse et se cachent parmi des opérations légitimes. Cette approche qui consiste à se dissimuler à la vue de tous comme moyen d’éviter la détection, permet non seulement de confondre les outils de sécurité traditionnels, mais aussi de ne pas paraître suspect à un œil non averti qui observe ces activités.
Le défi de la détection.
Se protéger contre les attaques LoL est difficile mais essentiel. L’industrie de la cybersécurité a identifié plus de 400 outils légitimes et préinstallés que les hackers exploitent dans ces attaques. Mais nombre d’entre eux ne sont pas couramment utilisés par les administrateurs de système ou les utilisateurs finaux, ce qui suggère une solution simple : supprimer ou restreindre l’accès à ces outils. Cependant, cette approche n’est pas toujours pratique.
Afin de détecter les menaces qui tentent de passer inaperçues, les organisations doivent désormais déplacer leur attention des méthodes de détection basées sur des signatures traditionnelles vers une collecte de journaux plus approfondie, une analyse comportementale et une détection des anomalies. Ces types d’approches ne peuvent pas être automatisés car le contexte est très important pour différencier une utilisation légitime d’un outil par rapport à une utilisation malveillante ; de telles méthodes nécessitent une expertise humaine et une compréhension contextuelle. C’est là qu’un Centre opérationnel de sécurité (SOC) fait la différence : qu’il soit interne ou externalisé, le SOC recevra des alertes sur des comportements ou exécutions suspects qui devront faire l’objet d’une enquête. En connaissant les tactiques habituelles des hackers, en comprenant l’intention de l’exécution et en connaissant le comportement normal dans une organisation, l’analyste du SOC sera en mesure de détecter, bloquer et prévenir l’utilisation malveillante de fichiers légitimes.
Bien que les attaques « Living off the Land » ne soient pas nouvelles, leur prévalence croissante constitue une menace significative pour les organisations de toutes tailles. Heureusement, comme la menace n’est pas nouvelle, des techniques pour protéger nos environnements existent déjà ; il ne reste plus qu’à les mettre en œuvre partout.
