Cyberattaques : qu’est-ce qu’un accès initial ?

La notion d’accès initial est présente dans toutes les descriptions de l’enchaînement des phases de cyberattaques. Il y a une très bonne raison à cela : c’est une étape clé de la cinétique d’attaque, à son tout début. Décryptage avec Lindsay Kaye, directrice senior de l’Insikt Group de Recorded Future, en charge des résultats opérationnels.

LeMagIT : Qu’est-ce que l’on appelle accès initial ?

Lindsay Kaye : En termes simples, l’accès initial est la manière dont les acteurs menaçants [de l’anglais Threat Actor, N.D.L.R.] accèdent pour la première fois à un réseau cible.

LeMagIT : Quels sont les principaux types d’accès initiaux ?

Lindsay Kaye : Les principaux types d’accès initiaux sont le phishing [ou hameçonnage, N.D.L.R.], l’utilisation d’informations d’identification volées ou achetées, l’exploitation de vulnérabilités ou le forçage brutal de services externes (tels que RDP, SSH, VNC). L’accès est souvent acheté auprès d’acteurs de la menace connus sous le nom de courtiers d’accès initial à des applications et des services, tels que les appliances VPN, les fournisseurs de services gérés, l’accès aux domaines, les services de gestion de contenu, etc.

LeMagIT : Comment un accès initial est-il établi ?

Lindsay Kaye : Dans le cas du phishing, la victime peut cliquer sur un lien et être conduite vers une fausse page de connexion ou télécharger un outil malveillant ou un dropper. Avec des informations d’identification volées, l’acteur de la menace peut les utiliser pour se connecter au service ou à l’application, pour ensuite établir la persistance, se déplacer latéralement ou déposer des outils supplémentaires. L’exploitation de la vulnérabilité et les services de force brute peuvent différer en fonction de la vulnérabilité et du service, mais ils impliquent tous deux que l’acteur menaçant obtienne l’accès à ces ressources.

LeMagIT : Qui se sert d’un accès initial, celui qui l’a établi, ou un tiers ?

Lindsay Kaye : Les acteurs de la menace connus sous le nom de courtiers en accès initiaux [ou Initial Access Broker, IAB, N.D.L.R.] obtiennent souvent l’accès et le vendent à d’autres acteurs de la menace. Toutefois, celui qui obtient l’accès initial peut aussi être celui qui l’utilise ensuite, selon l’acteur et les objectifs de l’attaque.

LeMagIT : Combien de temps s’écoule-t-il généralement entre le moment où un accès initial est établi et le moment où il est utilisé pour lancer une cyberattaque ?

Lindsay Kaye : Ce délai est extrêmement variable en fonction de l’attaquant et des objectifs de l’attaque.

LeMagIT : Quels peuvent être les premiers signaux observables de l’établissement d’un accès initial dans le réseau d’une entreprise ?

Lindsay Kaye : Parmi les premiers signaux observables d’un accès initial, on peut citer les connexions à des services ou à des ressources à distance à partir d’adresses IP inattendues, les connexions légitimes à des ressources à des moments inattendus ou à partir d’une adresse IP inattendue ou, dans le cas de l’exploitation d’une vulnérabilité, tout artefact spécifique associé à cette vulnérabilité.

LeMagIT : Comment peut-on les détecter ?

Lindsay Kaye : La meilleure façon de détecter un accès initial est de consulter les journaux [ou logs, N.D.L.R.], y compris ceux des équipements réseau et des applications, afin de rechercher des connexions ou des comportements anormaux.

Le phishing peut être suivi du téléchargement par la victime d’un dropper ou d’un autre outil malveillant. Ainsi, la création d’un fichier suspect (déterminé par son condensat ou son comportement) sur la machine de la victime et tout contact avec des domaines ou des adresses IP suspects ou réputés malveillants peuvent indiquer qu’un accès initial a été obtenu.

LeMagIT : Comment empêcher l’établissement d’un accès initial ?

Lindsay Kaye : Corrigez les vulnérabilités des systèmes tournés vers l’extérieur, en particulier celles que les acteurs de la menace exploitent dans la nature pour obtenir un accès initial.

Veillez à ce que les ressources et les comptes du réseau aient des mots de passe forts, à ce que la journalisation soit activée et surveillée pour détecter les accès suspects, à ce que les comptes d’utilisateur aient les privilèges appropriés et à ce que les comptes soient désactivés lorsqu’ils ne sont plus nécessaires.

Formez les utilisateurs à identifier les courriels suspects ou les techniques d’hameçonnage qui peuvent être utilisés par les acteurs de la menace.