Cloud Hopper : une perspective de confiance zéro

Cloud Hopper, la campagne de piratage soupçonnée d'être orchestrée par des agents chinois parrainés par le gouvernement (affectueusement surnommée « APT10 »), s'est déroulée de 2014 à 2017 au moins et a touché de nombreuses entreprises occidentales dans divers secteurs. Cette collection spécifique de cyberespionnage était si importante qu'elle a continué à attirer l'attention des médias de sécurité et commerciaux en raison de l'ampleur de l'opération, de la diversité des organisations ciblées, du type d'informations collectées et, surtout, de la nature même de la violation initiale. Cloud Hopper a obtenu son nom désormais célèbre grâce à la compromission des victimes par les assaillants fournisseurs de services gérés (MSP), en les exploitant pour « passer » du « cloud » des MSP aux réseaux des entreprises cibles.

Il existe de nombreux excellents résumés et résumés détaillés de la violation, tels que le Opération Cloud Hopper rapport de PWC, qui fournit une analyse approfondie de la violation. Plutôt que de répéter les mêmes informations ici, nous allons examiner Cloud Hopper du point de vue d'un Confiance zéro cadre, et plus particulièrement sur la façon dont l'adoption de ce type d'approche de la sécurité aurait pu réduire l'efficacité des attaquants.

Forrester Research a introduit Zero Trust pour la première fois il y a près de dix ans, préconisant de passer d'une attitude de sécurité « faites confiance mais vérifiez » à une approche de sécurité « ne faites confiance à rien, surveillez tout, privilégiez le moindre privilège ». Cette évolution, qui consiste à s'appuyer sur un périmètre étendu pour protéger un ensemble de nombreux actifs à un périmètre où chaque actif est considéré comme une cible, vise à éliminer la confiance inhérente qui rend les entreprises plus vulnérables aux attaques.

Le Cadre Zero Trust repose sur sept piliers qui, lorsqu'ils sont combinés, fournissent une stratégie globale de sécurisation de l'entreprise. Il fournit également un point de départ utile pour analyser les raisons du succès d'une attaque et comprendre quel pilier aurait pu contribuer à contrecarrer l'attaque s'il avait été plus puissant. Comme vous le verrez, Cloud Hopper a connu un grand succès en raison de niveaux de confiance excessifs, que les attaquants ont pu exploiter lors d'une tempête parfaite de déficiences de contrôle.

Le point de départ, comme pour de nombreuses violations de données, était la compromission du pilier People. Lance très ciblée attaques de phishing a utilisé des documents adaptés à la fois au secteur de l'entreprise ciblée et à la fonction professionnelle de la personne qui reçoit le message. Cela a permis de garantir charge utile malveillante a été exécuté, permettant à l'attaquant de prendre pied dans le réseau du MSP et d'obtenir les informations d'identification d'une victime. De plus, si les victimes bénéficiaient d'un accès administratif, la « barrière à l'entrée » était encore réduite. À partir d'un Confiance zéro Dans cette perspective, l'accès privilégié doit être fourni « juste à temps » (uniquement pour la période requise, et supprimé lorsque l'accès n'est plus nécessaire) en fonction des besoins commerciaux approuvés par un système autorisé.

Le pilier suivant à tomber a été le Réseau. Le malware a effectué des reconnaissances sur le réseau de l'organisation, cartographié les principaux actifs, établi des points d'ancrage permanents et déterminé la manière la plus efficace d'atteindre sa cible. Dans le cas de Cloud Hopper, cela impliquait de tracer un chemin entre l'hôte compromis initial (souvent appelé « tête de pont ») sur le réseau MSP et la cible ultime dans l'environnement du client. Un autre élément clé du réseau était la capacité du malware à envoyer des informations et à recevoir des instructions via son environnement de commande et de contrôle (CNC ou C2) sur Internet. Ces deux phases, à savoir la reconnaissance via la traversée du réseau et les fonctionnalités d'appel à domicile, seront examinées séparément, car elles mettent en évidence les différents types de défaillances traités dans les principes de sécurité réseau du framework Zero Trust.

En premier lieu, le logiciel malveillant dépendait en grande partie de sa capacité à répondre à son infrastructure CNC, dans la mesure où il se supprimerait complètement en cas d'échec de cet accès. Les environnements de bureau, où les malwares sont le plus souvent diffusés, utilisent souvent des proxys Web pour accéder à Internet, étant donné que l'accès à Internet est essentiel à la productivité. Les organisations doivent faire très attention à la manière dont cet accès est géré, en veillant à ce que seuls les utilisateurs autorisés et authentifiés aient accès au proxy, et à ce que cet accès soit au niveau minimum afin que les utilisateurs puissent exercer leurs fonctions habituelles. Cependant, bien que ces contrôles soient correctement mis en œuvre, les attaquants n'ont qu'à enregistrer les domaines et les placer dans la catégorie légitime du fournisseur de filtrage Web afin de contourner ces contrôles au niveau du proxy. Dans de tels cas, l'enregistrement et la surveillance de tous les accès au Web devraient être obligatoires et liés à certaines analyses comportementales de l'utilisateur final, de sorte que les écarts par rapport à l'activité normale puissent être identifiés et étudiés.

La véritable clé du succès de Cloud Hopper était la capacité des attaquants à se déplacer latéralement.

Mais la véritable clé du succès de Cloud Hopper était la capacité de les attaquants doivent se déplacer latéralement au sein de chaque réseau MSP, avec peu de restrictions. Cela leur a permis de créer rapidement une carte des hôtes, des processus et des ports disponibles susceptibles d'être exploités, et de déterminer lequel était le plus approprié à exploiter lors de la prochaine phase de l'attaque. Pour utiliser une expression militaire, cette campagne est souvent décrite comme une campagne « d'île en île » par les cyberprofessionnels. La collecte réussie d'informations d'identification d'utilisateurs privilégiés et d'un accès réseau relativement illimité a permis aux attaquants d'accéder aux systèmes d'une manière qui semblait légitime, en utilisant des protocoles de gestion courants, leur permettant de passer inaperçus. La reconnaissance du réseau relativement simple a permis d'identifier facilement les hôtes de saut qui permettaient au MSP d'accéder au réseau de chaque client, d'où les attaquants pouvaient accéder aux véritables cibles de leurs efforts.

Il s'agit d'une fusion de l'échec des piliers Zero Trust pour les appareils, les réseaux et les charges de travail. Réseaux plats — les réseaux peu ou pas segmentés — constituent un terrain de jeu pour l'adversaire et cette situation n'a pas fait exception. L'absence de segmentation ou de surveillance adéquate sur le réseau interne du MSP a permis aux attaquants de se déplacer sans effort et sans être détectés. La segmentation aurait empêché les attaquants de cartographier le réseau, d'identifier les chemins ouverts ou de se déplacer, sauf dans les cas explicitement autorisés par la politique. La visibilité de l'ensemble du trafic réseau aurait permis de mieux comprendre les mouvements de l'attaquant, ce qui aurait pu déclencher une enquête suffisamment tôt pour stopper l'attaque avant qu'elle ne trouve ses données cibles. Les principaux actifs tels que les serveurs de saut (également appelés hôtes bastions) étaient connectés à la fois aux réseaux du MSP et des clients, mais n'étaient pas suffisamment sécurisés en termes d'accès réseau ou utilisateur. L'imposition d'une forme quelconque de gestion des accès privilégiés pour tous les accès aux serveurs de saut aurait considérablement limité la capacité des attaquants à pénétrer les réseaux clients.

L'attaque Cloud Hopper met en lumière l'échec de plusieurs contrôles de sécurité clés et renforce la nécessité d'adopter une approche différente de la sécurité, une approche dans laquelle les entreprises partent du principe que la probabilité d'une violation est de 100 % et conçoivent leurs environnements de manière à être en mesure de détecter rapidement une violation et de minimiser son impact. Compte tenu de la façon dont les attaquants avancés opèrent, l'approche la plus prudente est celle où, à partir de zéro, tout est construit à partir de principe du moindre privilège — une approche Zero Trust en matière de sécurité.