Barracuda full logo

Breaking the cyber kill chain with AI

Thèmes:
18 juil. 2024
|
Christine Barry

Nous avons terminé nos deux séries sur le rôle de l’IA dans les attaques malicieuses et les défenses sophistiquées. Dans ce blog, nous allons explorer le framework cyber kill chain et la puissance que procure l’IA ajoutée à l’ensemble.

Qu’est-ce que le framework cyber kill chain ?

Les termes « cyber kill chain » et « framework cyber kill chain » sont souvent employés de manière interchangeable, mais il existe des différences subtiles entre les deux. La cyber kill chain est un modèle développé par Lockheed Martin en 2011. Il décrit la structure et le déroulement d’une attaque, depuis l’identification de la cible jusqu’à l’exécution de la mission. Il s’inspire de la doctrine militaire de la « kill chain », qui décrit les étapes nécessaires à l’identification et à la neutralisation d’une cible.

Ce modèle fournit une vue d’ensemble du processus d’attaque en sept étapes distinctes :

  1. Reconnaissance : collecter les informations sur la cible.
  2. Armement : créer une charge utile malveillante.
  3. Diffusion : transmettre la charge utile à la cible.
  4. Exploitation : exploiter une vulnérabilité pour exécuter la charge utile.
  5. Installation : installer un malware sur le système cible.
  6. Commande et contrôle (C2) : établir la communication avec le système compromis.
  7. Actions sur les objectifs : lancer les activités malveillantes prévues, telles que le vol de données ou la perturbation du système.

Quant au « framework cyber kill chain », nous pourrions le décrire comme une version active et opérationnalisée de la cyber kill chain. Il est le résultat d’initiatives collaboratives de la communauté de la cybersécurité visant à étendre le modèle de Lockheed Martin en y incorporant des détails et des aspects liés aux cyberattaques modernes. Afin de suivre à la lettre les étapes de la cyber kill chain, le framework étendu ajoute quatre composants à chacune d’entre elles :

  1. Mécanismes de détection : outils et technologies permettant d’identifier les menaces à chaque étape de la kill chain, tels que les systèmes de détection d’intrusion (IDS), les systèmes de détection et de réponse au niveau des points de terminaison (EDR) et les plateformes de renseignement sur les menaces.
  2. Processus d’analyse : méthodes d’analyse des menaces et de compréhension du comportement des pirates, y compris l’analyse légale, l’analyse comportementale et les modèles de machine learning.
  3. Stratégies de réponse : Procédures définies pour répondre aux menaces, telles que les plans de réponse aux incidents, les mécanismes de réponse automatisés et les activités de chasse aux menaces.
  4. Amélioration continue : efforts continus visant à affiner et à améliorer le framework en fonction des menaces émergentes et des enseignements tirés des incidents précédents.

Les entreprises peuvent adapter un framework à l’environnement, aux facteurs de risque, au type d’attaque, etc. Prenons un exemple en appliquant le framework à deux scénarios d’attaque par ransomware. Dans le tableau ci-dessous, nous comparons une attaque via une intrusion de firewall à une attaque via une pièce jointe à un e-mail malicieux :

 

Intrusion de firewall

Pièce jointe d’un email malveillant

Étape 1 : Reconnaissance

Détection : identifier les activités de balayage ciblant les vulnérabilités des firewalls.

Analyse : configurer le scan afin de détecter les ports ouverts et les points faibles du firewall.

Réponse : bloquer les adresses IP associées au scan et mettre à jour des règles de firewall pour corriger les vulnérabilités.

Amélioration continue : améliorer les renseignements sur les menaces pour reconnaître les schémas de balayage similaires à l’avenir.

Détection : identifier les e-mails de phishing et les activités suspectes.

Analyse : identifier les e-mails ayant pour but d‘envoyer des pièces jointes frauduleuses.

Réponse : bloquer les adresses e-mail et les domaines suspects.

Amélioration continue : améliorer le filtrage des e-mails et du renseignement sur les menaces.

Étape 2 : Armement

Détection : constater la création d’une charge utile malveillante conçue pour exploiter la vulnérabilité du firewall.

Analyse : comprendre comment la charge utile a été conçue pour propager un ransomware une fois à l’intérieur du réseau.

Réponse : élaborer des contre-mesures pour la charge utile identifiée et partager les renseignements avec les équipes de sécurité.

Amélioration continue : mettre à jour les signatures des malwares et des stratégies de défense en fonction des nouvelles informations de charge utile.

Détection: détecter la création d’une pièce jointe malveillante.

Analyse : comprendre comment la pièce jointe a été conçue pour diffuser un ransomware.

Réponse : élaborer des contre-mesures pour les pièces jointes détectées.

Amélioration continue : mettre à jour les signatures des malwares et des stratégies de défense.

Étape 3 : Livraison

Détection : détecter la transmission de la charge utile malveillante par le biais d’un port ouvert dans le firewall.

Analyse : analyser la méthode de diffusion, par exemple par le biais d’e-mails de spear-phishing ou d’une connexion directe au réseau.

Réponse : bloquer la tentative de diffusion et informer les utilisateurs ou les systèmes concernés.

Amélioration continue : renforcer la sécurité des e-mails et la surveillance du réseau afin de détecter les futures tentatives de diffusion.

Détection : détecter l’e-mail contenant la pièce jointe malveillante.

Analyse : analyser le mode de distribution de l’e-mail et de ses caractéristiques de phishing.

Réponse : bloquer l’e-mail et mettre en quarantaine la pièce jointe.

Amélioration continue : renforcer la sécurité des e-mails et la formation de sensibilisation au phishing.

Étape 4 : Exploitation

Détection : identifier les tentatives d’exploitation de la vulnérabilité du firewall.

Analyse : évaluer la nature de l’exploit et son impact sur le firewall et le réseau.

Réponse : corriger la vulnérabilité du firewall et isoler les systèmes concernés.

Amélioration continue : améliorer la gestion des vulnérabilités et des processus de correction afin de réduire l’exposition.

Détection : identifier la tentative d’exploitation lors de l’ouverture de la pièce jointe.

Analyse : évaluer l’exploit et la manière dont il compromet le système de l’utilisateur.

Réponse : isoler le système concerné et informer l’utilisateur.

Amélioration continue : améliorer la formation des utilisateurs et les processus de correction pour réduire les vulnérabilités.

Étape 5 : Installation

Détection : détecter l’installation d’un ransomware sur un système compromis.

Analyse : comprendre le comportement du ransomware et comment il se propage dans le réseau.

Réponse : éliminer le ransomware, restaurer les systèmes affectés à partir des backups et utiliser le sandboxing pour analyser le malware.

Amélioration continue : améliorer la protection des points d’accès et surveiller les tentatives d’installation similaires à l’avenir.

Détection : détecter l’installation d’un ransomware sur le système de l’utilisateur.

Analyse : comprendre le comportement du ransomware et de son mode de propagation au sein du réseau.

Réponse : éliminer le ransomware et restaurer les systèmes à partir des backups.

Amélioration continue : améliorer la protection et la surveillance des points de terminaison.

Étape 6 : Commande et contrôle (C2)

Détection : identifier les communications C2 entre le système compromis et le serveur du pirate.

Analyse : déchiffrer les protocoles C2 et les commandes utilisées par le pirate.

Réponse : bloquer le trafic C2, interrompre le canal de communication et informer les parties concernées.

Amélioration continue : renforcer les capacités de surveillance du réseau et de détection C2 afin de prévenir les incidents futurs.

Étape 7 : Actions et objectifs

Détection : détecter les tentatives du ransomware visant à chiffrer les données et les fichiers critiques.

Analyse : comprendre les méthodes de chiffrement du ransomware et identifier les données affectées.

Réponse : contenir l’attaque, arrêter le processus de chiffrement et récupérer les données à partir de backups sécurisés.

Amélioration continue : mettre en place des mesures renforcées de protection des données, telles que des backups réguliers et des contrôles des accès améliorés.

 

Notre récent e-book sur le rôle de l’IA dans la cybersécurité présente un exemple de framework cyber kill chain pour ransomware.  

Dans cette présentation générale, les quatre composants du framework se chevauchent de plus en plus à mesure que l’attaque progresse, et il n’y a aucune différence significative au cours des deux dernières étapes. Les frameworks facilitent la visualisation des attaques et des défenses, ce qui vous permet d’élaborer une stratégie de sécurité globale à l’échelle de l’entreprise.

L’IA et le cadre de la cyber kill chain

Maintenant que nous avons décomposé chaque élément d’étape du framework, nous pouvons voir comment les capacités d’IA sont directement liées à chaque fonction. Nous limiterons cet exemple aux deux premières étapes du framework :

Étape 1 : Reconnaissance

  1. Détection : les systèmes de détection d’intrusion (IDS) alimentés par l’IA utilisent le machine learning pour identifier les activités de balayage inhabituelles et les anomalies du trafic réseau.
  2. Analyse : les modèles d’IA sont utilisés pour classer et hiérarchiser les menaces de reconnaissance potentielles. Ces modèles s’appuient sur des renseignements intégrés sur les menaces qui mettent en corrélation les données de menaces provenant de plusieurs sources.
  3. Réponse : l’automatisation pilotée par l’IA met en œuvre des contre-mesures, comme le blocage des adresses IP suspectes et la mise à jour des règles de firewall en temps réel
  4. Amélioration continue : les algorithmes de machine learning et les modèles adaptatifs affinent les capacités de détection et mettent à jour les modèles en fonction des retours d’information des tentatives de reconnaissance précédentes.

Étape 2 : Armement

  1. Détection : les sandbox d’analyse des malwares optimisés par l’IA détectent les fichiers suspects et analysent leur comportement. Les capacités d’analyse du code utilisent du machine learning pour identifier les modèles de codes malveillants.
  2. Analyse : les modèles d’apprentissage profond simulent des attaques pour prédire les comportements des charges utiles, et les plateformes de renseignement sur les menaces mettent à jour les données en temps réel à toutes les étapes.
  3. Réponse : les systèmes automatisés distribuent les contre-mesures sur le réseau et les capacités de renseignement sur les menaces soutiennent les mises à jour des protocoles de sécurité.
  4. Amélioration continue : les boucles de feedback basées sur l’IA apprennent à partir de nouveaux échantillons de malwares pour affiner les algorithmes de détection et de prévention. Les renseignements sur les menaces sont utilisés pour mettre à jour les mesures de sécurité adaptatives.

Shifting left

L’intégration de l’IA à un framework complet de cyber kill chain améliore les chances de détection précoce et de prévention des perturbations. Une attaque détectée à l’étape 6 du framework sera plus difficile et plus coûteuse à atténuer qu’une attaque détectée à l’étape 3.

 

Détection d’une menace au stade 6 du framework cyber kill chain

Ireneusz Tarnowski, How to use cyber kill chain model to build cybersecurity

 

L’objectif des professionnels de la cybersécurité et du secteur de la sécurité est de « décaler vers la gauche » (shifting left), c’est-à-dire d’identifier et d’arrêter les attaques le plus tôt possible dans la chaîne.

 

Détection d'une attaque à l'étape 3 du cadre de la cyber kill chain

Ireneusz Tarnowski, How to use cyber kill chain model to build cybersecurity

 

Le « shift left » ou déplacement vers la gauche implique de renforcer la sécurité dès les étapes de reconnaissance et d’armement de la chaîne. Il peut s’agir de rechercher les vulnérabilités des applications, de déployer des contrôles des accès et des mécanismes d’authentification robustes, voire de surveiller le dark web pour détecter des menaces potentielles. Les capacités de renseignement sur les menaces facilitent ces mécanismes de détection précoce et l’apprentissage multi-étape nécessaire aux mises à jour continues des composants du framework à chaque étape.

Le shift left est une pratique importante car elle réduit la surface d’attaque exposée aux acteurs de la menace. Elle permet également de réagir plus rapidement aux menaces et de disposer d’une infrastructure de sécurité plus solide.

L’IA apporte des capacités de transformation à chaque étape de la cyber kill chain, améliorant de manière significative les défenses d’une entreprise contre les attaques avancées et les menaces de type zero-day. Les acteurs de la menace utilisant l’IA pour accélérer et multiplier leurs attaques, les professionnels de la sécurité n’ont pas d’autre choix que d’employer des défenses alimentées par l’IA. Grâce à ce framework, les équipes informatiques peuvent identifier les failles de sécurité et concentrer leurs efforts sur certaines étapes d’une séquence d’attaque.

Barracuda a publié un nouvel e-book intitulé Sécuriser demain : Guide du RSSI sur le rôle de l’IA dans la cybersécurité. Ce nouvel e-book explore les risques de sécurité et présente les vulnérabilités que les cybercriminels exploitent à l’aide de l’IA pour multiplier leurs attaques et décupler leurs taux de réussite. Accédez à votre exemplaire gratuit ici.

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 The Dark Side of GenAI: Strategic implications for cyber defense
The Dark Side of GenAI: Strategic implications for cyber defense
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
 Exploring AI adoption: From curiosity to clarity
Exploring AI adoption: From curiosity to clarity
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.