Fortinet modélise la Cyber Kill Chain pour contrer les attaques en progression

Fortinet,
Qu'est-ce que Brand Voice ?
Linkedin

Grâce à l’examen détaillé d’une cyberattaque, Fortinet trace les vulnérabilités exploitées, et signale les outils pertinents, étape par étape, pour se prémunir de fuites de données numériques.

Suivant un scénario d’attaque/défense sur une société fictive, Guillaume Cherruau et François Vinel, deux ingénieurs avant-vente de Fortinet ont proposé une démonstration concrète du vol d’identifiants et de leur commercialisation à l’occasion du récent Silicon Day Cybersécurité. En modélisant chaque étape de la Cyber Kill Chain, ils ont analysé l’attaque, vérifié les brèches retenues et montré les outils de défense complémentaires pour y faire face.

La phase de reconnaissance intervient avant même l’attaque. Durant cette première étape, l’attaquant s’appuie sur le social engineering, sur les réseaux sociaux, articles de presse, sites Web d’entreprise et recherches de fichiers via le web. La simple détection d’une adresse e-mail, à joindre en cas d’erreur de livraison, peut être mise à profit.

L’outillage consiste à retenir, parmi une kyrielle de frameworks et de malwares personnalisables, les briques logiciels à réunir pour mener une attaque ciblée. Par exemple, l’outil evil-pdf pourra incruster un keylogger (un logiciel malveillant d’interception de frappes au clavier), au sein d’un fichier bureautique. L’attaquant n’a plus qu’à préparer son email, en se faisant passer pour un manager et en exigeant, dès que possible, une intervention sur l’erreur de livraison jointe.

Face à cette stratégie offensive, l’entreprise peut recourir aux services de pentest, s’équiper de scanners de vulnérabilités ou faire appel aux services SaaS FortiRecon ; dans ce dernier cas, une console de supervision améliore la visibilité sur les attaques en cours, précisant les comptes ciblés. Mieux, elle aide à réduire les risques numériques, grâce à une liste d’actions correctives.

Pendant l’attaque, le malware est remis à la victime par téléchargement automatique, ou via une clé USB infectée ou encore via un simple e-mail ; c’est la phase de delivery. L’attaque peut être bloquée à ce stade par un moteur antivirus. Pour lutter contre le phishing, FortiMail identifie les messages malicieux et leurs attachements suspects, rejetés automatiquement.

La phase d’exploitation détermine les dégâts résultant de l’attaque. Les mécanismes exploités sont le centre de Command and Control pour exfiltrer des fichiers partagés, le Reverse Shell pour gagner un accès distant à un poste client, ou le keylogger pour récupérer les identifiants saisis au clavier. Un logiciel EDR (Endpoint Detection and Response) bloquera ces malwares, FortiEDR offrant des défenses en prévention, en temps réel, et en réponse sur incident.

La dernière étape consiste à mener les bonnes actions, selon les motivations de l’attaquant. Pour se prémunir de la fuite de mots de passe et de leur commercialisation, la console FortiRecon améliore la posture de sécurité, dès la détection d’une tentative de vol d’identifiants.

Retrouvez en replay la slot Fortinet lié à l’évènement Silicon Day Cybersécurité