Dans les articles précédents, notre hacker avait pris le contrôle d’un ordinateur appartenant à une employée des comptes payables et recevables.
Le seul moyen de stopper ce hacker avait été pour nous de détecter le vecteur initial de compromission (grâce à des technologies d’analyses comportementales des programmes téléchargés et exécutés).
Au-delà du vecteur initial de compromission, le hacker n’avait utilisé que des commandes «légitimes» et donc indétectables avec des solutions anti-virus.
Parfois les hackers sont moins chanceux : Ils prennent le contrôle d’un ordinateur appartenant à un employé dont les droits sont limités.
Pour atteindre leurs objectifs, ils doivent alors explorer l'environnement informatique de l'entreprise à la recherche de failles qui pourraient les aider à augmenter leurs droits :
- Ils essaient de s’authentifier à des comptes et services
- Ils se connectent avec plusieurs identifiants sur le même ordinateur
- Ils se connectent à plusieurs ordinateurs avec le même compte
- Ils se connectent en dehors des heures de travail
- Etc.
Ce qu'il faut comprendre c'est que lorsqu’un hacker essaie d’augmenter ses droits le comportement des comptes et des ordinateurs compromis n'est pas normal.
Conscients de cela et avec l’émergence du «Big Data» des sociétés comme Microsoft (ATA), Rapid7 (User Insight / UBA) et Splunk (UBA) ont développé des solutions capables d’analyser le comportement normal d'un environnement informatique et de soulever des alertes lorsqu'un comportement anormal est détecté.
Le concept est simple
Vous intégrez toutes vos sources de logs dans ces solutions :
Et elles vous informent dès qu’un évènement suspect apparait :
La magie de ces solutions c’est qu’aucune règle ne doit être configurées. Ces solutions se configurent par elles mêmes grâce à l'intelligence artificielle.
Avec des efforts limités il est donc possible de détecter les hackers essayant d’augmenter leurs privilèges dans votre environnement.
Il est a noté, que bien que ces solutions peuvent détecter les comportements anormaux. Elles ne vous seront d'aucune utilité si les alertes ne sont pas correctement interprétées par une personne comprenant les techniques utilisées par les hackers.
Des questions concernant cet article?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com