On Oz
Cyber Kill Chain : comprendre l’attaquant pour mieux le bloquer
06/10/2019

Cyber Kill Chain : comprendre l’attaquant pour mieux le bloquer

L’attaquant doit mener toute une série d’actions pour conduire son opération. Un équipementier de défense américain, Lockheed Martin, a modélisé cette séquence afin de mieux comprendre comment perturber l’agresseur en fonction des différentes étapes de son attaque.

Comprendre la Cyber Kill Chain aide à mettre en œuvre une défense en profondeur.

Le concept de « Kill Chain » nous vient d’abord du monde militaire : il décrit les différentes étapes nécessaires à la réussite d’une opération, depuis la sélection et la reconnaissance de l’objectif jusqu’à la destruction de la cible.

Comme d’autres concepts militaires (la boucle OODA, notamment), celui de la Kill Chain a été adapté avec succès aux affrontements virtuels. C’est l’équipementier américain Lockheed Martin qui, le premier, a proposé un modèle de Kill Chain adapté aux cyberattaques. Il ne s’agissait évidemment pas là de favoriser l’attaque, mais plutôt « de modéliser clairement les contraintes de l’attaquant à chaque étape de son opération pour mieux savoir où et comment le perturber », explique Arnaud Lemaire, Directeur technique chez F5.

La Kill Chain de Lockheed Martin contient sept étapes, de la reconnaissance à l’action finale, en passant notamment par la transmission des codes malveillants et l’exploitation des vulnérabilités. À chacune de ces étapes correspondent des outils et de bonnes pratiques de sécurité pour les contrer.

Cette approche permet, notamment, de mieux structurer la collecte d’information sécurité : « Collecter des signaux faibles et comprendre en quoi ils peuvent être associés aux premières étapes d’une attaque en cours est vital pour les entreprises », explique Julien Chamonal, Directeur des ventes chez Varonis.

Et si le modèle de la Kill Chain cyber ne fait pas toujours l’unanimité (pour Grégory Cardiet, directeur de l’ingénierie sécurité chez Vectra AI, il s’agit d’un « concept intéressant pour expliquer les phases d’une attaque à des gens qui ne connaissent pas la cybersécurité, mais complètement inutile pour les entreprises qui cherchent des méthodologies pour améliorer leur posture de sécurité »), il n’en demeure pas moins une « checklist » qui peut s’avérer bien utile pour s’assurer qu’il n’y a pas de trous dans la raquette ! Et comme le conseille Grégory Cardiet, il gagnera à être associé à un framework tel Mitre Att&ck pour devenir un sérieux outil de pilotage de la sécurité en entreprise.

Nos autres billets d'humeur...
09/10/2019

Cybersécurité : l’heure de la concorde public-privé ?

La cybersécurité a pour particularité qu’elle ne fait pas grande distinction entre les besoins de protection des entreprises et ceux des intérêts vitaux de la Nation. Les uns on...

06/10/2019

Comptes à privilèges : l’incroyable oubli !

On pourrait imaginer que les comptes utilisateurs qui donnent accès aux systèmes les plus sensibles de l’entreprise sont les mieux protégés. Hélas, c’est loin d’être toujours le...

06/10/2019

Zero Trust : penser la sécurité autrement

Imaginé par Google, le modèle de sécurité Zero Trust prend le contre-pied des habitudes courantes : le réseau « privé » n’existe plus, et tout est accessible de partout. De quoi...

06/10/2019

Orchestration et automatisation : deux piliers de la gestion des incidents au service du SOC

Face à l’augmentation du nombre d’incidents à traiter et à la difficulté à recruter des profils experts en nombre suffisant, les SOC doivent se tourner vers d’autres stratégies...

06/10/2019

Office 365 : nouvelle cible préférée des pirates ?

De tout temps, les criminels ont suivi les évolutions de leurs victimes. Aujourd’hui, alors que les entreprises migrent massivement vers le Cloud public en général et vers l’off...

06/10/2019

L’espionnage : un risque à prendre à compte pour les entreprises

Alors que les attaques par rançongiciel ou les escroqueries purement financières font la Une de l’actualité, le risque d’espionnage, par nature moins visible, a parfois du mal à...

06/10/2019

Le DevSecOps : l’alliance indispensable de la sécurité, du code et de l’infrastructure

Si jadis les trois ne se parlaient pas vraiment, il est désormais indispensable d’associer la sécurité aux développeurs et aux exploitants de l’infrastructure pour assurer une m...

06/10/2019

Attaques ciblées : quand les cybercriminels se professionnalisent

La montée en gamme des attaquants se traduit par des attaques plus ciblées, plus discrètes, motivées par un gain financier et conduites par des attaquants de très bon niveau.