Tout comme lors d'une reconnaissance avant une agression physique, les assaillants recueillent souvent des informations avant une cyberattaque.
Les cybercriminels ne se promènent pas pour annoncer leur présence. Ils frappent de la manière la plus modeste. Vous pourriez donner à un attaquant des informations sur votre système sans même le savoir.
Et si vous ne leur fournissez pas les informations, ils peuvent les obtenir ailleurs sans votre permission - non grâce aux attaques de reconnaissance. Sécurisez votre système en apprenant davantage sur les attaques de reconnaissance, leur fonctionnement et comment vous pouvez les prévenir.
Qu'est-ce qu'une attaque de reconnaissance?
La reconnaissance est un processus de collecte d'informations sur un système pour identifier les vulnérabilités. Initialement une technique de piratage éthique, il a permis aux propriétaires de réseaux de mieux sécuriser leurs systèmes après avoir identifié leurs failles de sécurité.
Au fil des ans, la reconnaissance est passée d'une procédure de piratage éthique à un mécanisme de cyberattaque. Une attaque de reconnaissance est un processus par lequel un pirate joue le rôle d'un détective infiltré pour pêcher informations sur leurs systèmes cibles, puis utiliser ces informations pour identifier les vulnérabilités avant leur attaques.
Types d'attaques de reconnaissance
Il existe deux types d'attaques de reconnaissance: actives et passives.
1. Reconnaissance active
En reconnaissance active, l'attaquant s'engage activement avec la cible. Ils communiquent avec vous juste pour obtenir des informations sur votre système. La reconnaissance active est assez efficace car elle donne à l'attaquant des informations précieuses sur votre système.
Voici les techniques de reconnaissance active.
Ingénierie sociale
L'ingénierie sociale est un processus par lequel un acteur de cybermenace manipule des cibles pour révéler des informations confidentielles pour eux. Ils peuvent vous contacter en ligne via des chats instantanés, des e-mails et d'autres moyens interactifs pour établir une connexion avec vous. Une fois qu'ils vous auront conquis, ils vous feront divulguer des informations sensibles sur votre système ou vous inciteront à ouvrir un fichier infecté par un logiciel malveillant qui compromettra votre réseau.
L'empreinte active est une méthode qui implique qu'un intrus prend des mesures délibérées pour recueillir des informations sur votre système, son infrastructure de sécurité et l'engagement des utilisateurs. Ils récupèrent vos adresses IP, adresses e-mail actives, informations sur le système de noms de domaine (DNS), etc.
L'empreinte active peut être automatisée. Dans ce cas, l'auteur de la menace utilise des outils tels qu'un mappeur de réseau (Nmap), une plate-forme open source qui donne un aperçu des services et des hôtes exécutés sur un réseau, pour obtenir des informations vitales sur votre système.
Balayage des ports
Les ports sont des zones par lesquelles les informations passent d'un programme informatique ou d'un périphérique à un autre. Dans l'analyse des ports, l'acteur de la menace analyse les ports de votre réseau pour identifier ceux qui sont ouverts. Ils utilisent un scanner de ports pour détecter les services actifs sur votre réseau tels que les hôtes et les adresses IP, puis s'introduisent via les ports ouverts.
Une analyse approfondie des ports donne à un attaquant toutes les informations nécessaires sur la sécurité de votre réseau.
2. Reconnaissance passive
Dans la reconnaissance passive, l'attaquant ne s'engage pas directement avec vous ou votre système. Ils font leur enquête à distance, en surveillant le trafic et les interactions sur votre réseau.
Un acteur menaçant dans la reconnaissance passive se tourne vers des plateformes publiques telles que des moteurs de recherche et des référentiels en ligne pour obtenir des informations sur votre système.
Les stratégies de reconnaissance passive comprennent les éléments suivants.
Intelligence Open Source
L'intelligence open source (OSINT), à ne pas confondu avec les logiciels open source, fait référence à la collecte et à l'analyse de données provenant de lieux publics. Les personnes et les réseaux diffusent leurs informations sur le Web, intentionnellement ou non. Un acteur de reconnaissance pourrait utiliser OSINT pour récupérer des informations précieuses sur votre système.
Les moteurs de recherche comme Google, Yahoo et Bing sont les premiers outils qui viennent à l'esprit lorsque vous parlez de plates-formes open source, mais l'open source va au-delà. Il existe de nombreuses ressources en ligne que les moteurs de recherche ne couvrent pas en raison de restrictions de connexion et d'autres facteurs de sécurité.
Comme mentionné précédemment, l'empreinte est une technique de collecte d'informations sur une cible. Mais dans ce cas, les activités sont passives, ce qui signifie qu'il n'y a pas d'interaction ou d'engagement direct. L'attaquant mène son enquête à distance, vous surveillant sur les moteurs de recherche, les médias sociaux et d'autres référentiels en ligne.
Pour obtenir des informations concrètes à partir de l'empreinte passive, un attaquant ne s'appuie pas uniquement sur des plates-formes populaires telles que les moteurs de recherche et les médias sociaux. Ils utilisent des outils comme Wireshark et Shodan pour obtenir des informations supplémentaires qui peuvent ne pas être disponibles sur les plateformes populaires.
Comment fonctionnent les attaques de reconnaissance?
Quel que soit le type de stratégie de reconnaissance qu'un attaquant utilise, il opère selon un ensemble de directives. Les deux premières étapes sont passives tandis que les autres sont actives.
1. Collecter des données sur la cible
La collecte de données sur la cible est la première étape d'une attaque de reconnaissance. L'intrus est passif à ce stade. Ils font leurs recherches à distance, obtenant des informations sur votre système dans l'espace public.
2. Définir la portée du réseau cible
Votre système peut être plus grand ou plus petit qu'il n'y paraît. Définir sa portée donne à l'attaquant une idée claire de sa taille et le guide dans l'exécution de ses plans. Ils prennent note des différents domaines de votre réseau et décrivent les ressources dont ils ont besoin pour couvrir leurs domaines d'intérêt.
À ce stade, l'auteur de la menace recherche des outils actifs dans votre système et vous engage via ces outils pour obtenir des informations importantes de votre part. Les exemples d'outils actifs incluent les adresses e-mail fonctionnelles, les comptes de médias sociaux, les numéros de téléphone, etc.
4. Localiser les ports ouverts et les points d'accès
L'attaquant comprend qu'il ne peut pas entrer par magie dans votre système, il localise donc les points d'accès et ouvre les ports par lesquels il peut entrer. Ils déploient des techniques telles que l'analyse des ports pour identifier les ports ouverts et d'autres points d'accès afin d'obtenir un accès non autorisé.
5. Identifier le système d'exploitation de la cible
Étant donné que divers systèmes d'exploitation ont des infrastructures de sécurité différentes, les cybercriminels doivent identifier le système d'exploitation spécifique avec lequel ils ont affaire. De cette façon, ils peuvent mettre en œuvre les techniques appropriées pour contourner les défenses de sécurité en place.
6. Aperçu des services sur les ports
Les services sur vos ports ont un accès autorisé à votre réseau. L'attaquant intercepte ces services et se fraye un chemin comme ces services le feraient normalement. S'ils y parviennent efficacement, vous ne remarquerez peut-être aucune intrusion.
7. Cartographier le réseau
À ce stade, l'attaquant est déjà à l'intérieur de votre système. Ils utilisent la cartographie du réseau pour avoir une visibilité complète de votre réseau. Grâce à ce mécanisme, ils peuvent localiser et récupérer vos données critiques. L'attaquant a le contrôle total de votre réseau à ce stade et peut faire ce qu'il veut.
Comment prévenir les attaques de reconnaissance
Les attaques de reconnaissance ne sont pas invincibles. Il existe des mesures que vous pouvez prendre pour les prévenir. Ces mesures comprennent les suivantes.
1. Sécurisez vos terminaux avec EDR
Les ports par lesquels un acteur de reconnaissance accède à votre réseau font partie de ses terminaux. La mise en œuvre d'une sécurité plus stricte dans les zones avec systèmes de sécurité des terminaux tels que la détection et la réponse aux points finaux (EDR) les rendront moins accessibles aux intrus.
Étant donné qu'un EDR efficace a automatisé la surveillance en temps réel et l'analyse des données pour parer aux menaces, il résistera aux efforts de reconnaissance de l'attaquant pour obtenir un accès non autorisé via vos ports.
2. Identifiez les vulnérabilités grâce aux tests d'intrusion
Les cyberattaquants exploitent les vulnérabilités des systèmes. Prenez l'initiative de découvrir les vulnérabilités qui peuvent exister dans votre système avant que les criminels ne les découvrent. Vous pouvez le faire avec un test d'intrusion.
Portez les chaussures du pirate informatique et lancez une attaque éthique sur votre système. Cela vous aidera à découvrir les failles de sécurité qui se trouveraient normalement dans vos angles morts.
3. Adoptez des systèmes de cybersécurité intégrés
Les acteurs de la menace déploient toutes sortes de technologies pour lancer des cyberattaques avec succès. Un moyen efficace de prévenir ces attaques consiste à tirer parti des solutions de cybersécurité intégrées.
Les systèmes avancés tels que la gestion des informations et des événements de sécurité (SIEM) offrent une sécurité complète pour sécuriser vos actifs numériques. Ils sont programmés pour détecter et arrêter les menaces avant qu'elles ne causent des dommages importants à votre réseau.
Soyez proactif pour prévenir les attaques de reconnaissance
Les cybercriminels ont peut-être perfectionné leurs bouffonneries dans les attaques de reconnaissance, mais vous pouvez repousser en solidifiant vos défenses. Comme pour la plupart des attaques, il vaut mieux sécuriser votre système contre les attaques de reconnaissance en étant proactif avec votre sécurité.
