Qu'est-ce que l'APA (Attack Path Analysis) ?

L'analyse du chemin d'attaque (APA) identifie les voies d'accès potentielles que les attaquants pourraient emprunter pour infiltrer votre réseau ou votre système. 

En cartographiant les chemins d'attaque, vous pouvez mieux comprendre comment les vulnérabilités, les mauvaises configurations et les autorisations associées aux assets et aux identités sur votre réseau se combinent pour créer des scénarios d'exploitabilité.

Cette approche de la cyber-sécurité utilise souvent des graphiques d'attaques pour illustrer les liens entre les ressources compromises et leur impact potentiel sur les assets critiques. Dans sa forme la plus simple, l'APA vous aidera à :

• Comprendre la relation entre les assets, les identités et les risques que les attaquants peuvent exploiter pour compromettre les assets les plus précieux.
• Identifier les risques, les techniques ou les points d'engorgement spécifiques d'un chemin d'attaque pouvant être exploité afin de stopper la chaîne d'attaque et bloquer un ou plusieurs chemins d'attaque en même temps. 
• Recommander les correctifs, les changements de configuration ou les actions spécifiques à mettre en œuvre pour réduire le risque.

Pour vous montrer plus judicieux que les attaquants, vous devez adopter leur point de vue. L'APA est importante parce qu'elle vous permet de visualiser dans l'ordre toutes les étapes qu'un attaquant pourrait suivre pour compromettre vos systèmes. Elle met en évidence les moyens que les attaquants peuvent utiliser pour accéder à votre surface d'attaque, se déplacer latéralement, élever leurs privilèges et atteindre le résultat escompté, comme la perturbation des services, l'exfiltration de données sensibles ou la prise en otage d'un réseau ou de données contre une rançon. 

Grâce à l'APA, vos équipes de sécurité peuvent prendre des mesures proactives pour agir de manière décisive et renforcer vos défenses en matière de cyber-sécurité.

• Une surface d'attaque comprend de nombreux points faibles par lesquels un attaquant peut exploiter vos assets numériques, des systèmes externes aux identités et vulnérabilités. Elle varie en fonction de la taille de votre entreprise, de son secteur d'activité et de sa pile technologique.
• Les vecteurs d'attaque sont des techniques que les attaquants peuvent utiliser pour exploiter une vulnérabilité, une mauvaise configuration ou des autorisations excessives sur votre surface d'attaque. Ces vecteurs peuvent être des vulnérabilités logicielles non corrigées, des mauvaises configurations, des malwares, des identités compromises, etc.
• Les chemins d'attaque représentent les relations entre les assets, les identités et les risques qu'un attaquant peut exploiter de manière séquentielle pour obtenir un accès, se déplacer latéralement et atteindre le résultat escompté.

L'analyse du chemin d'attaque s'aligne en partie sur le cadre MITRE ATT&CK, qui catégorise les tactiques, techniques et procédures (TTP) des adversaires. L'APA complète ce cadre en :

• identifiant les TTP mises en avant par le cadre MITRE ATT&CK que les attaquants peuvent exploiter dans votre environnement 
• identifiant les combinaisons de TTP qu'un attaquant peut exploiter ;
• éclairant les stratégies d'atténuation pour les techniques hautement prioritaires.

En intégrant l'APA au cadre MITRE ATT&CK, vous pouvez combler les écarts entre la modélisation théorique des menaces et les mesures de sécurité pouvant être mises en place.

1. Utilisation des chemins d'attaque pour démontrer visuellement l'impact potentiel, valider et prioriser les besoins en matière de gestion des correctifs ou d'autres mesures d'atténuation.
2. Identification et atténuation rapides des brèches actives grâce à une vue détaillée des faiblesses menant aux assets critiques.
3. Identification des assets et des connexions indésirables pouvant compromettre l'intégrité des environnements en air-gap. 
4. Identification des configurations, des privilèges et des vulnérabilités à risque susceptibles de compromettre les applications, les systèmes et identités critiques. 
5. Communication du risque dans un langage compréhensible par les dirigeants et les membres du conseil d'administration, plutôt que par volume des risques individuels.
6. Prévention de l'accès aux systèmes et données critiques par les attaquants pour assurer la continuité des activités.
7. Identification et traitement des chemins d'attaque qui pourraient conduire à des infractions réglementaires afin de garantir la conformité aux normes telles que SOC 2 et RGPD.

• Identifier automatiquement tous les assets et identités au sein de votre réseau, notamment les ressources Shadow IT ou non gérées.
• Mettre à jour et évaluer régulièrement votre surface d'attaque afin de détecter de nouvelles vulnérabilités ou des changements sur le réseau.
• Fournir des cartographies claires des chemins d'attaque potentiels (visualisation des chemins d'attaque) pour montrer comment les attaquants peuvent exploiter les vulnérabilités de manière séquentielle.
• Évaluer la sévérité des vulnérabilités et leur impact potentiel afin de prioriser les mesures de remédiation en fonction du risque et de la criticité des assets.
• S'intégrer parfaitement avec les outils et cadres de sécurité existants pour une stratégie de défense unifiée.
• Fournir des représentations visuelles claires et intuitives des chemins d'attaque et des points d'engorgement (visualisation des graphiques d'attaques).
• Identifier et cartographier automatiquement tous les assets, notamment les ressources Shadow IT et cloud.
• Suivre en permanence les changements dans votre environnement afin d'identifier en temps réel les nouveaux risques et chemins d'attaque.
• Fournir des informations exploitables et des conseils de remédiation détaillés pour répondre aux risques.
• Fournir une cartographie claire des chemins d'attaque en temps réel avec des détails sur la source, la cible et la sévérité.
• Mettre en évidence les zones de croisement de plusieurs chemins d'attaque afin de cibler les mesures d'atténuation.
• Fournir de l'aide pour gérer les environnements cloud et hybrides dynamiques.
• Informer les équipes des risques critiques et des mesures de remédiation recommandées.

• Les chemins d'attaque liés à un accès à des informations d'authentification et à l'élévation de privilèges se concentrent sur la manière dont les attaquants peuvent élever les privilèges en utilisant des informations d'authentification volées, des mécanismes d'authentification faibles ou des autorisations mal configurées. Des techniques telles que les attaques Pass-the-Hash ou Kerberoasting et les comptes dotés de privilèges excessifs permettent aux adversaires d'obtenir des niveaux d'accès plus élevés, ce qui conduit souvent à une compromission de l'ensemble d'un domaine.
• Les chemins d'attaque liés à un mouvement latéral permettent aux attaquants de se déplacer sur un réseau après un accès initial. En exploitant des délégations mal configurées, des attaques par relais SMB et des stratégies de groupe faibles, les attaquants passent de comptes ou de machines dotés de faibles privilèges à des assets plus critiques, tels que des contrôleurs de domaine ou des bases de données sensibles.
• Les chemins d'exploitation des vulnérabilités reposent sur l'exploitation par les attaquants de vulnérabilités logicielles non corrigées ou de faiblesses du système pour obtenir un accès non autorisé. Les attaquants ciblent les CVE critiques, les points d'entrée des ransomwares et les environnements Active Directory (AD) hybrides mal configurés pour exécuter du code, élever les privilèges ou se déplacer latéralement au sein d'un réseau.
• Une mauvaise sécurité du réseau et des mauvaises configurations engendrent des chemins d'attaque ciblant ces deux éléments et pouvant entraîner un accès non autorisé ou une élévation de privilèges. Les attaquants profitent des réseaux partagés ouverts, des interfaces d'administration exposées (RDP, SSH) et des relations d'approbation de domaine faibles, lesquels peuvent devenir des tremplins pour davantage d'attaques.
• Les chemins de compromission de domaine sont axés sur la prise de contrôle d'Active Directory afin de manipuler les mécanismes d'authentification et d'autorisation. Les attaquants exploitent les attaques DC Sync, DC Shadow et Golden Ticket pour usurper l'identité d'utilisateurs dotés de privilèges et conserver un accès permanent afin de prendre le contrôle de l'ensemble de votre domaine.
• Les attaquants peuvent exploiter des chemins d'attaque cloud et hybrides , comme les environnements cloud mal configurés, les politiques de gestion des identités et des accès (IAM), les buckets de stockage exposés et les mécanismes de fédération des identités faibles pour compromettre des ressources cloud. En exploitant le piratage de token OAuth ou en abusant du lien de confiance d'un Active Directory hybride, les attaquants peuvent passer d'un environnement cloud à un environnement sur site sans être détectés.

En intégrant l'APA à votre programme de sécurité, vous pouvez améliorer votre cyberhygiène en :

• Anticipant et atténuant de manière proactive les menaces potentielles avant qu'elles ne se concrétisent.
• Déployant des mesures de sécurité de défense ciblées précisément là où vous en avez le plus besoin.
• Vous concentrant sur les vulnérabilités à haut risque pour optimiser l'allocation des ressources de sécurité.
• Améliorant la réponse aux incidents grâce à la détection, à l'analyse et à un délai de réponse plus court.
• Traitant et priorisant les vulnérabilités qui font partie des chemins d'attaque à haut risque afin d'optimiser les efforts de gestion des vulnérabilités et de remédiation.
• Utilisant des représentations visuelles du chemin d'attaque pour mieux comprendre et communiquer le risque aux parties prenantes techniques et non techniques.
• Utilisant la threat intelligence pour prioriser la remédiation des vulnérabilités les plus critiques qui constituent une menace directe pour vos assets les plus précieux.
• Assurant la conformité via des démonstrations de contrôle des risques et des vulnérabilités en matière de sécurité.

L'analyse du chemin d'attaque présente également des avantages en matière de gestion des vulnérabilités :

• La cartographie des chemins d'attaque peut vous aider à détecter et à prioriser vos vulnérabilités les plus critiques.
• Elle prend en charge les évaluations du risque proactives.
• Elle se concentre sur les vulnérabilités au niveau des chemins d'attaque actifs afin de limiter les efforts et les ressources à fournir.
• Elle permet d'accroître la visibilité sur la surface d'attaque en révélant les risques interconnectés.
• Elle permet une gestion proactive du risque pour soutenir les initiatives de conformité.

Les outils d'analyse automatisée du chemin d'attaque consistent à  :

• Visualiser les relations entre les assets, les identités et les vulnérabilités.
• Identifier les combinaisons toxiques et les chevauchements dangereux entre les configurations et les autorisations.
• Simuler des scénarios d'attaque en anticipant les mouvements des attaquants sur la base de tactiques et de techniques connues.

Lorsque vous choisissez un outil d'APA, posez-vous les questions suivantes :

• L'outil peut-il évaluer tous les chemins d'attaque potentiels sur l'ensemble d'un réseau et de tous ses domaines ?
• Présente-t-il des représentations visuelles intuitives, conviviales et claires du chemin d'attaque ?
• Peut-il s'adapter aux besoins de votre entreprise et à l'évolution de votre architecture réseau ?
• S'intègre-t-il parfaitement aux outils de sécurité et aux workflows existants ?
• Le fournisseur propose-t-il des mises à jour régulières pour faire face aux nouvelles menaces et vulnérabilités ?

1. Définition du champ d'application et découverte : il est important de pouvoir définir les limites de l'analyse et d'identifier les assets critiques (par exemple les assets IT, les bases de données, les comptes dotés de privilèges, les contrôleurs de domaine) pour comprendre l'organisation du réseau. Votre objectif est de déterminer les surfaces d'attaque potentielles, comme les services exposés à Internet, les ressources cloud mal configurées ou d'autres contrôles de sécurité.
2. Agréger et corréler les données pour cartographier les relations entre les utilisateurs, les contrôleurs de domaine, les systèmes et les vulnérabilités. Cela permet de découvrir des vecteurs d'attaque cachés, tels que des informations d'authentification faibles utilisées sur plusieurs systèmes ou des vulnérabilités non corrigées pouvant entraîner une élévation de privilèges.
3. Utiliser la modélisation et la visualisation graphiques pour voir comment un attaquant pourrait se déplacer dans votre environnement en exploitant les vulnérabilités, l'élévation de privilèges, le mouvement latéral ou les mauvaises configurations.
4. Prioriser la remédiation : une fois que vous avez identifié les chemins d'attaque potentiels, classez-les selon des facteurs de risque, tels que l'exploitabilité (facilité d'attaque), la priorisation des points d'engorgement, l'impact (conséquences pour les activités de l'entreprise) et la probabilité (techniques d'attaque concrètes utilisées dans MITRE ATT&CK). Les chemins les plus critiques, comme ceux qui mènent à un accès administrateur au domaine ou à des assets critiques pour l'entreprise, doivent être considérés comme prioritaires.

Dans le cadre de la CTEM, l'analyse du chemin d'attaque aide à :

• Identifier les expositions en cartographiant les chemins d'attaque potentiels.
• Mettre en évidence les vulnérabilités les plus critiques susceptibles d'entraîner des brèches importantes, afin que vous puissiez prioriser les mesures d'atténuation.
• Obtenir des informations permettant d'élaborer des stratégies de défense proactives afin de renforcer votre posture de sécurité globale et d'améliorer votre résilience.

L'APA soutient les programmes de sécurité réactive et proactive :

• Sécurité réactive : aide à répondre aux incidents en retraçant les étapes de l'attaque, en comprenant sa progression et en identifiant les assets compromis.
• Sécurité proactive : aide vos équipes à anticiper les vecteurs d'attaque potentiels et à mettre en place des défenses pour empêcher leur exploitation.

Découvrez comment l'analyse du chemin d'attaque peut vous aider à maîtriser la complexité de la surface d'attaque moderne par le biais de plateformes de gestion de l'exposition comme Tenable One. Les environnements complexes d'aujourd'hui, qui vont au-delà de l'IT traditionnelle et incluent des éléments tels que les microservices, les applications web, les services d'identité, les technologies opérationnelles (OT) et bien d'autres encore, nécessitent un ensemble diversifié d'outils pour évaluer les vulnérabilités. Une plateforme robuste doit vous aider à anticiper, à prioriser et à tirer parti d'informations exploitables.