Bien que les MSP aient réalisé d’importants investissements en matière de sécurité et d’offre de services, il est difficile de suivre le rythme et l’évolution des nouvelles cybermenaces. La défense en profondeur (DiD) est la base sur laquelle la plupart des MSP ont construit une approche de sécurité à plusieurs niveaux pour y faire face. Le filtrage DNS est l’une des lignes de défense les plus solides et les plus rapides que vous pouvez mettre en œuvre dans le cadre d’une offre de sécurité multicouches. Il contribue à réduire l’exposition de vos clients aux cybermenaces et, en retour, contribuer à réduire vos frais opérationnels.
Plus tôt vous arrêterez une attaque, moins les dégâts seront importants. Moins d’heures seront consacrées aux mesures correctives et les opérations des clients seront moins affectées. Ce sont des objectifs que tout MSP s’efforce d’atteindre. Mais comment le filtrage DNS peut-il vous aider à les réaliser ?
Qu’est-ce qu’une « kill chain » ?
Comprendre ce qu’est une « kill chain » permet de mieux appréhender le fonctionnement du filtrage DNS pour se protéger des menaces de cybersécurité. Une « kill chain » est un modèle par phases qui décrit les étapes par lesquelles une cyberattaque passe pour que l’attaquant atteigne son objectif final. La plateforme MITRE ATT&CK est peut-être le modèle le plus fiable et le plus moderne à connaître. MITRE ATT&CK couvre des phases d’attaque distinctes à travers 14 étapes avec plus de 200 sous-techniques.
Si le filtrage DNS ne protège pas contre toutes les techniques définies dans le modèle MITRE ATT&CK, il interrompt les étapes les plus précoces et certaines des plus importantes.
5 raisons de mettre en place un filtrage DNS
1 – La reconnaissance
La première étape d’une « kill chain » est la reconnaissance. Rien ne peut empêcher un attaquant de dresser une liste d’adresses e-mails valides pour un domaine, puis d’envoyer des e-mails de phishing dans l’espoir qu’un utilisateur clique sur un lien ou divulgue des informations.
Souvent, il s’agit d’une démarche très simple pour le pirate informatique. Une solution de filtrage d’e-mails, une formation de sensibilisation à la cybersécurité pour les utilisateurs finaux, et une solution de filtrage DNS sont des investissements essentiels pour lutter contre la reconnaissance.
Si le filtre de messagerie ne détecte pas l’e-mail, ou si l’utilisateur final passe outre et l’ouvre quand même pour cliquer sur le lien, alors une solution de filtrage DNS a la possibilité de bloquer la connexion au site web hébergeant l’attaque de phishing. L’utilisateur final est dirigé vers une page de blocage au lieu du véritable site Web malveillant. Cela peut interrompre la collecte d’informations et obliger l’attaquant à recommencer avec d’autres méthodes.
2 – Le développement des ressources
Elles représentent les techniques qu’un hacker peut utiliser pour mettre en place des ressources dans le but de soutenir d’autres composantes de la « kill chain ». Le modèle ATT&CK de MITRE les définit comme suit : Acquérir l’infrastructure, Compromettre les comptes, Compromettre l’infrastructure, Développer les ressources, Établir les comptes, Obtenir les ressources, et Mettre en place les ressources.
Bien que vous ne puissiez pas empêcher un pirate informatique de suivre l’une de ces étapes, l’utilisation proactive des 5 sous-étapes de mise en place des ressources (téléchargement de logiciels malveillants, téléchargement d’outils malveillants, installation d’un certificat numérique, ciblage par drive-by et ciblage de liens) peut être protégée par un filtrage DNS. Si un attaquant utilise des systèmes compromis, télécharge des logiciels malveillants ou d’autres outils d’entrée sur des serveurs malveillants connus, le filtrage DNS peut bloquer l’accès d’un point de terminaison à cette ressource.
3 – Accès initial
Pendant la phase d’accès initial, un hacker peut envoyer des e-mails de spear phishing très ciblés et extrêmement personnels.
Ces e-mails peuvent contenir des liens susceptibles de contourner le filtrage des e-mails. Une fois cliqués, ils peuvent télécharger un fichier malveillant à partir de serveurs malveillants connus. Là encore, le filtrage d’e-mails, la sensibilisation à la cybersécurité et le filtrage DNS sont vos meilleures défenses.
La corruption de type « Drive-by » est également une technique utilisée pour l’accès initial. Les pirates informatiques peuvent compromettre des sites Web légitimes existants pour rediriger des informations vers leur infrastructure ou tenter de transmettre des données sensibles via le site compromis. Un filtrage DNS peut bloquer l’accès au site Web compromis s’il a une activité malveillante connue.
4 – L’exécution
Cette étape consiste à exécuter un script contrôlé par le hacker sur un système. Elle est souvent associée à d’autres techniques pour parvenir à une compromission plus large d’un environnement. Dans le modèle de MITRE ATT&CK, 12 sous-techniques sont répertoriées sous la rubrique Exécution. Parmi celles-ci, Command and Scripting Interpreter et User Execution sont probablement les plus utilisées.
Si un hacker parvient à faire exécuter son code sur un terminal, une solution de filtrage DNS a la possibilité de stopper cette technique d’attaque en empêchant le téléchargement de la charge utile depuis le site malveillant connu où elle est hébergée.
5 – Commande et contrôle
La commande et le contrôle couvrent les techniques utilisées par les pirates informatiques pour contrôler et communiquer avec les systèmes compromis. C’est là que le filtrage DNS peut-être le plus rentable. En filtrant tout le trafic DNS via un service fiable, vous pouvez empêcher les endpoints compromis de communiquer avec l’infrastructure de commande et de contrôle d’un attaquant. Cela empêche les terminaux de recevoir des instructions malveillantes, réduisant ainsi la probabilité d’exfiltration de données et empêchant l’enrôlement d’un dispositif dans un botnet.
En résumé : le filtrage DNS vous offre de nombreuses autres possibilités d’interrompre les « kill chain ». Le DNS étant un élément fondamental du système de navigation sur Internet, stopper les attaques à un stade aussi précoce peut vous éviter de nombreuses heures de dépannage informatique, de remédiation et de temps d’arrêt du client.
La fonctionnalité DNS Filtering dans N-able N-Central
Intégrée dans N-able™ N-central®, la fonctionnalité DNS Filtering aide les MSP à protéger leurs clients contre les menaces de sécurité en ligne et les contenus inappropriés via une analyse heuristique, une reconnaissance des menaces en temps réel et une catégorisation des domaines.
La réduction de l’exposition d’un terminal aux menaces grâce au filtrage DNS, combinée à la grande efficacité de détection des menaces fournie par N-able™ EDR, peut vous permettre de mettre rapidement en place une base solide de cybersécurité sur laquelle vous appuyer pour protéger vos clients.
Pour aller plus loin, vous pouvez demander une version d’essai de N-able N-Central gratuite pendant 30 jours. Si vous avez des questions supplémentaires, vous pouvez nous contacter au 05 56 15 01 01 ou sur ventes@watsoft.com.
Source : Inspiration de l’article rédigé par N-able « Securing DNS: interrupting attacks as early as possible«
0 commentaires