Qu'est-ce qu'un vecteur d'attaque ?

Les vecteurs d'attaque sont les moyens par lesquels un attaquant peut accéder à des données sensibles ou compromettre une organisation.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le vecteur d'attaque
  • Liste des principaux vecteurs d'attaque
  • Comparer vecteur d'attaque et surface d'attaque

Copier le lien de l'article

Qu'est-ce qu'un vecteur d'attaque ?

Un vecteur d'attaque, ou vecteur de menace, est un moyen pour les attaquants de pénétrer dans un réseau ou un système. Parmi les vecteurs d'attaque courants, citons les attaques d'ingénierie sociale, le vol d'identifiants, l'exploitation de vulnérabilités et une protection insuffisante contre les menaces internes. Une part importante de la sécurité de l'information consiste à fermer les vecteurs d'attaque dans la mesure du possible.

Supposons qu'une entreprise de sécurité soit chargée de surveiller un tableau rare exposé dans un musée. Un voleur peut entrer et sortir du musée de plusieurs façons : portes d'entrée, portes arrière, ascenseurs et fenêtres. Un voleur peut également pénétrer dans le musée d'une autre manière, peut-être en se faisant passer pour un membre du personnel du musée. Toutes ces méthodes représentent des vecteurs d'attaque et l'entreprise de sécurité peut essayer de les éliminer en plaçant des agents de sécurité à toutes les portes, en mettant des verrous aux fenêtres et en contrôlant régulièrement le personnel du musée pour confirmer son identité.

De même, les systèmes numériques présentent tous des zones que les attaquants peuvent utiliser comme points d'entrée. Les systèmes informatiques et les environnements d'application modernes étant très complexes, il est généralement impossible de fermer tous les vecteurs d'attaque. Toutefois, des pratiques et des mesures de sécurité rigoureuses peuvent éliminer la plupart des vecteurs d'attaque, rendant ainsi beaucoup plus difficile pour les attaquants de les trouver et de les utiliser.

Quels sont les vecteurs d'attaque les plus courants ?

Phishing : le phishing consiste à voler des données, comme le mot de passe d'un utilisateur, qu'un attaquant peut utiliser pour s'introduire dans un réseau. Les attaquants accèdent à ces données en incitant la victime à les révéler. Le phishing reste l'un des vecteurs d'attaque les plus couramment utilisés - de nombreuses attaques par rançongiciel, par exemple, commencent par une campagne de phishing contre l'organisation victime.

Pièces jointes aux courriels : les pièces jointes aux courriels peuvent contenir un code malveillant qui s'exécute après l'ouverture du fichier par l'utilisateur. Ces dernières années, plusieurs attaques majeures de rançongiciel ont utilisé ce vecteur de menace, notamment les attaques de Ryuk.

Prise de contrôle du compte : les attaquants peuvent utiliser un certain nombre de méthodes différentes pour prendre le contrôle du compte d'un utilisateur légitime. Ils peuvent voler les informations d'identification d'un utilisateur (nom d'utilisateur et mot de passe) par le biais d'une attaque de phishing, d'une attaque par force brute ou en les achetant sur le marché clandestin. Les attaquants peuvent également essayer d'intercepter et d'utiliser un cookie de session pour se faire passer pour l'utilisateur auprès d'une application web.

Absence de chiffrement : les données non cryptées peuvent être consultées par toute personne qui y a accès. Elles peuvent être interceptées en transit entre les réseaux, comme dans une attaque sur le chemin, ou simplement consultées par inadvertance par un intermédiaire le long du chemin du réseau.

Menaces d'initiés : Une menace d'initiés se produit lorsqu'un utilisateur connu et de confiance accède à des données confidentielles et les distribue, ou permet à un attaquant de faire de même. De tels événements peuvent être intentionnels ou accidentels de la part de l'utilisateur. Les attaquants externes peuvent essayer de créer des menaces internes en contactant directement les initiés et en leur demandant, en les soudoyant, en les trompant ou en les menaçant pour qu'ils fournissent un accès. Parfois, les initiés malveillants agissent de leur propre chef, par mécontentement envers leur organisation ou pour toute autre raison.

Exploitation des vulnérabilités : une vulnérabilité est une faille dans un logiciel ou un matériel - pensez-y comme à une serrure qui ne fonctionne pas correctement, permettant à un voleur qui sait où se trouve la serrure défectueuse de pénétrer dans un bâtiment sécurisé. Lorsqu'un attaquant réussit à utiliser une vulnérabilité pour pénétrer dans un système, on parle d'exploitation de la vulnérabilité "." L'application des mises à jour du fournisseur du logiciel ou du matériel peut corriger la plupart des vulnérabilités. Mais certaines vulnérabilités sont « zero-day » - des vulnérabilités inconnues pour lesquelles il n'existe aucun correctif connu.

Attaques basées sur le navigateur : pour afficher les pages Web, les navigateurs Internet chargent et exécutent le code qu'ils reçoivent de serveurs distants. Les attaquants peuvent injecter du code malveillant dans un site web ou diriger les utilisateurs vers un faux site web, trompant ainsi le navigateur pour qu'il exécute un code qui télécharge des logiciels malveillants ou compromet les appareils des utilisateurs. Avec le cloud computing, les employés accèdent souvent aux données et aux applications uniquement via leur navigateur Internet, ce qui rend ce vecteur de menace particulièrement préoccupant.

Compromission d'applications : au lieu de s'en prendre directement aux comptes des utilisateurs, un attaquant peut chercher à infecter une application tierce de confiance avec un logiciels malveillant. Il peut aussi créer une fausse application malveillante que les utilisateurs téléchargent et installent à leur insu (un vecteur d'attaque courant pour les appareils mobiles).

Ports ouverts : un port est une porte d'entrée virtuelle dans un périphérique. Les ports aident les ordinateurs et les serveurs à associer le trafic réseau à une application ou un processus donné. Les ports qui ne sont pas utilisés doivent être fermés. Les attaquants peuvent envoyer des messages spécialement conçus aux ports ouverts pour tenter de compromettre le système, tout comme un voleur de voiture peut essayer d'ouvrir les portes pour voir si elles sont déverrouillées.

Comment une organisation peut-elle sécuriser ses vecteurs d'attaque ?

Il n'existe aucun moyen d'éliminer totalement les vecteurs d'attaque. Mais ces approches peuvent aider à stopper les attaques internes et externes.

  • Bonnes pratiques de sécurité : de nombreuses attaques réussissent en raison d'une erreur de l'utilisateur : les utilisateurs se laissent prendre au piège d'une attaque de phishing, ouvrent des pièces jointes malveillantes d'un courriel ou donnent accès à une personne non autorisée. Former les utilisateurs à éviter ces erreurs peut contribuer grandement à éliminer plusieurs vecteurs d'attaque majeurs.
  • Chiffrement : en chiffrant les données de en transit, on évite qu'elles ne soient exposées à des parties intermédiaires.
  • Isolation du navigateur: Cette technologie déplace le processus de chargement et d'exécution du code non fiable vers un emplacement situé en dehors du réseau sécurisé d'une organisation. L'isolation du navigateur peut même contribuer à éliminer la menace des attaques de type « zero-day », du moins dans le navigateur.
  • Corriger les vulnérabilités : un grand nombre d'attaques se produisent parce qu'une organisation n'a pas corrigé une vulnérabilité. La correction des vulnérabilités et la mise à jour régulière des logiciels et du matériel réduisent considérablement les chances de réussite de l'exploitation d'une vulnérabilité.
  • Secure access service edge (SASE) : le recours au cloud computing ayant modifié les modèles informatiques des entreprises, de nombreuses organisations estiment que leurs modèles de mise en réseau et de sécurité doivent également changer. Le service d'accès sécurisé en périphérie (SASE) est une méthode d'intégration de la mise en réseau et de la sécurité. SASE comprend un certain nombre de mesures de sécurité qui ferment les vecteurs d'attaque décrits ci-dessus - en savoir plus sur SASE.

Qu'est-ce qu'une surface d'attaque ?

Une surface d'attaque est la combinaison de tous les vecteurs d'attaque disponibles pour un attaquant. Plus une organisation dispose de vecteurs d'attaque, plus sa surface d'attaque est grande. Inversement, une organisation peut réduire sa surface d'attaque en éliminant les vecteurs d'attaque dans la mesure du possible.

Pensez à l'attaquant comme à un joueur offensif de football association (soccer), et à la surface d'attaque comme au but. En l'absence de gardien de but, l'avant du but présente une zone assez large pour que le joueur puisse frapper le ballon. Cependant, le gardien de but réduit la surface disponible pour l'attaque en se positionnant à des endroits stratégiques, et les coéquipiers du gardien peuvent faire de même par leur façon de défendre.

De même, toutes les organisations ont un « objectif » que les attaquants externes ciblent : la surface d'attaque et les données sensibles qui se trouvent derrière. Mais les produits et les pratiques de sécurité sont comme le gardien de but et les défenseurs, empêchant les attaquants d'utiliser ces vecteurs d'attaque.

Pour savoir comment Cloudflare contribue à éliminer les vecteurs d'attaque, lisez la présentation de la plateforme SASE de Cloudflare, Cloudflare One.

Service commercial