Analyse et détection, fondements d’un système de défense contre les attaques

Par :
Emmanuel Le Bohec

lun, 12/05/2014 - 12:56

Le cyber-crime est passé au stade industriel et les cybercriminels fomentent des attaques de grande envergure. Chacune de ces attaques peut entraîner le vol de millions de données. L’ingéniosité des pirates, les outils de plus en plus nombreux dont ils disposent et la facilité qu’ils ont à se les procurer mettent les entreprises en péril permanent. La cybercriminalité est une nouvelle activité du crime organisé : moins pénalisée, souvent plus rentable que les activités « historiques », elle comporte assez peu de risques pour les hackers et est capable de générer d’importants revenus. L’autre volet du danger est constitué par le cyber-terrorisme utilisant des opérations spectaculaires, véritables bombes virtuelles dont le but principal est d’attirer l’attention des media sur leur cause.

Internet, champ de bataille et terrain de prédilection de ces organisations criminelles et terroristes, voit le paysage des cyber-menaces changer en raison de l'évolution rapide de la technologie. Les défis en matière de cyber-sécurité augmentent chaque jour, encore accentués par les tendances IT actuelles - Cloud, Big Data, mobilité ou BYOD (Bring Your Own Device) permettant d’utiliser des équipements personnels mobiles dans l’entreprise. Les dangers menacent les entreprises de toutes tailles et de tous les secteurs économiques.

Les attaques visent aussi les PME

Les démarches de sécurisation restent généralement liées à la maturité et à la taille de l’entreprise. Les grandes entreprises recherchent des solutions pour contrer les attaques persistantes avancées (APT). Les PME, par méconnaissance du risque ou par manque de budget et de ressources techniques, évoluent peu. Elles appuient leur protection sur les anti-virus et les pare-feux. Cela est insuffisant quand on sait que les attaques malveillantes les ciblent de plus en plus. Les méthodes des cyber-attaques se sont améliorées.

La recrudescence des attaques ciblées n’épargne en effet personne. Aucune entreprise ne peut aujourd’hui être sûre de passer au travers des attaques. Le phénomène est mondial, comme l’économie, comme l’échange et le stockage de données. Il concerne toutes les entreprises, quelle que soit leur taille. Désormais, les attaques ciblées visent aussi les PME et, bien sûr, les administrations. Nombres de PME sont des sous-traitants de grandes entreprises, avec des accès privilégiés aux ressources de ces dernières. Souvent moins sécurisées que leur client, elles peuvent servir de porte dérobée, d’accès secondaire au réseau du grand compte. Qui plus est, les APT et les logiciels malveillants avancés contournent les systèmes traditionnels de sécurité et utilisent des moyens d’accès ouverts par défaut (web, e-mail, etc.), protégés par des outils reposant la plupart du temps sur des signatures. Or, pour développer une signature, il faut avoir un premier exemple, une souche, du malware. Quand on sait que ces malwares sont faits à la commande et que de multiples variantes suivent très rapidement, le choix des solutions est de plus en plus critique pour se protéger.

Les données sensibles sont la proie

Le but d’une cyber-attaque est évidemment le vol de données. Il s’agit de brevets, d’informations personnelles (mots de passe, numéros de cartes de crédit et de comptes bancaires, dossier médical…), commerciales (fichier des clients, nouveaux produits…), financières…

Chaque entreprise est aujourd’hui une victime potentielle d’attaques de plus en plus sophistiquées. Les attaques ciblées, zero-days, APT… font prendre conscience aux sociétés qu’elles sont vulnérables et ont la nécessité de se protéger. La protection des données sensibles contre les APT et les logiciels malveillants demeure donc un souci permanent. Les directions s’interrogent sur l’ouverture de leur système d’information et même sur la pertinence à stocker des données dans le Cloud.

Les attaquants se structurent, les gouvernements recrutent des pirates, autant pour contrer que pour attaquer… La défense des données sensibles dont la valeur pour l'entreprise est considérable, nécessite un programme de défense nouveau. Quels types de défense mettre en place ?

Détecter, bloquer et analyser les menaces

Des technologies de pointe savent détecter les programmes malveillants avancés et les analyser en profondeur. Mais, les menaces modernes évoluent en permanence et intègrent désormais des techniques leur permettant d’étudier l’environnement dans lequel elles arrivent pour détecter d’éventuels outils de sécurité, allant jusqu’à décider de ne pas infecter un environnement trop sécurisé (donc dangereux pour le malware). Ces menaces intègrent des techniques dites d’évasion, c’est-à-dire qu’elles peuvent contourner pour ne pas être détectées car l’installation du malware est l’une des 2 étapes critiques pour ce dernier. La deuxième étape étant le moment où le malware, installé sur le réseau de sa cible, cherche à communiquer avec son serveur « C&C » ou « C² » (Command & Control) qui lui donne les ordres et les méthodes. Il est donc également essentiel d’observer le trafic sortant à la recherche de communications inhabituelles et/ou vers des serveurs dangereux. La combinaison d’une solution de « sandboxing », programme d’analyse des binaires entrants contenant du code exécutable (au-delà des fichiers exécutables, les documents MS Office contenant des macros, les codes Javascript, Java, etc.) et d’une solution d’analyse du trafic réseau est la solution fiable attendue pour lutter contre la nouvelle vague des attaques modernes et remédier à de telles situations. Chaque technique n’est pas complètement efficace sans l’autre.

Pour détecter les menaces ciblées les plus récentes comme les malwares évasifs et les APT, les solutions de sécurité de nouvelle génération repèrent et contrent les menaces malveillantes conçues pour se soustraire aux systèmes de sécurité traditionnels. Elles permettent leur analyse, complément essentiel pour faire évoluer une politique de sécurité adaptée à l’entreprise et à ses risques propres. Cependant, afin de pouvoir mettre en place un programme de défense et de réaction efficace pour stopper les APT, les exploits zero-day et les logiciels malveillants provenant du web, des e-mails, des fichiers et des vecteurs mobiles, ces solutions doivent être fiables et faciles à exploiter. Elles doivent notamment intégrer l’intelligence qui permet, au-delà de la collecte d’indices et d’indicateurs de danger, la corrélation afin d’apporter la conviction qu’une attaque est bien en place. De même, elles doivent apporter des éléments de visibilité, notamment du reporting, clair et détaillé, car l’étape suivante, après la détection d’une infection, est son éradication, via des produits tiers dédiés au poste de travail. Mais, sans les informations de la solution de détection, le travail de remise en état et d’enquête sur l’origine et les effets de l’attaque est bien plus complexe.

Au final, le plus important à retenir est que, quelle que soit leur taille, il est nécessaire que les entreprises réexaminent et repensent leur programme de défense, voire redéfinissent en « base zéro » leur politique de sécurité, avec une équipe technique adaptée et un budget raisonnable mais aussi que des outils efficaces, accessibles à toutes les entreprises et simple d’exploitation existent. Les cyber-assaillants ne laissent en effet aucun répit et il faut se montrer proactif, pour pouvoir agir en temps réel. Mais un peu d’optimisme ne fait pas de mal…

A propos de l'auteur

Emmanuel Le Bohec
Regional Director de Lastline pour la France, le Benelux, la péninsule ibérique et l’Afrique francophone.