Émuler l'ennemi

Par :
Thierry Karsenti

mer, 22/05/2013 - 11:39

L'émulation des menaces est une technique essentielle pour assurer une protection plus efficace du réseau. Thierry Karsenti, Directeur Technique Europe de Check Point, explique pourquoi. 

« Connaître son ennemi aussi bien que soi‐même » est une maxime souvent citée dans le milieu de la sécurité informatique. Il semble que les entreprises font quotidiennement face à de nouveaux adversaires, qui lancent des attaques, perturbent leur fonctionnement et siphonnent des données confidentielles furtivement, grâce à un nombre phénoménal de logiciels malveillants. Tout cela contribue à faire de la « connaissance de l'ennemi » une tâche difficilement surmontable.

La cybercriminalité est devenue une grande entreprise, et comme dans n'importe quel autre secteur d'activité, les criminels cherchent à augmenter leurs revenus et accroître leur part de marché. Leurs attaques ciblent des centaines, voire des milliers, d'entreprises afin d'accroître leurs chances de succès. Les logiciels malveillants furtifs sont la technique d'attaque la plus couramment utilisée. Ils sont conçus pour être difficiles à détecter par les équipes informatiques.

Pour donner une idée de leur ampleur, environ 70 000 à 100 000 nouveaux logiciels malveillants ont été créés et diffusés chaque jour en 2012. C'est plus de 10 fois plus par jour qu'en 2011, et plus de 100 fois plus qu'en 2006. Les solutions antimalwares traditionnelles ne peuvent suivre le rythme de cette croissance. Le Rapport Sécurité 2013 de Check Point a constaté que 63% des entreprise sont infectées par des bots, et plus de la moitié sont infectées par de nouveaux logiciels malveillants au moins une fois par jour.

Cachés aux yeux de tous
Le code de la majorité de ces nouvelles infections est caché dans des types de fichiers courants que nous utilisons tous pour nos activités : emails, documents Word, PDF, Excel et ainsi de suite. Des boîtes à outils de piratage permettent d'obscurcir ces scripts exécutables pour dissimuler leurs actions malveillantes, par exemple la modification de la base de registre sur l'ordinateur d'un utilisateur, ou le téléchargement d'un fichier exécutable capable d'infecter un réseau. Avec le volume de trafic croissant sur les réseaux d'entreprise, ainsi que le volume de nouveaux logiciels malveillants introduits et cachés bien en vue dans des fichiers inoffensifs, les entreprises sont vulnérables aux attaques « zero‐day ». Et même si les défenses multicouches de détection et de prévention des intrusions peuvent aider à bloquer certaines actions des logiciels malveillants, elles ne peuvent pas toujours stopper les infections atteignant le réseau et s'y propageant.

Le nombre et la complexité des nouvelles attaques signifient que nous ne pouvons pas espérer tout connaître de nos ennemis. Cependant, nous pouvons au moins tenter de comprendre les intentions de nos ennemis et les méthodes d'attaque qu'ils sont susceptibles d'utiliser. Cela peut révéler des renseignements cruciaux permettant d'identifier et de neutraliser de nouveaux risques.

out comme les contrôles frontaliers d'un pays font appel à différentes techniques pour observer les individus qui entrent et identifier ceux qui représentent une menace, de nouvelles techniques de sécurité permettent de scruter les emails, les fichiers et les données qui entrent dans un réseau, et d'isoler les fichiers malveillants à la périphérie du réseau pour stopper les infections, sans impact sur l'activité de l'entreprise.

Observer, émuler, partager, défendre
Une technique appelée « émulation des menaces » rend cela possible. À la manière des scanners à rayons X installés aux frontières, cette technique permet de regarder à l'intérieur des fichiers suspects qui arrivent dans la passerelle, et d'inspecter leur contenu dans une zone de quarantaine virtualisée appelée « bac à sable ». Les fichiers y sont ouverts et surveillés pour détecter tout comportement inhabituel en temps réel, tels que les tentatives de changements anormaux de la base de registre ou les connexions réseau non autorisées. Lorsqu'un comportement est jugé suspect ou malveillant, le fichier est bloqué et mis en quarantaine, empêchant ainsi toute infection d'atteindre le réseau et entraîner des dommages.

Après la détection et le blocage d'un fichier par ce moyen, les entreprises doivent pouvoir partager les informations concernant la nouvelle menace pour aider les autres entreprises à stopper également l'infection. Cela contribue à disséminer les connaissances acquises sur un nouvel ennemi, de la même manière que les organismes de santé collaborent mondialement pour lutter contre les maladies émergentes, et raccourcir le délai entre la découverte d'une nouvelle attaque et la possibilité de s'en prémunir.

Une étude en 2012 a démontré qu'il a fallu des semaines ou plus pour découvrir 85% des failles provoquées par des cyberattaques. Si les entreprises pouvaient échanger des informations en ligne sur les menaces émergentes dès qu'elles sont identifiées et avant qu'elles n'infectent les réseaux, les taux d'infection pourraient alors chuter de manière spectaculaire. Cela permettrait aux entreprises d'en savoir un peu plus sur leur ennemi commun, avant qu'il ne puisse les attaquer. L'émulation pourrait devenir une des méthodes les plus efficaces pour se protéger contre les nouvelles menaces.

Thierry Karsenti, Directeur Technique Europe de Check Point

A propos de l'auteur

Thierry Karsenti