Qu’est-ce que les malwares et les moustiques ont en commun ? Bien plus que vous ne le pensez…

Par :
Cyrille Badeau

lun, 28/04/2014 - 12:59

Les malwares sont partout et représentent un vrai challenge, difficile à remporter. Ils peuvent prendre plusieurs formes et deviennent de plus en plus résistants aux approches traditionnelles visant à les détecter et les arrêter. Au lieu de s’appuyer sur un vecteur d’attaque unique, le malware utilise n’importe quel chemin non sécurisé pour atteindre sa cible et accomplir sa mission.

Les moustiques agissent de manière assez similaire. Il existe des milliers d’espèces et de nombreux moyens pour essayer de s’en protéger, mais chaque méthode a ses limites. Il n’est pas possible de marcher complètement couvert, les ondes sonores et les ventilateurs connaissent des résultats mitigés et les moustiques développent une résistance à de nombreux pesticides. Ils ont donc uniquement besoin d’une petite fenêtre de tir pour passer à l’attaque. Même si la plupart de moustiques ne sont pas dangereux mais seulement responsables de désagréments, la piqure de certains peut avoir des conséquences sérieuses sur la santé, à moins qu’elle ne soit rapidement diagnostiquée et traitée.

Les malwares affectent de plus en plus d’entreprises chaque jour. Selon le rapport « Data Breach Investigation 2013 » de Verizon, sur les 20 principaux types de menaces, le malware est la méthode la plus utilisée, suivi par le piratage et l’ingénierie sociale. Sachant que les menaces qui combinent plusieurs méthodes - le phishing, les malwares (points d’accroche) et les exploits de vulnérabilités - sont de plus en plus utilisées pour introduire un écosystème de logiciels malveillants et l’installer dans les réseaux, de manière à ce que celui-ci ne soit pas détectable pendant une longue période, le temps de voler des données ou de perturber des systèmes critiques.

L’évolution des tendances de la mobilité, le Cloud Computing et les nouveaux modes de collaboration ouvrent la voie à de nouvelles attaques de malwares, que nous ne pouvions pas prévoir il y a encore quelques années et qui requièrent de nouvelles techniques de défense. Les Smartphones, les tablettes et autres appareils mobiles sont devenus des outils de productivité essentiels pour l’entreprise mais aussi de nouveaux vecteurs d’attaque. Etant donné leurs fonctionnalités et leur rôle dans les nouveaux modes de travail qui se rapprochent de ceux des ordinateurs de bureau et des ordinateurs portables classiques, il devient encore plus facile de concevoir des malwares spécifiquement pour eux, et encore plus efficaces.

L’utilisation des applications mobiles crée également de nouvelles opportunités pour les hackers. Lorsque nous téléchargeons une application, nous installons automatiquement un client léger sur notre poste de travail et téléchargeons du code. De nombreux utilisateurs téléchargent régulièrement des applications mobiles sans penser à la sécurité, exposant ainsi leur entreprise à un risque accru.

L’élargissement des réseaux et le recours accru aux fournisseurs d’accès Internet et aux hébergeurs incitent les cybercriminels à exploiter la puissance de l’infrastructure Internet, et non seulement les postes de travail pour lancer des attaques. Les sites hébergés sur des serveurs compromis agissent ainsi comme un redirecteur (l’intermédiaire dans la chaine d’infection) et un référentiel de logiciels malveillants (spams qui contiennent des liens vers des sites malicieux, applications mobiles qui contiennent des malwares, etc.).

Les solutions de sécurité traditionnelles ne sont plus efficaces pour aider les entreprises à faire face aux défis actuels de la cybersécurité : - une plus grande surface d’attaque - prolifération et sophistication croissantes des modèles d’attaque et - complexité grandissante du réseau. Les technologies de protection contre les menaces doivent donc continuer à évoluer et devenir aussi omniprésente que les attaques qu’elles combattent. Il est plus impératif que jamais de trouver des solutions de sécurité centrée sur la menace capables de fonctionner dans l’environnement actuel de l’entreprise et qui puissent s’adapter pour répondre aux nouveaux besoins du réseau étendu, au-delà du périmètre traditionnel, pour inclure les postes de travail, les passerelles web et email, les terminaux mobiles, virtuels, dans le datacenter et dans le Cloud.

- Une plus grande surface d’attaque. Pour faire face à la croissance des nombreux vecteurs d’attaque, l’entreprise a besoin d’une visibilité sur l’ensemble du réseau étendu basée sur le contexte. Plus l’on peut voir de choses, plus l’on peut corréler les évènements (en apparence bénins), et plus l’on dispose de renseignements pour identifier et arrêter les menaces : pour détecter les logiciels malveillants zero-day inconnus qui pourraient rentrer par un email ou le web et prendre les mesures qui s’imposent, par exemple.

- La prolifération et la complexité croissantes des modèles d’attaque. Les politiques de sécurité et les contrôles sont importants pour réduire la surface d’attaque mais les menaces passent toujours au travers. Mettre l’accent sur la détection et la compréhension des menaces après qu’elles se soient introduites dans le réseau ou sur les postes de travail est essentiel pour les arrêter et minimiser les dommages. Avec les malwares avancés et les attaques zero-day, l’entreprise doit adopter une analyse continue et une connaissance en temps réel globale de la menace, qui doit être partagée entre tous les produits pour en améliorer l’efficacité.

- La complexité grandissante du réseau. Les réseaux ne vont pas se simplifier, ni les attaques. On ne peut donc pas continuer à ajouter des technologies sans avoir de visibilité ou de contrôle partagés. Pour faire face à la complexité du réseau, tout en détectant et en stoppant les menaces avancées, l’entreprise a besoin d’un système intégré de plateformes agiles et ouvertes qui couvrent l’ensemble du réseau, les périphériques mobiles et le Cloud pour permettre une gestion et une surveillance centralisée.

A propos de l'auteur

Cyrille Badeau
Directeur Europe du Sud, Sourcefire, now part of Cisco