Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyrille Badeau, Sourcefire : L’importance de la sécurité continue - avant, pendant et après une attaque

janvier 2013 par Cyrille Badeau, Directeur Europe du Sud de Sourcefire

Plus les solutions de protection s’améliorent et plus les niveaux d’efficacité de la sécurité atteignent des sommets, plus les hackers fabriquent et utilisent des malwares perfectionnés, des attaques ciblées et inventent de nouveaux vecteurs d’attaque pour tenter de contourner les méthodes de défense mises en place.

Ces attaques sont tellement furtives que de nombreux professionnels de la sécurité peinent même à déterminer s’ils sont victimes d’une attaque. Les menaces malveillantes ciblent leurs victimes, se « déguisent » pour échapper aux systèmes de protection, peuvent se cacher pendant des périodes prolongées et lancent leur attaque à n’importe quel moment. Avec un tel niveau de sophistication, la propagation de malwares est inévitable.

Une fois que le malware est identifié sur un réseau, il reste encore beaucoup de facteurs inconnus : comment le malware est-il entré ? Quelle est l’étendue de la propagation ? Comment se comporte le malware ? Que faut-il pour l’éliminer ? Comment stopper la diffusion ?

Pour répondre à ces questions et limiter l’impact d’une intrusion, il est nécessaire de s’intéresser au continuum d’attaque – avant qu’elle ne s’introduise sur le réseau, pendant qu’elle progresse au sein du système et même après, lorsqu’elle a commencé à endommager le système.

Pourquoi les couches de l’infrastructure de sécurité doivent-elles agir à chaque étape pour offrir une meilleure protection ?

Avant une attaque : difficile de protéger ce que l’on ne voit pas. Autrement dit, il faut savoir ce qui se trouve sur un réseau pour mieux le protéger : outils, systèmes d’exploitation, services, applications, utilisateurs, contenus et vulnérabilités potentielles. Etre capable d’établir une cartographie du réseau est une première étape essentielle pour la protection du système d’information d’une entreprise. Le but étant de réduire la superficie potentielle d’une attaque et donc de réduire le degré de vulnérabilité de l’entreprise face aux multiples vecteurs d’attaque existants.

Pendant une attaque : pour combattre les malwares perfectionnés, il faut disposer de la meilleure détection de menaces en temps réel possible. Dès que l’on peut détecter qu’un fichier est un malware, on peut le bloquer. Mais comme les malwares évoluent très vite, pouvoir mettre à jour les informations de détection des menaces changeantes de manière adaptative et en temps réel est critique pour le maintien de l’efficacité de la sécurité. Néanmoins, étant donné la nature des malwares d’aujourd’hui, disposer seulement de la meilleure détection de menaces ne suffit plus pour protéger son environnement.

Après une attaque : dès qu’un malware perfectionné entre dans une partie du réseau, il n’est pas faux de supposer qu’il va tenter d’infecter d’autres systèmes. A ce moment là, l’objectif est de marginaliser l’impact d’une attaque en adoptant une approche proactive afin de comprendre l’étendue des dégâts, de contenir l’attaque, y remédier et revenir à la normale. Une approche proactive signifie par exemple de mettre en quarantaine à postériori les fichiers qui seraient passés inaperçus mais qui sont maintenant considérés comme malveillants.


Voir les articles précédents

    

Voir les articles suivants