Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Evolution des cyber-attaques : quels types de solutions mettre en place ?

novembre 2012 par Noël Chazotte et Nicolas Leseur, Marketing et Innovation Sécurité, Telindus France

Terrorisme, espionnage industriel, vols de données critiques,
monétisation de l’information, les opportunités d’attaques se
multiplient et évoluent au fur et à mesure où le cyber-espace se
développe. De nouveaux attaquants font leur apparition, ils sont plus
nombreux, mieux organisés, plus compétents. Cette évolution
s’observe dans la complexité des malwares analysés jusqu’à présent
tels que STUXNET en 2010 qui reste toutefois 20 fois moins
sophistiqué que FLAME identifié à peine deux ans plus tard en juin
2012.

Avec l’ouverture du système d’information (SI) des entreprises, l’exposition
au risque provenant d’Internet ne cesse d’augmenter. Or, les attaques qui se
multiplient le prouvent, les entreprises ne sont pas équipées pour y faire face.
L’étude « Growing Risk of Advanced Threats » menée en 2010 par Ponemon
Institute révèle que 83% des entreprises pensent qu’elles ont été victimes
d’attaques avancées et 65 % d’entre elles pensent qu’elles n’ont pas les
ressources pour s’en prémunir. Trop d’entreprises ne sont dotées que d’une
protection passive, qui leur permet éventuellement d’agir en cas d’attaques
mais elles doivent aujourd’hui évoluer vers une protection proactive pour
créer toujours plus d’obstacles sur la route des cyber-criminels.

Faut-il abandonner les solutions classiques de sécurité et de
protections ?

Les outils de sécurité périmétrique et interne à l’entreprise ont évolué pour
atteindre un très bon niveau de maturité (stabilité, efficacité). Ceci conduit à
pouvoir bloquer la majorité des attaques provenant d’Internet.
De plus, si effectivement les outils de sécurité traditionnels n’ont pas la
capacité à arrêter les attaques avancées, ils vont pouvoir être utiles pour
surveiller les flux légitimes, détecter certains comportements anormaux
(signaux faibles) et éventuellement, prendre part au processus de réaction
(remédiation, correction…). Ces outils resteront donc à la base d’un système
de sécurité.

Les technologies actuelles sont donc toujours nécessaires, mais plus
suffisantes.

Pour repenser l’axe stratégique de défense du SI il faut prendre en
compte 3 piliers :

1) Surveiller

Le problème des nouvelles attaques est que leurs flux se présentent comme
des flux licites (exploitant des protocoles standards), éventuellement
chiffrés, et dont les données utiles sont fractionnées (le code actif ou
l’extraction de données est découpé en de multiples éléments a priori
anodins).

Les systèmes de surveillance peuvent protéger et surveiller tout ou partie
des couches du SI, en distinguant notamment, les couches
d’infrastructures, des applications, et des données.

On peut citer et regrouper les principales technologies suivantes :
• filtrage réseaux (FW) ;
• application des signatures (AV, IPS) ;
• analyse comportementale (Anti-malware) ;
• protections des applications (WAF) ;
• surveillance de l’accès aux données sensibles (usage réel, droits
d’accès…) ;
• DLP.

2) Détecter

La principale caractéristique des nouvelles attaques est leur furtivité, en
effet, elles parviennent à faire passer du code (vers le SI) ou extraire des
données (depuis le SI), de manière silencieuse. Cette furtivité est donc
associée aux signaux que ces attaques s’efforcent de minimiser : ce sont les
« signaux faibles ». L’un des enjeux techniques sera donc de parvenir à
détecter ces signaux parmi la multitude d’évènements normaux ou anormaux
(Facteur technique liés à l’infrastructure du SI, détection d’un changement de
réputation « électronique » de l’entreprise, etc., facteur humain comme des
plaintes venant des clients, utilisateurs, administrateurs et le facteur
Environnemental, hors cadre du domaine informatique).
Les solutions de détection vont venir en renfort des briques de sécurité
traditionnelles afin de couvrir les zones non couvertes par celles-ci, tout en
apportant les moyens nécessaires pour gagner en proactivité et capacité de
réaction.

3) Réagir

La réaction face à un incident est généralement constituée de deux phases :
• la phase d’enrichissement : prise en compte de toutes les
informations possibles associées à l’évènement ;
• la phase de remédiation en tant que telle qui s’appuie sur une
procédure liant le traitement technique et organisationnel de
l’incident.

Un IPS ou un antivirus permettent par exemple d’avoir une réaction
automatique sur reconnaissance d’un évènement malveillant clairement
identifié. En revanche, ces outils sont limités pour de nouveaux types
d’attaques.

Quels types de solutions mettre en place ?

Les nouvelles solutions permettent de couvrir une ou plusieurs de ces étapes
capitales pour assurer la protection de son SI. On parlera ici de nouvelles
technologies autour de trois axes principaux :
 Protection avancée contre les malwares :
Parmi les solutions disponibles nous retrouvons celles basées sur un système
de prévention contre les programmes malveillants qui exploitent une
technologie de pointe pour détecter et empêcher l’exécution de code
malveillant, le vol de données et la prolifération des botnet.
Ce type de technologies détecte les « maliciels » et les machines « botnet » en
utilisant la technologie de Machine Virtuelle (VM) en « sandbox ». De plus,
l’interaction avec une plate-­ ?forme mondiale d’échanges d’informations
dédiées aux logiciels malveillants améliore l’efficacité des analyses locales et
permet d’identifier, de comprendre et d’arrêter plus rapidement et plus
précisément les attaques (connues ou inconnues) de logiciels malveillants
venant du Web et de réseaux de « zombies ». Cette solution ne permet pas
forcément d’empêcher un code malveillant de pénétrer le système
d’information, néanmoins la détection peut être rapide afin de mettre en
place les contre-mesures spécifiques avant que l’attaque ne puisse
réellement être mise en oeuvre.

 Protection des données :
Une autre solution pour se prémunir des malwares visant à compromettre ou
voler les données de l’entreprise, consiste justement à identifier les risques
pour protéger l’accès aux données sensibles. On parle alors d’outils de
gouvernance de la donnée.
L’augmentation du volume de données est un fait, mais la difficulté réside
dans la dissémination de ces données dans le SI et la gestion des droits
d’accès à ces données. Les données sont réparties majoritairement sur des
serveurs de fichiers, et il est souvent difficile d’identifier les propriétaires
des données et encore plus d’identifier qui accède réellement à ces données,
afin de savoir s’ils ont les habilitations. Il existe pourtant des systèmes de
classification des données qui sont sensés répondre à ce besoin, néanmoins
sur le volume on ne peut jamais être sûr que le système de classification a été
respecté et surtout, si les droits d’accès ont bien été appliqués en fonction de
la sensibilité des données.

Aujourd’hui, des solutions techniques permettent de répondre à ce challenge
en donnant une vue exhaustive de l’accès aux données permettant de
mettre en évidence des points à corriger. On aura par exemple la possibilité
de visualiser des données qui sont sur des serveurs de fichiers et qui ne sont
pas accédées, ces données vont alors pouvoir être archivées.

 Visibilité exhaustive des flux de données

Devant la complexité et la multitude de flux de données dans un système
d’information, il devient difficile voire impossible de déterminer quels sont les
usages illicites ou anormaux parmi le flot d’usages légitimes. Lorsqu’on a
un doute sur une intrusion possible ou même tout simplement lorsque
l’attaque est avérée (parfois les entreprises l’apprennent par la presse !), il est
important de pouvoir comprendre quel a été le vecteur de l’attaque et
surtout quels sont les dégâts réellement causés.

L’objectif de ce nouveau type de solution est d’effectuer une capture complète
de toutes les sessions utilisateurs en permettant de suivre et ainsi de donner
une visibilité exhaustive sur l’activité réseau et le comportement des
utilisateurs (de la couche réseau à la couche applicative). Tout cela, en
ayant la capacité de remonter sur des évènements passés. Il va sans dire
qu’une telle masse d’informations n’a de sens que si l’outil permet de créer
des metadonnées suffisamment complètes et avancées pour gérer finement
les recherches à travers une interface utilisateur simple et efficace.
Au final, même si ces nouvelles solutions donnent les moyens d’agir face aux
nouvelles menaces, les technologies ne sont que des outils au service d’une
nouvelle approche de la sécurité qui doit être créée au sein de l’entreprise.


Voir les articles précédents

    

Voir les articles suivants