Global Security Mag : Pourquoi les attaques nouvelles sont-elles si préoccupantes ?

Emmanuel Le Bohec : Parce qu’elles se soldent par le vol de données vitales pour l’entreprise victime, qu’il s’agisse d’informations personnelles (clients ou employés), bancaires ou de brevets, par exemple. Les tendances IT actuelles - Cloud, Big Data, mobilité, BYOD… - augmentent les risques et sont un réservoir de profit et de ressources pour la cybercriminalité. Evidemment, les cyber-menaces s’adaptent et se modifient et les hackers améliorent leur méthodes en suivant l’évolution des technologies. Les malwares deviennent évasifs, n’épargnant aucune entreprise, aucun organisme, aucune administration. Les attaques ciblées, les APT et les logiciels malveillants avancés contournent les systèmes traditionnels de sécurité. Ils utilisent des moyens d’accès ouverts par défaut (web, e-mail, etc.), protégés par des outils reposant généralement sur des signatures (déjà trop nombreuses). Qui plus est, pour développer une signature, il faut avoir un premier exemple, une souche du malware. Les nouveaux malwares sont réalisés sur commande et de multiples variantes suivent très rapidement. Le choix d’un système de défense est donc de plus en plus difficile.

Global Security Mag : Vous me dites que les solutions traditionnelles sont dépassées. Que faut-il faire ?

Emmanuel Le Bohec : Effectivement. Les solutions traditionnelles ne fonctionnent pas face aux cyber-attaques de nouvelle génération. Or, les intrusions se multiplient. L’avenir repose sur les méthodes de détection d’infection sans signature, utilisant une démarche d’analyse comportementale avancée et permettant le blocage. Ce que permettent les solutions Lastline.

Global Security Mag : En quoi les solutions Lastline sont-elles si sûres ?

Emmanuel Le Bohec : De nombreux éléments font de Lastline la solution la plus performante, adaptée aux besoins de sécurité des entreprises, à la pointe dans la lutte contre les malwares modernes conçus pour se soustraire aux systèmes de sécurité traditionnels. Nous allons en évoquer quelques-uns.
Tout d’abord sa modularité. L’architecture comprend 3 modules distincts : le Sensor pour l’analyse réseau, l’Engine pour le sandboxing et le Manager pour la gestion « administrative » mais aussi pour la corrélation des informations remontées par les 2 autres modules. Cela va lui permettre de gérer des débits élevés mais aussi de couvrir l’ensemble des sites d’une entreprise tout en permettant une administration multi-niveaux (en central et/ou par filiales et sites distants). Si une attaque globale est lancée contre une entreprise, en visant plusieurs sites en parallèle, les observations seront ainsi partagées pour augmenter la réactivité et la protection. Se présentant à la fois sous forme d’appliance matérielle et appliance logicielle, la solution peut s’intégrer aussi bien dans des environnements dédiés que virtualisés/Cloud, c’est-à-dire mutualisés. La couverture de nombreux types de déploiement est un élément important (car permettant une homogénéité sans faille) mais souvent négligé.
En associant analyse réseau et analyse applicative, notre solution de sécurité de nouvelle génération possède des capacités de détection supérieures. La technique de sandboxing utilisée par l’Engine de Lastline diffère fortement des autres solutions commerciales. Utilisant des technologies d’émulation de CPU/mémoire, elle offre une plus grande visibilité des commandes du malware (ce qui améliore la détection mais aussi la remédiation) mais aussi une résistance aux techniques d’évasion, de contournement des solutions anti-APT intégrées de plus en plus fréquemment dans les nouveaux malwares. L’analyse du trafic réseau opérée par le Sensor complète la détection applicative et permet, en analysant les requêtes DNS, en utilisant la géolocalisation IP et le filtrage par réputation, en établissant ses propres étalons réseau (via Netflow) de détecter, notamment, les callbacks – ces connexions sortantes du malware vers son serveur de Commande & Contrôle pour lui permettre de mettre à jour ses commandes, installer des outils complémentaires ou exfiltrer les données collectées. La combinaison des deux techniques est efficace et nécessaire pour lutter contre les attaques modernes. Le Manager, via une interface ergonomique, vient compléter la détection avancée et offre une visibilité consolidée en temps réel des informations et un reporting intégré, permettant ainsi d’optimiser les ressources et les coûts. C’est pourquoi Lastline est aujourd’hui la meilleure solution pour détecter les menaces ciblées les plus récentes comme les malwares évasifs et les APT.

Au-delà de la solution, l’un des points forts de Lastline est sa R&D. Nos équipes de développement et de veille en vulnérabilités sont composées de chercheurs issus du milieu universitaire (certains sont encore en poste), ce qui nous assure une connexion permanente avec le monde réel mais aussi une avance et une réactivité supérieure. L’origine universitaire de Lastline, société issue de la recherche, est essentielle. Les fondateurs d’iSecLab - un laboratoire international de recherche sur la sécurité informatique appliquée, créé par plusieurs universités et écoles d’ingénieurs européennes et américaines et dédié à la sécurité du Web, à l’analyse des logiciels malveillants, à la détection des intrusions et à l’analyse des vulnérabilités - sont des universitaires, aujourd’hui considérés comme des précurseurs de la sécurité. Les équipes ont construit toute une infrastructure de collecte de données via des honeyclients, scrutant en permanence Internet pour détecter les nouvelles tendances et méthodes d’attaque que viennent compléter les outils d’analyse « historiques » des malwares d’iSecLab, Anubis et Wepawet, utilisés par près de 200 000 d’entreprises depuis près de 10 ans maintenant.

Simplicité de déploiement et d’exploitation, évolutivité, fiabilité, résistance aux techniques de contournement, associées à une R&D pointue et reconnue… autant d’éléments qui font que Lastline offre la protection permanente de référence.

Global Security Mag : Que souhaitez-vous ajouter ?

Emmanuel Le Bohec : J’ajouterai que nous proposons 2 solutions. Tout d’abord, Lastline Entreprise permet aux entreprises de détecter en temps réel et bloquer des fichiers contenant du code malicieux. Ensuite, Lastline Analyst permet une utilisation à la demande, facilitant le reverse-engineering des malwares. Pour les équipes des COS (Centres Opérationnels de Sécurité) et des CERT, avec qui nous travaillons quotidiennement, Lastline Analyst permet d’automatiser jusqu’à 90% des tâches, leur laissant le temps nécessaire pour gérer de plus nombreux fichiers et surtout, pour finaliser l’analyse qui demande une connaissance humaine de l’environnement, des processus métiers, etc.
De plus, le choix de quelques partenaires locaux experts en sécurité permet de proposer une solution complète, intégrée et, si besoin, gérée par un tiers de confiance. Tous ces atouts, associés aux équipes expertes de Lastline, font que son offre possède une approche, une technologie et une méthode uniques au monde avec, en plus, un excellent rapport coût/qualité !

EMMANUEL LE BOHEC - Directeur Régional Europe du Sud de Lastline
mobile : +33 6 20 71 02 71 // +33 640 625 520
skype : elebohec - linked-in : Emmanuel Le Bohec - web : www.lastline.com - twitter : @lastlineinc