Une réponse globale pour une sécurité efficace

Les entreprises sont de plus en plus ouvertes vers le monde extérieur. La généralisation des équipements mobiles (PC portables, smartphones) dont l’utilisation déborde du cadre professionnel, et le développement du BYOD, effacent les limites physiques de l’entreprise et augmentent le risque d’avoir un équipement infecté sur le réseau. En parallèle, les entreprises sont massivement interconnectées avec leurs partenaires et fournisseurs, tout en externalisant une partie de leurs ressources informatiques et humaines. Ce sont autant de points d’entrée potentiels pour les attaquants pour pénétrer l’entreprise ciblée.

En complément des solutions traditionnelles de sécurité périmétrique, il est maintenant nécessaire pour les entreprises de se protéger contre les nouvelles générations de cyber-menaces. Ces attaques sont souvent nommées APT pour « Advanced Persistent Threat ». Leur objectif est d’exfiltrer des informations sensibles de types données bancaires ou personnelles de clients, base CRM, secrets industriels, et ce, sans être remarquées. Ces attaques ciblées et complexes sont de type multi-vecteurs, décomposées en plusieurs étapes, sur des durées variables et peuvent utiliser des failles zero day et des malwares pendant l’une des phases de l’attaque. Les attaquants s’appuient sur des techniques de social engineering pour détecter et compromettre les employés critiques, puis atteignent la cible finale via des rebonds multiples en passant par des ressources intermédiaires non critiques possédant un niveau de sécurité inférieur.

La méthodologie employée pour ce type d’attaque pourra suivre ces différentes étapes :
• Reconnaissance et identification de la cible.
• Attaque initiale de type spear phishing (email ciblé contenant un malware ou dirigeant vers un site compromis), ou watering hole (compromission d’un site web visité par les employés ciblés). Dans tous les cas, les fichiers ou sites webs piégés ont un lien avec l’activité des destinataires. L’attaque repose sur les vulnérabilités connues ou inconnues (zero-day) des applications installées sur le poste.
• Installation d’une porte dérobée (via un malware) qui permet des élévations de droits et offre un contrôle total de la machine à distance via les serveurs de « Command and Control ».
• Mouvement latéraux de machine à machine sur le réseau.
• Exfiltration des données.

D’une façon plus globale, les cyber-menaces ne sont pas uniquement de type APT et les malwares ne sont pas seulement utilisés pour des attaques de type APT. « Malware » est un terme générique qui définit une grande variété de logiciels malveillants et intrusifs. On y inclut notamment les virus, vers, cheval de troie, « ransonware », spyware. Ils peuvent, par exemple, servir à créer un parc de PC zombies (botnet) qui sera exploité pour générer des attaques de type DDoS à l’insu de l’entreprise infectée et à l’ encontre d’une entité extérieure. Ces malwares évoluent très rapidement pour ne pas être détectés. Ils sont polymorphiques et recompilés continuellement.

Aujourd’hui, sans solution capable de détecter, d’analyser et de traiter ce type d’attaque, les entreprises ignorent qu’elles sont attaquées ou le découvrent souvent beaucoup trop tard.

Il existe diverses technologies et méthodes pour découvrir et bloquer les malwares et APTs. Certaines se basent sur l’analyse des malwares par les biais de retro-engineering et d’analyse du code. D’autres analysent le comportement du malware lors de son exécution sur une plateforme d’analyse ou directement sur un poste utilisateur. Enfin, certaines analysent le trafic réseau entrant/sortant pour détecter dans les flux les traces de compromission.

Une des premières réponses adaptées de protection se situe à la périphérie du réseau en déployant une solution de détection des malwares basée sur la technique du « sandboxing ». Le sandboxing permet de créer un environnement de type « bac à sable », en dehors du réseau de production, dans lequel le malware sera exécuté et son comportement analysé. Une fois l’analyse réalisée et le fichier validé comme malicieux, les données de « Security Intelligence » telles que le hash du fichier, les IPs ou URLs des serveurs de « Command and Control » seront partagées automatiquement au sein d’une communauté de clients afin d’accélérer la détection de ce malware. Ces solutions présentent une très grande efficacité de détection, mais de par leur fonctionnement ou leur implémentation, ne détecteront pas toujours en temps-réel une nouvelle menace. Les premières cibles (ou patient zéro) pourront se faire infecter avant que la solution de sandboxing n’ait pu finir l’analyse. Il faudra donc notamment prévoir des équipes de réponse sur incident prêtes à agir sur les postes.

Un deuxième type de réponse, souvent complémentaire à la première, est d’utiliser une solution qui s’attache à détecter les attaquants ayant déjà pénétrés votre réseau. Pour détecter ces menaces, les données qui proviennent de l’intérieur de votre réseau sont collectées, analysées puis corrélées :
• Analyse approfondie des postes utilisateurs (services et fichiers exécutables, contenu de la mémoire, base de registre, session netstats).
• Etude du comportement des connexions utilisateurs aux machines.
• Suivi des flux réseaux via l’usage d’une sonde DPI.

Mais surtout, ces solutions proposent aussi en temps réel, de mitiger ou supprimer la menace au niveau du poste utilisateur. Tout cela peut se faire de manière automatique ou semi-automatique en fonction des stratégies de contre-mesures définies au préalable. La notion d’automatisation ou semi-automatisation des taches d’analyse, de validation de la menace et de remédiation, est très importante pour de multiples raisons. Premièrement, elle permet d’estimer un retour sur investissement en le comparant au coût humain actuel d’une investigation et du nettoyage d’un poste. Deuxièmement, elle permet de s’assurer que des actions de contrition seront effectuées quelles que soit la disponibilité des équipes chargées de la sécurité. En effet, on a pu constater ces dernières années, que de très grandes entreprises se sont faites piratées, malgré qu’elles disposent des solutions les plus évoluées en termes de lutte contre les malwares. Il s’est avéré que le facteur humain était très souvent la cause de la réussite de l’attaque, les équipes de réponse sur incident n’étant pas assez qualifiées ou plus souvent trop surchargées pour qualifier l’incident et agir en conséquence. D’une manière plus globale, les contraintes organisationnelles ne sont pas souvent suffisamment traitées lors de la mise en place d’une solution alors qu’elles conditionnent souvent l’efficacité de la protection. Une automatisation du workflow d’analyse et de réponse permet de palier à certaines de ces difficultés.

Dans tous les cas, la meilleure réponse à ces attaques complexes sera de s’appuyer sur une architecture globale qui combine l’ensemble de ces technologies. Une protection périmétrique efficace grâce aux firewalls, IPS et solutions de sandboxing en interaction avec une solution qui analyse l’activité interne sur votre réseau et qui propose de nettoyer les postes automatiquement si nécessaire. C’est bien l’interaction de ces solutions qui permettra de maximiser les capacités de détection et de remédiation. Le tout devra concorder avec une réflexion sur l’organisation au sein de l’entreprise pour s’assurer de l’exploitation de ces nouvelles technologies.