Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FireEye déjoue les menaces de nouvelle génération

mars 2012 par Emmanuelle Lamandé

Fondée en 2004 par Ashar Aziz, la société FireEye propose un ensemble de solutions dédiées à la protection contre les menaces de nouvelle génération (Zero-Day, APT...). Pour parer ces menaces toujours plus insidieuses, cette entreprise américaine propose une nouvelle approche de sécurité, qui consiste à capturer les trafics suspects sur le réseau de l’entreprise, afin de les rejouer au sein d’un environnement virtuel.

Yogi Chandiramani, Denis Gadonnet, Ajay K. Sood et Stéphane Salin

Comme l’explique Ajay K. Sood, Territory Manager Canada – FireEye, la nouvelle génération de malwares et d’attaques, de type Zero-Day ou APT (Advanced Persistent Threats), se caractérise par sa capacité à reconnaître l’écosystème de la victime et à s’introduire furtivement dans les systèmes cibles. Une fois le réseau pénétré, l’obtention de droits d’accès vers d’autres systèmes internes est chose aisée, et l’exfiltration de données un jeu d’enfant.

Les logiciels malveillants sont donc aujourd’hui de plus en plus furtifs, polymorphes et silencieux. Ils contournent les systèmes de sécurité classiques, se jouent des filtres réseau existants et évitent les détecteurs d’anomalie pour s’infiltrer en toute discrétion. Seuls, les systèmes de défense traditionnels (antivirus, pare-feu, IPS…) ne suffisent pas pour arrêter cette nouvelle génération de menaces.

Face à ces menaces insidieuses et pernicieuses, la société FireEye propose une approche unique de sécurité, qui consiste à capturer les trafics suspects sur le réseau de l’entreprise, afin de les rejouer au sein d’un environnement virtuel. L’exécution en temps réel du code suspicieux dans un environnement virtualisé et isolé (sandbox), reflétant le système d’exploitation de la victime, permet d’avoir des certitudes concernant l’objet analysé, tant sur son comportement que sur ses intentions de nuire.

Les solutions FireEye s’appuient sur un moteur d’analyse à plusieurs étages, appelé FireEye Attack Confirmation Technology (FACT), qui identifie les PC compromis et empêche la contagion à de nouvelles machines. Pour ce faire, le système capture de façon agressive les codes potentiellement malicieux en observant les profils et en combinant des mécanismes heuristiques et de détections d’anomalies réseaux. Dans un même temps, les call back sont bloqués et l’exfiltration de données sensibles interdit.

Dans un second temps, les appliances FireEye confirment la présence du logiciel malveillant et éliminent les faux positifs en s’appuyant sur des machines victimes virtuelles indétectables, dont le rôle est de rejouer le trafic malicieux. L’appliance restitue la véritable activité réseau dans un environnement totalement isolé.

Enfin, lorsque la présence d’un logiciel malveillant est confirmée sur une machine victime virtuelle, les appliances FireEye alertent l’administrateur et lui transmettent les détails relatifs à l’attaque (nature de l’attaque et son impact au niveau OS, fichiers et données), tout en bloquant dans le même temps cette attaque. Si souhaité, ces informations seront partagées avec la base de connaissance mondiale de FireEye, de manière à améliorer en continu l’efficacité des méthodes de détection.

L’offre de FireEye s’articule aujourd’hui autour des produits suivants :
- Les plates-formes Web Malware Protection System (WMPS) de FireEye inspectent et protègent le trafic Web entrant et sortant en s’appuyant sur le moteur d’analyse (VX Engine). Celui-ci permet une exécution virtuelle, dynamique et en temps réel des menaces Web dans des environnements virtuels isolés (sandbox).
- Les appliances Email Malware Protection System (EMPS) inspectent, via le même moteur d’analyse, les pièces jointes et URLs contenus dans les messages électroniques.
- File Malware Protection System (FMPS) permet, de son côté, de détecter une infection dans tous types de fichiers dans le réseau et le Data Center.
- Les plates-formes Malware Analysis System (MAS) donnent, quant à elles, la main aux analystes de menace, via le moteur VX engine, afin qu’ils puissent analyser en profondeur les logiciels malveillants embarqués dans des formats de fichier communs, des attachements de courrier électronique et des objets Web.
- Central Management System (CMS) est une console d’administration centralisée qui consolide l’administration, les rapports d’activités et les données partagées par les différents appareils FireEye.
- Enfin, Malware Protection Cloud permet un échange d’informations en temps réel sur les menaces au niveau mondial, qui aide à identifier et anticiper l’apparition des menaces de type zero-day.

FireEye a été fondée aux Etats-Unis en 2004 par Ashar Aziz. Après cinq ans de développement, les solutions ont commencé à être commercialisées en 2009. La société compte, à l’heure actuelle, 230 collaborateurs et plus de 600 références dans le monde (gouvernements, banques, industries…), souligne Denis Gadonnet, Regional Sales Manager – Europe du Sud.

Le groupe souhaite aujourd’hui développer sa croissance à l’international. Dans cette optique, FireEye a d’ailleurs ouvert un bureau en France en janvier dernier, composé de quatre personnes en charge de l’Europe du Sud. Pour l’accompagner dans cette mission, l’entreprise pourra également compter sur le soutien de son distributeur à valeur ajoutée Exclusive Networks, avec qui il a signé un partenariat paneuropéen. Cet accord porte sur la France, l’Espagne, le Portugal, l’Italie, l’Angleterre, l’Allemagne, la Norvège, la Suède, la Finlande, le Benelux et le Maroc.




Voir les articles précédents

    

Voir les articles suivants