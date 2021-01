Se défendre contre les APT de demain avec SonicWall

janvier 2021 par SonicWall

Comme nous l’avons vu cette année, l’actuelle pandémie COVID-19 a créé de puissantes opportunités pour les nations de se pirater et de s’espionner les unes les autres. Outre la puissance des leurres de phishing liés aux thèmes du Coronavirus, la course pour être le premier à obtenir un vaccin a conduit à un certain nombre d’incidents d’espionnage liés au vol de la propriété intellectuelle dans les laboratoires de recherche. Sur la base de preuves récentes, il est probable que nous verrons d’autres campagnes qui essayent de tirer parti des vulnérabilités en matière de sécurité provoquées par les perturbations sur le lieu de travail - du bureau à la maison et vice-versa - qui ne semblent pas avoir de fin en vue actuellement, et qui s’étendront encore certainement pendant plusieurs mois en 2021.

Outre les questions liées à la pandémie, 2020 est une année qui a connu de vastes perturbations politiques, sociales, économiques et climatiques aux États-Unis, et dans une certaine mesure au Royaume-Uni et en Europe également. Tous ces éléments sont un véritable moulin à paroles pour les acteurs de la cybermenace, qui saisiront toutes les occasions de tirer parti de l’actualité pour faire avancer leurs campagnes.

Défendre l’entreprise à l’ère de la cyberincertitude

Le tableau semble sinistre, mais les entreprises sont loin d’être seules ou sans défense. Les récentes sanctions imposées par les États-Unis aux pirates informatiques iraniens, les propositions de sanctions de l’UE contre le piratage informatique russe et les annonces conjointes de responsables de pays comme les États-Unis et le Royaume-Uni (comme une récente déclaration blâmant la Chine, l’Iran et la Russie dans leurs tentatives de voler la recherche sur le vaccin COVID-19) sont le signe d’une plus grande coopération internationale qui, espérons-le, contribuera à réduire ces activités destructrices.

Il existe un certain nombre d’initiatives visant à protéger le secteur de la santé contre les cybermenaces pendant la COVID-19, ainsi que des partenariats entre les nations, les organismes d’application de la loi et les efforts de collaboration entre les secteurs public et privé qui sont également mis en place pour améliorer la cybersécurité des entreprises.

Au niveau organisationnel, l’époque où il était possible de croire que votre organisation n’était pas "intéressante" pour les attaquants avancés est bel et bien révolue. Les acteurs de l’État-nation aspirent des masses de données relatives aux organisations et aux individus simplement parce qu’ils le peuvent, et parce qu’ils ne savent jamais quand cela pourrait être utile.

Ces acteurs de l’État-nation s’appuient fortement sur l’ingénierie sociale pour obtenir des références, livrer leurs charges utiles par courrier électronique (généralement cachées dans des documents ou des images), et infecter les terminaux afin d’obtenir l’accès aux données puis les exfiltrer.

Compte tenu de la diversité et du nombre croissant des menaces, les entreprises doivent veiller à procéder à une évaluation complète des risques, à élaborer un plan de sécurité prévoyant des mesures d’urgence en cas d’incident et de continuité des activités, et à déployer des solutions technologiques fiables pour alléger la charge de travail du personnel.

Comment se défendre contre eux

Malgré une main d’œuvre majoritairement éloignée en raison des commandes d’abris sur place, il est toujours vital de construire une défense en couches qui commence au réseau et descend jusqu’au point d’extrémité, puis remonte jusqu’au cloud.

Lorsque nous parlons de mesures préventives, nous commençons généralement par le périmètre, car le trafic passe dans le réseau. L’entreprise SonicWall identifie et crée des définitions pour environ 140 000 nouvelles menaces chaque jour ouvrable. Ces définitions sont transmises aux dispositifs et services SonicWall pour arrêter les menaces connues, ce qui résout généralement environ 99 % des menaces aujourd’hui. Mais en ce qui concerne les APT et les attaques ciblées, ces définitions peuvent ne pas être utiles. Malgré le fait que les pares-feux de réseau et le célèbre pare-feu de nouvelle génération soient sur le marché depuis un certain temps, ces chevaux de bataille de la sécurité se taillent toujours la part du lion dans la protection des réseaux, d’abord en éliminant les menaces connues, puis en utilisant diverses ressources pour stopper les attaques tout en gérant le trafic.

C’est là que la technologie supplémentaire est nécessaire pour trouver les menaces inconnues. Il s’agit généralement d’un mélange d’heuristiques sur les points d’extrémité et de sandboxes sur le réseau. Chez SonicWall, est déployée une technologie appelée Capture Advanced Threat Prevention (Capture ATP) avec Real-Time Deep Memory Inspection (RTDMI) sur presque tous les services et produits que nous vendons. Pour qu’elle fonctionne, un fichier doit faire l’objet d’une vérification statique de sa présence sur une liste d’autorisation ou de blocage. S’il ne figure sur aucune de ces listes, il est envoyé soit à un point de présence (PoP) de Capture ATP pour être examiné par la technologie de "sandboxing" basée sur le cloud, soit à votre appliance de sécurité de capture (CSa) sur site pour être examiné. Capture ATP examinera les fichiers en parallèle dans plusieurs moteurs de bac à sable pour rechercher les comportements malveillants et rapportera les résultats. En février 2018, a été ajouté RTDMI à Capture ATP sans frais supplémentaires. Cette technologie permet de tester les fichiers et le code en mémoire pour trouver des résultats plus rapidement et avec plus de précision. Outre leurs clients du secteur privé, c’est sur cette technologie que les clients de Sonic Wall des gouvernements fédéral, provinciaux et locaux comptent pour leur sécurité, en particulier contre les nouvelles attaques par des logiciels de rançon.

Le phishing étant le vecteur numéro un dans la plupart des compromis, la formation à la sensibilisation au phishing, soutenue par une sécurité avancée du courrier électronique capable de reconnaître les menaces connues et inconnues, est une priorité. La manière dont la classification des menaces connues et inconnues est gérée est décrite ci-dessus. C’est le travail de l’équipe Capture Labs pour créer des définitions statiques, et le travail de Capture ATP pour rechercher l’inconnu.

Dans l’état actuel des travaux SonicWall, la sécurité des points d’accès peut être votre première et dernière ligne de défense. À moins que vous ne forciez vos employés à passer par le pare-feu via un VPN ou une solution SASE basée sur le cloud, comme SonicWall Cloud Access Secure Access, pour accéder à Internet sur leurs appareils, il y a de fortes chances que vous deviez compter sur la sécurité des points d’accès pour les garder en sécurité. SonicWall Capture Client est un système de sécurité léger et avancé basé sur des heuristiques qui examine le système en permanence (avec une utilisation du système d’environ 0,1 à 0,4 %) afin de détecter les comportements malveillants dans le but de stopper les attaques avant qu’elles ne puissent être exécutées. Si un élément provoque des dommages, vous pouvez facilement ramener le point d’extrémité à son dernier état de service connu.

Outre la possibilité de bloquer les attaques, qu’elles aient été identifiées ou non, une grande attention a été accordée récemment à la possibilité de cataloguer toutes les applications et vulnérabilités de tous les terminaux protégés. Les attaquants APT ont tendance à se concentrer sur les derniers exploits, car ceux-ci devraient leur fournir la cible la plus importante et la plus vulnérable à atteindre. Cette fonctionnalité, appelée Application Vulnerability Intelligence, est vitale pour notre clientèle, en particulier les entreprises et les gouvernements, pour atténuer les effets d’une attaque. En outre, grâce à sa technologie de filtrage de contenu intégrée, vous pouvez appliquer vos politiques de contenu Web sur le point d’extrémité éloigné du périmètre, ou au moins bloquer l’accès à tous les sites malveillants connus.

Au-delà de la simple énumération de quelques solutions SonicWall en jeu ici dans la lutte contre les groupes APT, il existe d’autres solutions - du sans fil sécurisé aux rapports et analyses avancés - qui sont d’excellents outils pour découvrir et atténuer les problèmes potentiels.

Conclusion

Il n’y a pas si longtemps, l’existence même des APT était quelque chose d’enveloppé dans le mythe et le secret, mais avec les révélations publiques et les fuites de boîtes à outils APT maintenant dans le domaine public, il semble que les acteurs de l’État-nation ne soient plus aussi timides qu’ils l’étaient autrefois. La discussion sur les activités de l’APT fait maintenant partie du discours cybernétique dominant, toutes les parties semblant se contenter de reconnaître ouvertement que la cyberguerre entre les nations fait partie de la "nouvelle normalité" qui sera avec nous pendant un certain temps encore.

Les entreprises doivent comprendre que dans notre monde interconnecté, il n’y a rien d’"invisible" ou d’"inintéressant" pour les cyber-attaquants avancés. Que vous le sachiez ou non, que vous le vouliez ou non, si vous stockez et traitez des données en ligne et que vous entretenez des relations commerciales de quelque nature que ce soit, il existe un acteur de la cyber-menace APT qui s’intéresse à vous, à vos données, à votre produit, à vos clients et/ou à vos fournisseurs.

Cela peut sembler effrayant, mais heureusement, les APT et leurs tactiques, techniques et procédures ne sont plus entourés de mystères. Les APT ne sont qu’un autre acteur de la menace auquel nous devons tous faire face. Nous ne sommes pas seuls dans ce combat, et nous ne sommes pas sans défense, tant que nous reconnaissons d’abord la menace et que nous prenons ensuite les mesures appropriées.