Un avis d’expert éclairé du Directeur Europe du Sud de Sourcefire sur les premières mesures à prendre d’urgence quand on vient d’être la victime d’une attaque de malware…
Par Cyrille Badeau, Directeur Europe du Sud de Sourcefire
Selon le rapport U.S. Advanced Persistent Threat Analysis d’ESG Research, publié en novembre 2011, 77 % des entreprises augmenteront leurs dépenses sur la sécurité en réponse aux attaques de malwares avancés et aux attaques ciblées telles les Advanced Persistent Threats (APT).
Ces menaces évoluées peuvent prendre n’importe quelle entreprise au dépourvu. Même les meilleures stratégies de sécurité et de réponse aux incidents ont tendance à se baser sur une vision dépassée du paysage des menaces et sur des défenses visant uniquement une seule menace.
Ciblés et rusés, les malwares avancés utilisent toute une panoplie de vecteurs d’attaque pour compromettre les environnements, prennent des formes infinies, lancent des attaques au fil du temps et sont capables de masquer l’exfiltration des données. Alors que les technologies de détection et de protection ont évolué et témoignent des améliorations importantes par rapport aux méthodes traditionnelles, les brèches demeurent. Et les promesses d’une « solution miracle » pour un problème à multiples facettes peuvent détourner l’attention des équipes de sécurité qui doivent désormais faire face à des hackers déterminés et acharnés et répondre à des attaques ciblées.
Les menaces modernes exigent donc une stratégie de réponse moderne tout au long du cycle de vie de la menace. Regardons de plus près les principaux facteurs à prendre en compte pour mettre à jour une stratégie de sécurité et de réponse aux incidents et gagner en visibilité et en contrôle sur les malwares avancés pour une meilleure protection.
Renforcer les défenses : toute stratégie de réponse aux malwares doit commencer par la détection et le blocage. Afin d’obtenir une détection et un blocage efficaces sans trop de « bruits de fond », il faut disposer d’une base d’informations sur l’ensemble des éléments de son réseau afin de le défendre – les équipements, systèmes d’exploitation, services, applications, utilisateurs, contenus et les vulnérabilités potentielles. La détection des malwares, la capacité à identifier les fichiers en tant que fichiers malveillants dès le point d’entrée et à y remédier, alliée à la mise en œuvre d’un contrôle d’accès aux applications et aux utilisateurs, est également importante. Ces mesures ne permettent pas uniquement d’initier des démarches pour réduire l’ampleur d’une attaque, mais avec le bon contexte d’information, la détection peut aussi indiquer si l’entreprise se trouve au cœur de la cible d’une attaque. Malheureusement, c’est souvent à cette première ligne de défense que la plupart des stratégies de sécurité et de réponse commencent et se terminent.
Ce qui est devenu indispensable, c’est la possibilité de revenir en arrière sur les tentatives d’attaques passées et de mieux appréhender le contexte d’une détection dans le cadre d’une communauté de malwares plus étendue pour savoir si le fichier malveillant est répandu ou unique, et si votre entreprise est une cible spécifique ou non. La détection rétrospective est un moyen de regarder continuellement en arrière et de confronter chaque logiciel aux dernières informations sur une menace pour optimiser la détection et éliminer ainsi une dimension clé dans une attaque – le temps. Un maillage de technologies de détection qui travaillent ensemble, profitant du contexte des unes des autres pour améliorer la détection au point d’entrée et à postériori sur le réseau et les systèmes hôtes, est essentiel lors de la mise à jour d’une stratégie de réponse.
Identifier la/les cible(s) : néanmoins, la meilleure détection et prévention des menaces a ses limites. Lorsqu’une attaque est lancée, on doit pouvoir identifier le « Patient Zéro » – le point d’origine du malware. A partir de là, la visibilité pour identifier les systèmes affectés, l’application ayant contribué à l’introduction du malware, les fichiers responsables de sa propagation et les systèmes affectés permettent de traiter l’infection à la source et d’éviter une réinfection.
La capacité à comprendre de quelle manière le malware communique à l’intérieur et à l’extérieur du réseau, entre systèmes, entre applications et vers les serveurs de commande et de contrôle et vers d’autres sites malveillants donne un aperçu plus important pour permettre d’identifier les points d’origine, de maîtriser les systèmes affectés et de prévenir une réinfection. Quand un réseau est assiégé, trouver rapidement les systèmes affectés est la clé pour briser le cycle du malware.
Reconnaissance de l’ennemi : lorsqu’un hacker réussit à contourner les technologies de sécurité traditionnelles, il y a de fortes chances que vous entriez en mode « pompier » n’ayant ni le temps, ni l’expertise, pour plonger dans des volumes importants de données et réaliser des analyses approfondies. A ce moment-là, l’utilisation des analyses Big Data pour identifier les caractéristiques comportementales du malware permet de comprendre rapidement la menace. La visibilité sur la manière dont le malware affecte les autres fichiers avec lesquels il aurait interagi ou le moyen utilisé pour pénétrer sur le système sont aussi essentiels.
La notion de « brebis galeuse » s’applique à cette situation. La compréhension des rapports entre systèmes est d’une importance capitale. Le malware a-t-il déjà commencé à communiquer avec d’autres systèmes ? Si oui, le hacker aurait peut-être déjà établi une prise sur d’autres éléments en s’appuyant sur les droits acquis sur le système d’origine affecté. Avec ce niveau d’accès, le hacker pourrait quitter l’élément d’origine infecté et pénétrer d’autres systèmes, devenant ainsi invisible aux méthodes de détection traditionnelles (jusqu’à ce que les dégâts soient faits). Il s’agit d’obtenir un aperçu plus complet sur la menace et sa trajectoire.
« Avoir le dessus » : la détection et le blocage, combinés à l’identification des systèmes affectés, garantissent que vous démarrerez d’une position de force pour éliminer le malware sans perdre du terrain. La mise à jour des protections sur la base des derniers renseignements concernant les menaces et l’élimination des vecteurs d’attaque grâce à un contrôle des applications permettent de réduire encore plus les risques. La compréhension du comportement d’un fichier et sa trajectoire peut aider à minimiser l’impact d’une attaque.
Dans le cas des malwares avancés, il existe beaucoup de zones grises entre les « bons » et les « mauvais » fichiers connus. Il faut savoir bloquer les fichiers suspects ou continuer à les suivre et les analyser pour obtenir des renseignements sur les menaces en temps réel. Si les données de sécurité indiquent qu’un fichier suspect ou inconnu est en réalité un malware, la vérification rétrospective permet de le supprimer. Mais le contrôle ne peut pas s’arrêter au réseau. Une protection venant du réseau doit agir conjointement à la protection des terminaux afin de garantir une réponse et une réparation complètes tout au long du cycle de vie des menaces.