mar, 05/03/2013 - 16:08
La nature de la cybercriminalité évolue. Ce n’est plus la préoccupation des entreprises, organisations et gouvernements majeurs uniquement; toutes les entreprises représentent désormais une cible potentielle. Aujourd’hui, les cybercriminels disposent de plus en plus d’outils prêts à l’emploi et bon marché, et les entreprises de toutes tailles sont ciblées pour diverses raisons, parmi lesquelles bien évidemment le gain financier, mais aussi, l’obtention d’un avantage concurrentiel, et même, le défi pur. Par Christophe Auberger, Responsable Technique chez Fortinet.
Les attaques très ciblées sont désormais monnaie courante et ont entrainé un changement fondamental dans la façon dont la guerre contre la cybercriminalité est menée. Les Menaces Avancées Persistantes ou APT (Advanced Persistent Threats en anglais) qui s’appuient sur des méthodes d’attaques subtiles et très intelligentes ont entrainé un changement d’approche de la part des organisations qui cherchent non seulement à se défendre, mais aussi à identifier quand leurs réseaux ont été compromis. Telle est la subtilité et l’efficacité des APT qui auront déjà compromis de nombreuses organisations à leur insu. Aujourd’hui, le recours à la technologie basée sur les signatures ne suffit plus, car d’une part, les cybercriminels font preuve d’une extrême discrétion et ruse pour contourner la sécurité, et d’autre part, leurs attaques malveillantes sont capables d’éviter la détection traditionnelle.
Les logiciels malveillants modernes ont seulement besoin d’un point d’entrée dans le système cible et cela peut s’effectuer par de simples tactiques. De nombreuses attaques réussies accèdent au réseau de l’entreprise via l’envoi d’un email bien élaboré, contenant un lien malveillant, à un seul salarié. Ainsi, le personnel est amené à commettre à son insu des erreurs permettant d’utiliser des ‘exploits’ qui peuvent être latents, ou bien, qui opèrent avec une extrême subtilité pour éviter la détection.
Alors, comment les organisations peuvent se défendre d’une guérilla aussi habile, et quels sont les signes révélateurs montrant qu’un réseau a été compromis?
Une stratégie de ‘Réputation et de Notation Client’ peut aider à se défendre contre les attaques et identifier quand l’activité subversive a réussi. La technique de ‘Notation et la Réputation Client’ est une technique dynamique d’agrégation et de corrélation d’informations de sécurité, collectées à partir d’un réseau et comparées à une base existante. L’analogie dans le monde de l’assurance et de la finance serait la façon dont les calculs de risque sont appliqués selon les profils des clients faisant une demande de prêts ou d’assurance. Il s’agit d’une approche en matière de ‘réputation’.
Voici les principaux types de comportements et d’activités qui ont un impact sur la réputation et la notation:
Tentatives de Connexion
Les tentatives de connexion erronées peuvent signaler que des logiciels malveillants tentent de se connecter à un hôte qui n’existe pas parce que le centre de commande et de contrôle du malware a changé pour éviter la détection. Bien sûr, il peut y avoir des raisons légitimes pour qu’un hôte ne soit pas disponible, mais la répétition de tentatives infructueuses pour se connecter à des hôtes inexistants généreront une mauvaise note.
Profils des Applications
Un hôte qui installe une application de partage de fichiers P2P peut être considéré comme plus risqué qu’un hôte qui installe un jeu. Bien que ces deux actions puissent être considérées comme problématiques, l’organisation peut ‘mesurer’ chaque action et les noter en conséquence.
Situation Géographique
Se rendre sur des hôtes dans certains pays peut être considéré comme risqué, surtout s’il y a une quantité importante de trafic impliqué. Par exemple, les salariés basés au Royaume-Uni auraient peu de raisons d’envoyer ou de recevoir des fichiers volumineux en provenance d’Iran ou de Corée du Nord. Lors de l’élaboration des notes, une liste blanche peut être utilisée pour exclure des sites étrangers à forte notoriété.
Informations de Sessions IP
Un hôte classique ouvre une session mais est moins susceptible d’y mettre fin. Donc, si un hôte commence à écouter sur un port pour se connecter depuis l’extérieur, il peut être considéré comme une activité suspecte ou risquée.
Catégorie des Destinations
La visite de certains types de sites web, tels que les sites pour adultes, devraient être considérés comme une activité risquée et devraient être notés en conséquence.
En appliquant un système de notation basé sur l’activité à la fois du réseau et des personnes utilisant ce réseau, les actions anormales ou à risque élevé peuvent être identifiées, étudiées ou évitées. La Notation et la Réputation Client peuvent également être utilisées comme bases pour l’établissement de seuils et alertes pour les administrateurs afin de mieux se défendre et contrôler leurs réseaux. Fortinet a ajouté les fonctionnalités avancées de notation et de réputation client dans son dernier système d’exploitation de sécurité, le FortiOS 5. La capacité d’analyser d’énormes quantités d’informations provenant de diverses sources afin de rechercher des modèles types dans les paquets, applications, et sites web que l’utilisateur visite, permet aux administrateurs de désormais pouvoir contrôler leurs réseaux par des analyses avancées et des contrôles précis.
Christophe Auberger, Responsable Technique chez Fortinet
A propos de l'auteur