Attaques zero-day : identifier la menace sans se faire repérer
Florian Malecki, Dell Security

• Print
• Twitter
• Linkedin

La disponibilité grandissante de kits d’exploitation encourage les cybercriminels à cibler les dernières vulnérabilités de type zero-day. Tandis que les logiciels malveillants sont désormais capables de détecter la présence des technologies d’isolation et de tromper les mécanismes de détection, les entreprises doivent désormais se doter d’un système intelligent de détection des menaces sophistiquées qui analyse le comportement des fichiers suspects et décèle les logiciels malveillants dissimulés sans se faire détecter lui-même.

Les entreprises de toute taille font les frais de cybercriminels qui cherchent continuellement à exploiter les failles de sécurité des applications et des infrastructures pour s’infiltrer sur leur réseau et y perpétrer des attaques potentiellement désastreuses en quelques minutes. L’édition 2016 du « Dell Security Annual Threat Report » rapporte une augmentation de 73 % des échantillons de logiciels malveillants uniques recensés en un an.

Les vecteurs d’attaque pour la distribution de malwares sont quasiment illimités, depuis les tactiques classiques d’envoi de spams par e-mail jusqu’aux technologies plus récentes, de type caméras connectées, voitures électriques et terminaux de l’Internet des objets.

Si les vecteurs sont nombreux, la forte progression enregistrée de l’utilisation de kits d’exploitation (les kits les plus actifs de l’année 2015 étaient Angler, Nuclear, Magnitude et Rig) amplifie la menace. L’explosion du nombre de ces kits représente en effet un flux permanent d’opportunités qui encourage les cybercriminels à cibler les dernières vulnérabilités de type zero-day (une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu), y compris celles apparaissant dans Adobe Flash, Adobe Reader et Microsoft Silverlight.

Des failles de sécurité persistantes face à des menaces de plus en plus sophistiquées

Un grand nombre des tentatives de compromissions en 2015 a pu réussir car les cybercriminels ont détecté et exploité une brèche dans les programmes informatiques de leurs victimes. Le plus souvent, les victimes d’attaques étaient équipées de solutions ponctuelles obsolètes ou déconnectées, incapables d’identifier et donc de bloquer les anomalies dans leur écosystème.

Le sandbox virtuel, mécanisme permettant l’exécution de logiciels dans des environnements virtualisés isolés en vue d’épargner le système d’exploitation et le reste du réseau, a longtemps compté comme l’une des meilleures parades.

Ce type de protection tend pourtant à perdre en efficacité : les logiciels malveillants et les menaces sont de plus en plus sophistiqués et sont désormais capables de détecter la présence d’un sandbox virtuel ainsi que de tromper les mécanismes de détection.

Ces tactiques d’évasion rendent possibles les attaques zero-day ciblées sur des systèmes informatiques et des terminaux.

Dans ce contexte, les entreprises ont besoin de se doter d’un système intelligent de détection des menaces sophistiquées qui analyse le comportement des fichiers suspects et décèle les logiciels malveillants dissimulés sans se faire détecter lui-même.

La sécurité connectée et l’association de plusieurs technologies spécialisées offre une solution évolutive pour contrer ce type de menace.

Protection contre les tactiques d’évasion des menaces persistantes avancées et zero-day

L’une des dernières innovations en la matière réside dans la combinaison de trois technologies harmonieusement intégrées dans un service cloud :

– La première est une technologie de pare-feu de nouvelle génération en mesure non seulement d’identifier les éventuelles menaces, quel que soit le type ou la taille du fichier ou le système de chiffrement utilisé, mais aussi de le faire suivre à un service cloud pour analyse. Dès qu’un logiciel malveillant ou une menace est identifié, son infiltration est interrompue par le déploiement instantané de signatures sur d’autres pare-feu pour assurer une “vaccination” rapide des systèmes d’information au niveau mondial.

– La deuxième consiste en un moteur d’analyse de machine virtuelle directement intégré à l’hyperviseur. Cette technologie offre une évolutivité supérieure à d’autres approches. En effet, rien n’est modifié au sein de la machine virtuelle, le processus d’analyse des menaces est donc invisible et ne peut être trompé ou contourné, si bien que l’efficacité de détection est optimale.

– La troisième technologie permet l’émulation d’un système complet. Ce faisant, elle confère une visibilité totale sur les instructions de CPU exécutées et les portions de la mémoire auxquelles le logiciel malveillant examiné a pu avoir accès. Cette technologie étant indétectable par les logiciels malveillants, elle peut contrer les techniques d’évasion sophistiquées, comme celle de reconnaissance de l’environnement de sandbox, des exploits au niveau du noyau, et d’utilisation de crypto en mémoire.

Auparavant, se protéger contre les menaces connues pouvait suffire. La rapidité avec laquelle les menaces sont développées invite désormais à étendre la capacité de défense des entreprises, y compris face à des menaces imprévues.

L’actuel paysage des menaces appelle à un éventail de mesures de protection plus large qu’il y a seulement six mois. La meilleure approche possible est d’être systématiquement protégé des menaces imprévisibles. Selon moi le développement d’un service de sandboxing pluri-technologies et pluri-fournisseurs est la meilleure réponse à ce besoin immédiat.

 

__________
Florian Malecki est Directeur Marketing Produits International, Dell Security