Le modus operandi de la nouvelle génération de cyber-attaquants comporte deux aspects clés. Le premier est qu’ils utilisent des techniques furtives et particulièrement avancées qui déguisent des programmes malveillants connus pour leurrer la détection statique basée sur des moyens tels que les signatures. Le second est que les attaques n’utilisent plus les mécanismes de diffusion traditionnels à base de fichiers sur lesquels se concentrent tous les antivirus, et même quelques-unes des solutions de sécurité axées sur le comportement. Dans la quasi-totalité des cas, les attaquants ont en vue une cible lucrative, mais vulnérable – à savoir le poste de travail. Quel que soit le type de terminal (ordinateur portable, ordinateur de bureau, serveur, périphérique mobile de point de vente, système SCADA, ou même objet connecté (IoT)), celui-ci est à la fois le point d’entrée sur le réseau pour un attaquant et la scène de crime sur laquelle nous avons besoin de concentrer nos efforts de détection et de protection. Il est ainsi démontré que près de 70 % des violations de données impliquent des attaques malveillantes sur les postes.

Parallèlement, il devient de plus en plus difficile pour les entreprises de compter sur les techniques traditionnelles statiques de détection et de protection contre les malwares. Tous les antivirus et protections périmétriques ne parviennent pas à protéger contre ces formes d’attaques, en particulier dans un monde où les données sensibles sont susceptibles de résider aussi bien sur un terminal mobile que dans le Cloud. L’âge du zéro day et des attaques ciblées créés par des équipes bénéficiant de ressources conséquentes, exige une nouvelle façon de gérer et d’atténuer les menaces les plus avancées qui ciblent les postes de travail.

Maitres de la dissimulation  

Afin de mieux se protéger contre ces attaques, il faut bien connaître ses ennemis. Mais plus important encore, nous devons garder un œil sur les techniques qu’ils utilisent pour infecter le poste de travail. Comprendre ce qu’ils font et la raison pour laquelle le poste est devenu une cible clé est la première étape dans l’atténuation des risques posés par ces attaques malveillantes.

Ce que nous devons garder à l’esprit est que, si un programme malveillant n’a pas changé de manière significative à sa base – et qu’un ransomware reste un ransomware – les méthodes utilisées pour échapper à la détection et compromettre un système, ont évolué. Les techniques d’évasion telles que l’encapsulation – qui protègent les fichiers exécutables – permettent à un malware de contourner tous les mécanismes de sécurité pour trouver son chemin vers le poste de travail.

L’approche de protection défensive basée sur les connaissances existantes d’une attaque est de plus en plus futile : l’antivirus est statique et vérifie l’empreinte digitale du fichier qui peut être facilement modifiée par des attaquants – ils vont tout simplement faire muter leurs créations ou modifier la signature du fichier pour lui permettre d’échapper aux antivirus. Ils peuvent également exécuter des attaques ne nécessitant pas de fichier et susceptibles d’être téléchargées par quelque chose d’aussi simple que la navigation sur un site Web. Ce type de malwares ne peuvent pas être captés par l’antivirus puisqu’il existe uniquement au niveau de la mémoire et non au niveau du disque dur de la cible.

En bref, faire confiance aux antivirus serait un peu comme espérer qu’un vaccin contre la grippe protège contre la rougeole ou la rubéole – ou même d’autres souches de la grippe. Il ne peut être efficace que pour protéger de la maladie connue pour laquelle il a été spécialement conçu. Il convient donc de trouver un autre moyen de repérer les problèmes au niveau des « signes vitaux » de l’entreprise.

Même avec des techniques défensives qui ne s’appuient pas sur une connaissance préalable des fichiers malveillants, les attaquants ont déjà une longueur d’avance. Un malware conscient du contexte saura reconnaître s’il est dans un environnement virtualisé – synonyme d’approche sandbox – plutôt que de s’exécuter directement sur le poste qu’il veut compromettre. Cela crée des limites dans l’utilisation du sandboxing pour la détection des programmes malveillants zero-day et des attaques furtives. Ces derniers peuvent en effet tirer parti des défauts conceptuels inhérents d’une sandbox (temps d’émulation limitée, manque d’interaction avec l’utilisateur, et ne s’appuyant que sur une image spécifique de l’OS). S’il n’y a aucun moyen capable de détecter un comportement inhabituel à ce stade, l’attaquant est en mesure d’exécuter du code malveillant.

Atteindre la cible

Le but de ces techniques évasives est de progresser vers l’objectif ultime : le poste de travail. Celui-ci est généralement le maillon le plus faible au sein de l’entreprise et la passerelle vers le reste du réseau. A partir de là, s’il n’est pas détecté, l’attaquant a carte blanche pour faire autant de reconnaissance que possible sans aucune intervention humaine. Il est donc logique que la protection soit au niveau du poste lui-même, mais il est pour cela indispensable de disposer de moyens plus dynamiques d’identification des exploits.

Il est possible de reprendre le contrôle du poste, mais plutôt que de se concentrer sur ce qu’est l’exploit, il est nécessaire de regarder comment celui-ci agit. Se concentrer sur le comportement du programme malveillant, signifie ne pas être dépendant d’indicateurs statiques qui peuvent être facilement modifiés. Un apprentissage automatisé sophistiqué, examinant des modèles d’attaques, des techniques d’évasion, et bénéficiant de la connaissance de la menace (threat intelligence) partagée à la minute près, peut fournir la clairvoyance nécessaire pour anticiper ce que le malware va faire, et l’arrêter avant qu’il ne progresse. La surveillance et l’analyse en temps réel du comportement des applications et des processus et la capacité de déterminer le contexte d’une attaque, peuvent réduire le risque de faux positifs.

Prendre en main la sécurité des postes de travail signifie également que nous devons gérer et réduire la surface d’attaque elle-même. Parallèlement à ces nouvelles approches de protection nous devons jeter un regard holistique sur le réseau, surveiller étroitement l’activité pour y détecter les communications command-and-control (C&C) potentielles ou un déplacement latéral ; ainsi que les applications à haut risque susceptibles d’être présentes sur le système sans que les utilisateurs n’en soient conscients.

De cette façon, alors même que les programmes malveillants deviennent de plus en plus avancés, et que les postes de travail à travers lesquels ils peuvent lancer une attaque se multiplient, les entreprises peuvent se protéger contre les malwares qui ont été spécialement conçus pour passer à travers les mailles des filets de sécurité traditionnelle.

___________
Tomer Weingarten est CEO SentinelOne