Surveiller les menaces depuis le cœur du réseau protège contre la majorité des cyberattaques, y compris celles qui ciblent les objets connectés. Cette technique est plus efficace que celles des dispositifs de sécurité traditionnels qui se contentent de chercher du code malveillant pour le neutraliser. En effet, dans la plupart des cas, les cyber-assaillants n’utilisent plus de malwares lorsqu’ils ciblent une entreprise et leur offensive est donc invisible des systèmes anti-malwares.
Aujourd’hui, les pirates s’infiltrent en abusant de la confiance de certains collaborateurs avec des e-mails ou des clés USB, sans que le firewall ne détecte rien. Ils interrogent les systèmes alentour sur des ports légitimes et en prennent le contrôle à l’aide de leurs propres outils, sans éveiller l’attention des antivirus qui les équipent. Et ils s’emparent aussi des objets connectés, que personne ne surveille car on pense à tort qu’ils sont trop différents des PC et des serveurs pour subir leurs attaques.
En revanche, un système de sécurité qui analyse le trafic depuis le cœur du réseau reste efficace dans de telles circonstances, car il détecte les requêtes que le cyber-assaillant envoie, les interactions inhabituelles qu’il génère entre les machines et, au fil du temps, sa propagation sur de nouveaux segments du réseau. Grâce à un moteur d’intelligence artificielle, une solution positionnée au cœur du réseau devient capable de tirer le signal d’alarme même en cas de comportements subtils et de débarrasser les tableaux de bord des faux positifs qui nuisent à la productivité.
Lire le trafic réseau pour voir les attaques invisibles
Il existe deux manières de surveiller un réseau : la bonne et la mauvaise. La mauvaise consiste à récupérer tous les logs pour les analyser. Le problème est que les logs ne donnent pas toutes les informations ; les relevés qu’ils remontent manquent de précision pour, par exemple, déterminer une attaque selon la chronologie des actions. Prenons l’exemple d’un flux chiffré en SSL. Pour déterminer qu’il est malveillant, il faut récupérer le certificat de son chiffrement, regarder de quand il date et, s’il s’avère qu’il a été créé à peine quelques jours avant, en déduire qu’il est suspect. Or, les logs n’indiquent pas le certificat. Cet exemple n’est pas anodin : de nos jours, les cyber-assaillants chiffrent leur trafic comme tout le monde, avec des certificats qu’ils obtiennent pour des noms de domaine aléatoires. Pour se faire les plus discrets possibles, ils agissent aussi depuis des machines virtuelles sur AWS, avec des adresses ponctuelles.
La bonne manière de surveiller un réseau consiste donc à lire tous les paquets qui circulent dessus. Cependant, il ne faut pas placer la sonde au milieu du trafic, car si la sonde est débordée par l’analyse des paquets elle laissera passer des paquets sans les analyser, au mieux, ou elle ralentira tout le trafic, au pire. La meilleure méthode consiste à travailler en parallèle du réseau, en branchant la sonde sur le port des switches qui duplique le trafic.
Pour surveiller efficacement le trafic, il peut être pertinent de poser des sondes en plusieurs endroits du réseau, par exemple avant et après un serveur pour déterminer comment une requête a évoluée. Il faut dans ce cas éviter que la multiplication des sondes ne fasse s’envoler le budget. Ainsi l’idéal est une solution qui comptabilise les licences au nombre d’adresses IP surveillées, plutôt qu’au nombre de sondes. Il faut aussi que l’analyse puisse se faire en prenant en compte tous les points de collecte. Il existe pour ce faire des équipements, comme ceux de Gigamon, qui créent un réseau de collecte : ils récupèrent l’information à chaque endroit pertinent du réseau et la fédèrent vers la sonde. Voire vers plusieurs sondes, car, pour des raisons d’efficacité, il peut être pertinent de disposer plusieurs sondes interconnectées en parallèle et de dédier chacune à l’analyse d’un type particulier de paquets.
Neutraliser le détournement en vogue des objets connectés
La surveillance du trafic réseau est la seule qui permet en outre de détecter un type de cyberattaque très en vogue en ce moment : celui qui cible les objets connectés. Les cyber-assaillants sont très intéressés par les objets connectés parce que ce sont des appareils pour lesquels il n’existe pas d’antivirus, qui sont peu surveillés mais qui fonctionnent pourtant comme des PC et des serveurs. Derrière les imprimantes connectées, les caméras connectées, les machines-outils connectées, etc., on trouve un système Linux qui s’administre comme d’habitude, à distance, via le protocole SSH sur le port 22. Même si l’application qui fonctionne sur cet équipement connecté est spécifique, ses interactions avec le monde extérieur sont standard.
Le problème le plus important que pose les objets connectés est que personne ne pense à leur appliquer des mises à jour de sécurité. Par exemple, depuis quatre ans, une méthode d’attaque consiste à convaincre une personne en interne d’insérer une clé USB avec du code malveillant dans une imprimante, au prétexte qu’il s’agit de la mise à jour de son pilote. Il existe un patch pour éviter cette attaque, mais les entreprises qui l’ont installé sont peu nombreuses.
Un autre exemple récent est celui de ces caméras de vidéosurveillance qui ont été hackées parce que personne n’avait songé à changer leur login et mot de passe par défaut (« root » et « admin »). Dans ce cas, le cyber-assaillant s’est infiltré sur le réseau, a détecté la présence de caméras fonctionnant sous Linux et a simplement essayé par force brute des identifiants et des mots de passe pour se rendre compte rapidement qu’il s’agissait des plus simples. Nous parlons ici d’équipements qui existent chez certaines entreprises en plusieurs milliers d’exemplaires et qui pourtant ne sont protégés par aucun des systèmes de sécurité classiques.
Une solution qui surveille le réseau et repose sur de l’intelligence artificielle, en revanche, va comprendre qui sont les administrateurs standard de ces équipements, va voir quels sont les postes qui s’y connectent pour les administrer et va, par croisement, identifier les actions étranges qui surviennent.
Il est définitivement temps de ne plus prendre ces menaces à la légère et de croire que les systèmes de sécurité traditionnels suffiront dans la majorité des cas. Cela est de moins en moins vrai, d’autant plus avec la généralisation chez les collaborateurs de smartphones personnels sous Android, particulièrement utilisés par les pirates comme une porte d’entrée sur le réseau.
________
Grégory Cardiet est Directeur Security Engineering Vectra pour la zone EMEA