Votre entreprise vient de subir une attaque de malware - et maintenant ?
Selon le rapport U.S. Advanced Persistent Threat Analysis d’ESG Research, de novembre 2011, 77 % des entreprises augmenteront leurs dépenses sur la sécurité en réponse aux attaques de malwares avancés et aux attaques ciblées telles les Advanced Persistent Threats (APT).
Selon le rapport U.S. Advanced
Persistent Threat Analysis d’ESG Research, publié en novembre 2011, 77 %
des entreprises augmenteront leurs dépenses sur la sécurité en réponse aux
attaques de malwares avancés et aux attaques ciblées telles les Advanced
Persistent Threats (APT).
Ces menaces évoluées peuvent prendre n’importe quelle entreprise au
dépourvu. Même les meilleures stratégies de sécurité et de réponse aux
incidents ont tendance à se baser sur une vision dépassée du paysage des
menaces et sur des défenses visant uniquement une seule menace.
Ciblés et rusés, les malwares avancés
utilisent toute une panoplie de vecteurs d’attaque pour compromettre les
environnements, prennent des formes infinies, lancent des attaques au fil du
temps et sont capables de masquer l’exfiltration des données. Alors que les
technologies de détection et de protection ont évolué et témoignent des
améliorations importantes par rapport aux méthodes traditionnelles, les brèches
demeurent. Et les promesses d’une « solution miracle » pour un
problème à multiples facettes peuvent détourner l’attention des équipes de
sécurité qui doivent désormais faire face à des hackers déterminés et acharnés
et répondre à des attaques ciblées.
Les menaces modernes exigent donc une
stratégie de réponse moderne tout au long du cycle de vie de la menace.
Regardons de plus près les principaux facteurs à prendre en compte pour mettre
à jour une stratégie de sécurité et de réponse aux incidents et gagner en visibilité
et en contrôle sur les malwares avancés pour une meilleure protection.
Renforcer les défenses
Toute stratégie de réponse aux malwares doit commencer par la détection et le blocage. Afin d’obtenir une détection et un blocage efficaces sans trop de « bruits de fond », il faut disposer d’une base d’informations sur l’ensemble des éléments de son réseau afin de le défendre – les équipements, systèmes d’exploitation, services, applications, utilisateurs, contenus et les vulnérabilités potentielles. La détection des malwares, la capacité à identifier les fichiers en tant que fichiers malveillants dès le point d’entrée et à y remédier, alliée à la mise en œuvre d’un contrôle d’accès aux applications et aux utilisateurs, est également importante. Ces mesures ne permettent pas uniquement d’initier des démarches pour réduire l’ampleur d’une attaque, mais avec le bon contexte d’information, la détection peut aussi indiquer si l’entreprise se trouve au cœur de la cible d’une attaque. Malheureusement, c’est souvent à cette première ligne de défense que la plupart des stratégies de sécurité et de réponse commencent et se terminent.
Ce qui est devenu indispensable, c’est la possibilité de revenir en arrière sur les tentatives d’attaques passées et de mieux appréhender le contexte d’une détection dans le cadre d’une communauté de malwares plus étendue pour savoir si le fichier malveillant est répandu ou unique, et si votre entreprise est une cible spécifique ou non. La détection rétrospective est un moyen de regarder continuellement en arrière et de confronter chaque logiciel aux dernières informations sur une menace pour optimiser la détection et éliminer ainsi une dimension clé dans une attaque – le temps. Un maillage de technologies de détection qui travaillent ensemble, profitant du contexte des unes des autres pour améliorer la détection au point d’entrée et à postériori sur le réseau et les systèmes hôtes, est essentiel lors de la mise à jour d’une stratégie de réponse.
Identifier la/les cible(s)
Néanmoins, la meilleure détection et
prévention des menaces a ses limites. Lorsqu’une attaque est lancée, on doit
pouvoir identifier le « Patient Zéro » - le point d’origine du
malware. A partir de là, la visibilité pour identifier les systèmes affectés,
l’application ayant contribué à l’introduction du malware, les fichiers
responsables de sa propagation et les systèmes affectés permettent de traiter
l’infection à la source et d’éviter une réinfection.
La capacité à comprendre de quelle
manière le malware communique à l’intérieur et à l’extérieur du réseau, entre
systèmes, entre applications et vers les serveurs de commande et de contrôle et
vers d’autres sites malveillants donne un aperçu plus important pour permettre
d’identifier les points d’origine, de maîtriser les systèmes affectés et de
prévenir une réinfection. Quand un réseau est assiégé, trouver rapidement les
systèmes affectés est la clé pour briser le cycle du malware.
Reconnaissance de l’ennemi
Lorsqu’un hacker réussit à contourner
les technologies de sécurité traditionnelles, il y a de fortes chances que vous
entriez en mode « pompier » n’ayant ni le temps, ni l’expertise, pour
plonger dans des volumes importants de données et réaliser des analyses approfondies.
A ce moment là, l’utilisation des analyses Big Data pour identifier les
caractéristiques comportementales du malware permet de comprendre rapidement la
menace. La visibilité sur la manière dont le malware affecte les autres
fichiers avec lesquels il aurait interagi ou le moyen utilisé pour pénétrer sur
le système sont aussi essentiels.
La notion de « brebis galeuse »
s’applique à cette situation. La compréhension des rapports entre systèmes est
d’une importance capitale. Le malware a-t-il déjà commencé à communiquer avec
d’autres systèmes ? Si oui, le hacker aurait peut-être déjà établi une
prise sur d’autres éléments en s’appuyant sur les droits acquis sur le système
d’origine affecté. Avec ce niveau d’accès, le hacker pourrait quitter l’élément
d’origine infecté et pénétrer d’autres systèmes, devenant ainsi invisible aux
méthodes de détection traditionnelles (jusqu’à ce que les dégâts soient faits).
Il s’agit d’obtenir un aperçu plus complet sur la menace et sa trajectoire.
« Avoir le dessus »
La
détection et le blocage, combinés à l’identification des systèmes affectés,
garantissent que vous démarrerez d’une position de force pour éliminer le malware
sans perdre du terrain. La mise à jour des protections sur la base des derniers
renseignements concernant les menaces et l’élimination des vecteurs d’attaque
grâce à un contrôle des applications permettent de réduire encore plus les
risques. La compréhension du comportement d’un fichier et sa trajectoire peut
aider à minimiser l’impact d’une attaque.
Dans le cas des malwares avancés, il
existe beaucoup de zones grises entre les « bons » et les
« mauvais » fichiers connus. Il faut savoir bloquer les fichiers
suspects ou continuer à les suivre et les analyser pour obtenir des
renseignements sur les menaces en temps réel. Si les données de sécurité
indiquent qu’un fichier suspect ou inconnu est en réalité un malware, la
vérification rétrospective permet de le supprimer. Mais le contrôle ne peut pas
s’arrêter au réseau. Une protection venant du réseau doit agir conjointement à
la protection des terminaux afin de garantir une réponse et une réparation
complètes tout au long du cycle de vie des menaces.