Sécurité des terminaux : comment répondre aux menaces de plus en plus complexes

Face aux systèmes complexes dans les entreprises, la sécurité des terminaux est devenu un sujet d'importance majeure. La plupart des logiciels de sécurité Endpoint permettent de parer à des menaces connues et inconnues en utilisant différentes technologies. Le blocage de menaces connues est la mission traditionnelle des logiciels de sécurité, via des antivirus par exemple.

Les menaces inconnues sont quant à elles le plus souvent détectées en utilisant la technologie de machine learning qui permet de les reconnaître en se basant sur des volumes d'échantillons massifs et des caractéristiques importantes, tel que la taille du fichier, la compression, etc., et déterminer ainsi la probabilité pour un fichier d’être bénigne ou maligne.

Enfin, nous pouvons également utiliser les détections comportementales pour détecter les menaces en nous basant sur le comportement d’un programme plutôt que sur son apparence. Tout cela est nécessaire pour bloquer les menaces avancées.

Un outil efficace mais loin d’être suffisant

Toutefois, bien que les systèmes de sécurité des terminaux semblent être optimisés, ils n’en demeurent pas moins vulnérables. Pour détourner ces technologies, les cybercriminels passent ainsi par ce qui est appelé l’obfuscation ou l’utilisation de chemins erronés, pratique visant à cacher la nature du fichier au moteur de détection.

Ce procédé est rendu possible en chiffrant ou en encodant le programme, donnant ainsi la possibilité à certains malwares d’utiliser les multiples couches d’obfuscation pour empêcher une analyse. Les mauvaises consignes sont utilisées pour tromper le système qui croit avoir affaire à un programme bénin, ce qu’il est à l’origine, au lieu de quelque chose d’ouvertement malicieux.

Cette technique, déjà avancée, n’est pas la seule. Les criminels vont par exemple passer par une attaque de phishing pour obtenir des identifiants et tout simplement désactiver un système de sécurité. Certaines solutions existent bien entendu pour faire face à ces modèles, mais cela montre toutefois une fragilité dans les systèmes Endpoint.

Des cyber-attaquants non détectables ?

Dans le cadre de cyberattaques, très souvent le cyber-attaquant était présent pendant un temps plus ou moins long dans un réseau avant de se faire démasquer en raison du manque de visibilité.

Trop souvent, le système lui-même est laissé sans protection. Sans la présence d’un logiciel de détection installé au préalable, l’intrus reste invisible alors qu’il est effectivement présent dans le réseau.

Mais le concept inverse est tout aussi risqué. Une activité intense dans le réseau peut amener un manque de détection et de perception entre ce qui semble bénin et ce qui ne l’est pas, et entraîne une difficulté de filtrage. Ce phénomène est d’autant plus présent dans de grands réseaux ouverts où tout peut communiquer avec tout et sur n’importe quel protocole.

Les attaquants les plus expérimentés profitent de la connaissance de votre environnement pour se déplacer sans être détecté. Ils vont utiliser vos identifiants, les applications existantes et les systèmes approuvés pour infiltrer votre réseau et récupérer vos données.

Prévenir, détecter et corriger

Tout d'abord, la prévention est essentielle. Pensez à la prévention non seulement en termes technologiques, mais aussi en termes de processus organisationnels. Comment se protéger tout en permettant aux entreprises de poursuivre leurs activités quotidiennes ?

Dans le cas de business email compromise, un simple appel téléphonique - un changement de processus - peut faire la différence entre attraper un criminel ou faire faillite.

Une autre possibilité est de réduire sa surface d'attaque, c’est-à-dire diminuer le nombre de services exposés, de systèmes et d'applications non protégés ou non corrigés, et remplacer une authentification faible par une authentification multifacteur etc. En effet, de nombreuses organisations sont actuellement attaquées par des groupes de ransomwares car elles ne répondent pas à l'une (ou plusieurs) des catégories susmentionnées. Ces groupes criminels choisissent les cibles vulnérables. Or, si l’on complique la tâche des criminels, ils passent souvent à une autre cible.

Après la prévention vient la détection et la correction. Ces deux vont naturellement de pair. Les produits Enpoint Detection and Response (EDR) par exemple simplifient la recherche de menaces existantes et apportent un conseil sur la façon de nettoyer la menace ou de la corriger de manière proactive. Cependant, ce type de solutions intervient dans des entreprises qui ont déjà une certaine maturité en matière de sécurité. Si la prévention n’a pas été abordée en amont, l'EDR en soi ne sera pas aussi efficace, et ce dernier exige des ressources en interne ou un service externe pour le gérer.

Enfin, il est important de s’assurer que le réseau est bien protégé. Si la protection de ce dernier est couplée à la protection de point de terminaison, l’entreprise sera en mesure de prévenir, détecter et corriger les menaces, peu importe où elles se produisent.

Il faut donc continuellement tester ses défenses et effectuer des ajustements - à la fois technologiques et basés sur les processus. Si cela n’est pas fait, les criminels s’en chargeront pour les entreprises.