Quelques bonnes pratiques pour sécuriser votre réseau informatique
2016 a été une année particulièrement faste en matières d'attaques informatiques. Il est indispensable que les organisations prennent conscience de la nécessité de mettre en place des parades pour se prémunir contre les exploitations de failles et les fuites de données.
En 2016, nous avons assisté à plusieurs failles zero day visant des moteurs de recherche et des systèmes d'exploitation utilisés par des milliards de personnes dans le monde, tels que Mozilla Firefox, Linux, Android et Windows. Comment de telles attaques peuvent-elles encore se produire ? Et comment les entreprises peuvent-elles réagir pour les empêcher ?
Les pare-feu nouvelle génération emploient des signatures et des techniques heuristiques avec succès, mais cela n'est plus suffisant face aux attaques malveillantes les plus récentes. Face aux attaques ciblées et aux menaces de type faille zero day, l'ajout de sandboxes est essentiel pour créer un système de sécurité efficace.
Comprendre le véritable problème et les solutions envisageables
Le développement actuel des menaces externes est stupéfiant. Les auteurs des attaques exploitent toutes les opportunités que leur offre l'automatisation et raisonnent de la même façon que les fabricants de logiciels pour faire évoluer leurs menaces, le tout, dans un seul objectif : lancer des attaques de la plus grande ampleur possible en évitant toute détection. Étant donné l'impact terrible de toute fuite de données ou d'attaque par ransomware pour les entreprises, la détection de code malveillant avant tout dommage sur le réseau est un impératif pour les organisations informatiques.
Cependant, le véritable danger ne réside pas tant dans les ransomwares qui se sont déjà propagés sur Internet, mais plutôt dans les attaques ciblées et les failles zero day. Les attaques ciblées consistent à employer du code inédit qui cible spécifiquement l'organisation visée, tandis que les failles zero day exploitent les vulnérabilités inconnues et pour lesquelles les fournisseurs doivent découvrir et publier des correctifs. Ce sont de ces attaques dont les organisations doivent le plus se soucier, car elles rencontrent bien plus de succès que leurs consoeurs plus anciennes. La question est donc : comment vous prémunir de ces attaques qui peuvent également venir de l'intérieur même de votre réseau ?
Fermer la porte au code malveillant
Représentez-vous votre réseau comme un château-fort. Le meilleur endroit pour arrêter une attaque reste la porte, car elle constitue un goulet d'étranglement où vous pouvez contrôler les personnes et les marchandises avant de les laisser entrer. Placer une solution capable de détecter du code malveillant juste après votre pare-feu nouvelle génération (NGFW) revient à placer un garde à la porte de votre château-fort : rien ne rentre sans qu'il le sache. Le trafic entrant est analysé à l'aide de plusieurs méthodes afin de détecter le code malveillant :
• SignaturesLe trafic est analysé afin d'y détecter toutes les données dont la signature est répertoriée dans une base de données de signatures malveillantes. Si une signature figurant dans la base de données est détectée, le code est signalé comme malveillant.
• Techniques heuristiquesÀ l'inverse des signatures, qui recherchent des entrées spécifiques dans une base de données, les analyses heuristiques utilisent des règles et des algorithmes pour détecter du code à visées malveillantes.
• SandboxesEn plus de passer le code au crible pour y trouver des signatures ou des indices d'intentions malveillantes, une sandbox vous permet d'activer le code normalement et de surveiller le comportement obtenu afin d'y déceler toute activité malveillante. On utilise pour cela un environnement spécial, la fameuse « sandbox » (ou bac-à-sable), dans laquelle votre système ne risque rien.
La combinaison de ces méthodes est plus efficace et offre une meilleure gestion des ressources, car les menaces les plus faciles à détecter sont ainsi repérées par les technologies classiques, qui sont plus rapides et moins consommatrices, ce qui permet à la sandbox de se focaliser sur le contenu qui demande un niveau d'analyse plus poussé.
Améliorer les signatures à l'aide de la sandbox
Comme nous venons de le souligner, une approche diversifiée est le meilleur moyen de repérer du code malveillant. Améliorer une méthode d’analyse passive permet une meilleure gestion des ressources de détection. En effet, vérifier une base de données de signatures mobilise beaucoup moins de cycles de processeur que la création et l'entretien d'une sandbox en vue de tester une seule instance de code malveillant. En plus d'exécuter du code pour le tester, une sandbox permet de créer des signatures pour le code dont le caractère malveillant est avéré (après tout, il est le mieux placé pour cela). Ces signatures peuvent être utilisées pour mettre à jour des bases de données de signatures, ce qui améliore la vitesse et la précision du processus de détection pour l'avenir.
Les techniques d'analyse passives présentent malgré tout des insuffisances en matière de détection et de protection. Dans la deuxième partie de cette série, nous étudierons en détail le fonctionnement des sandboxes et nous verrons en quoi elles sont essentielles pour sécuriser votre réseau.