Protéger ses actifs clés grâce à l’émergence du deep leaning et de la cybersécurité pour serveurs
Les serveurs sont souvent des actifs clés au sein du parc informatique d’une entreprise. Ils contiennent généralement des données plus sensibles.
Les serveurs sont souvent des actifs clés au sein du parc
informatique d’une entreprise. Ils contiennent généralement des données plus
sensibles, telles que des informations personnelles identifiables (PII), des
données bancaires, fiscales, salariales ainsi que d’autres documents
financiers, des données relatives à la propriété intellectuelle et des
applications partagées. Par ailleurs, les serveurs offrent un large accès,
global, et souvent au niveau administrateur, s’ils sont compromis.
Ainsi, ils constituent une cible privilégiée et plus rentable, rendant les
motivations des cybercriminels bien différentes de celles qui les animent
lorsqu’ils ciblent des systèmes endpoint plus « traditionnels ».
Le paysage des menaces ciblant les serveurs
Le paysage des menaces évolue quotidiennement. Les menaces
deviennent de plus en plus sophistiquées, car les cybercriminels perfectionnent
leurs actions : ils peaufinent et réutilisent les techniques, puis s’attaquent
à des cibles plus importantes. C’est pourquoi les serveurs font l’objet d’une
attention sans cesse accrue. Les adversaires actifs, dotés de techniques
d'attaque persistante, se déplacent latéralement mais toujours méthodiquement,
par le biais de systèmes pour atteindre les données et les applications présentes
sur les serveurs ciblés.
Les serveurs sont souvent la destination finale d'une attaque, dans l'espoir de
voler les données sensibles d’une entreprise. Ces dernières peuvent ensuite
être utilisées ultérieurement lors d'attaques de spear-phishing, ou bien tout
simplement mises en ligne ou encore proposées à la revente sur le
Dark Net.
Par ailleurs, les serveurs contiennent souvent des données critiques
relatives à des missions, et sont de véritables «bourreaux de travail»,
sollicités quotidiennement par les entreprises. Une attaque de ransomware ou
une infection par un malware peut donc dévaster une organisation, bien plus
qu'un simple ordinateur portable.
À ces menaces, nous pouvons ajouter le nouveau défi du cryptojacking, déployé
de manière industrielle et à grande échelle. Les cybercriminels utilisent des
serveurs compromis comme des proxys pour rediriger le trafic vers des sites web
malveillants et installer des cryptomineurs au niveau des fermes de serveurs et
des comptes cloud. Ces derniers génèrent ensuite des cryptomonnaies, à grande
échelle, en utilisant le processeur, la mémoire vive, l'électricité ainsi que
d'autres ressources d'une entreprise.
La capacité des cybercriminels à évaluer, la manière dont les serveurs sont
utilisés, les données qui y sont stockées et les informations qui peuvent être
utilisées pour commettre de multiples autres délits, démontre clairement le
besoin critique d’une sécurité pour les serveurs.
Une sécurité pour les serveurs
Il est souvent incorrect de penser que, de par leur
importance, les serveurs sont mieux protégés. Les serveurs sont sensibles aux
ransomwares avancés, au vol d'identifiants, au code malveillant jamais vu
auparavant, et aux techniques de piratage qui permettent à un hacker de rester
persistant au sein des réseaux.
Cependant, la plus grande menace n’est pas l’absence de sécurité, mais la
pertinence de la sécurité mise en place. Il ne suffit pas simplement
d’installer une protection des systèmes endpoint sur les serveurs car ils
requièrent, en réalité, tout un ensemble d’outils et de fonctionnalités
supplémentaires qui ne sont pas disponibles au sein des solutions de sécurité
des systèmes endpoint classiques.
Le besoin d’une solution dédiée aux serveurs est encore plus important pour
contrer des attaques de type « zero-day », à savoir des attaques jamais vues
auparavant. Des études indiquent que 75 % des malwares trouvés dans une
entreprise sont propres à cette dernière, indiquant ainsi que la majorité des
malwares sont inconnus en premier lieu. De plus, deux tiers des responsables
informatiques dans le monde ne comprennent pas ce qu'est la technologie
anti-exploit. Par conséquent, toute combinaison d’une menace, jusque-là
inconnue qui frappe un serveur, peut être fatale pour une entreprise.
Pour mieux se défendre contre des cybercriminels toujours plus intelligents, il
est essentiel que les organisations s’appuient sur le deep learning.
Déployer le deep learning
Les réseaux neuronaux du deep learning sont entrainés sur
des centaines de millions d’échantillons afin de détecter les attributs
suspects d’un code malveillant et empêcher les attaques de malware jamais vues
auparavant. Cette technique fournit non seulement une protection en constante
évolution, mais peut être spécifique aux serveurs, protégeant même les
workloads basées dans le cloud.
Parmi les autres éléments spécifiques au serveur, citons l'atténuation active
de l'adversaire pour se protéger contre le vol d'identifiants, ainsi que
l'identification des techniques d'attaque persistante utilisée, quant à elle,
pour éviter une potentielle détection une fois présent dans un système.
Conscient de l'ampleur des problèmes de sécurité concernant les serveurs, le
deep learning permet d’étendre la protection contre les exploits même si les
systèmes ne sont pas corrigés et la protection anti-ransomware pour les
enregistrements master boot. Et si une attaque réussit malgré tout, la Root
Cause Analysis peut fournir des détails forensiques sur comment, où et quand
ces attaques ont eu lieu, et apporte aussi des conseils sur les mesures à
prendre pour améliorer la sécurité afin d’éviter qu’une telle attaque ne se
reproduise.
Les entreprises tendent à oublier les trésors cachés au sein de leurs centres
de données. Les cybercriminels ne feront pas une telle erreur et exploiteront
toutes les faiblesses possibles afin de mettre la main sur des données si
précieuses. C’est pourquoi, la sécurité informatique doit traiter les problèmes
spécifiques aux serveurs et rapidement.