Protéger ses actifs clés grâce à l’émergence du deep leaning et de la cybersécurité pour serveurs

Les serveurs sont souvent des actifs clés au sein du parc informatique d’une entreprise. Ils contiennent généralement des données plus sensibles.

Les serveurs sont souvent des actifs clés au sein du parc informatique d’une entreprise. Ils contiennent généralement des données plus sensibles, telles que des informations personnelles identifiables (PII), des données bancaires, fiscales, salariales ainsi que d’autres documents financiers, des données relatives à la propriété intellectuelle et des applications partagées. Par ailleurs, les serveurs offrent un large accès, global, et souvent au niveau administrateur, s’ils sont compromis.
Ainsi, ils constituent une cible privilégiée et plus rentable, rendant les motivations des cybercriminels bien différentes de celles qui les animent lorsqu’ils ciblent des systèmes endpoint plus « traditionnels ».  

Le paysage des menaces ciblant les serveurs

Le paysage des menaces évolue quotidiennement. Les menaces deviennent de plus en plus sophistiquées, car les cybercriminels perfectionnent leurs actions : ils peaufinent et réutilisent les techniques, puis s’attaquent à des cibles plus importantes. C’est pourquoi les serveurs font l’objet d’une attention sans cesse accrue. Les adversaires actifs, dotés de techniques d'attaque persistante, se déplacent latéralement mais toujours méthodiquement, par le biais de systèmes pour atteindre les données et les applications présentes sur les serveurs ciblés.
Les serveurs sont souvent la destination finale d'une attaque, dans l'espoir de voler les données sensibles d’une entreprise. Ces dernières peuvent ensuite être utilisées ultérieurement lors d'attaques de spear-phishing, ou bien tout simplement mises en ligne ou encore proposées à la revente sur le Dark Net.
Par ailleurs, les serveurs contiennent souvent des données critiques relatives à des missions, et sont de véritables «bourreaux de travail», sollicités quotidiennement par les entreprises. Une attaque de ransomware ou une infection par un malware peut donc dévaster une organisation, bien plus qu'un simple ordinateur portable.
À ces menaces, nous pouvons ajouter le nouveau défi du cryptojacking, déployé de manière industrielle et à grande échelle. Les cybercriminels utilisent des serveurs compromis comme des proxys pour rediriger le trafic vers des sites web malveillants et installer des cryptomineurs au niveau des fermes de serveurs et des comptes cloud. Ces derniers génèrent ensuite des cryptomonnaies, à grande échelle, en utilisant le processeur, la mémoire vive, l'électricité ainsi que d'autres ressources d'une entreprise.
La capacité des cybercriminels à évaluer, la manière dont les serveurs sont utilisés, les données qui y sont stockées et les informations qui peuvent être utilisées pour commettre de multiples autres délits, démontre clairement le besoin critique d’une sécurité pour les serveurs.

Une sécurité pour les serveurs

Il est souvent incorrect de penser que, de par leur importance, les serveurs sont mieux protégés. Les serveurs sont sensibles aux ransomwares avancés, au vol d'identifiants, au code malveillant jamais vu auparavant, et aux techniques de piratage qui permettent à un hacker de rester persistant au sein des réseaux.
Cependant, la plus grande menace n’est pas l’absence de sécurité, mais la pertinence de la sécurité mise en place. Il ne suffit pas simplement d’installer une protection des systèmes endpoint sur les serveurs car ils requièrent, en réalité, tout un ensemble d’outils et de fonctionnalités supplémentaires qui ne sont pas disponibles au sein des solutions de sécurité des systèmes endpoint classiques.
Le besoin d’une solution dédiée aux serveurs est encore plus important pour contrer des attaques de type « zero-day », à savoir des attaques jamais vues auparavant. Des études indiquent que 75 % des malwares trouvés dans une entreprise sont propres à cette dernière, indiquant ainsi que la majorité des malwares sont inconnus en premier lieu. De plus, deux tiers des responsables informatiques dans le monde ne comprennent pas ce qu'est la technologie anti-exploit. Par conséquent, toute combinaison d’une menace, jusque-là inconnue qui frappe un serveur, peut être fatale pour une entreprise.
Pour mieux se défendre contre des cybercriminels toujours plus intelligents, il est essentiel que les organisations s’appuient sur le deep learning.

Déployer le deep learning

Les réseaux neuronaux du deep learning sont entrainés sur des centaines de millions d’échantillons afin de détecter les attributs suspects d’un code malveillant et empêcher les attaques de malware jamais vues auparavant. Cette technique fournit non seulement une protection en constante évolution, mais peut être spécifique aux serveurs, protégeant même les workloads basées dans le cloud.
Parmi les autres éléments spécifiques au serveur, citons l'atténuation active de l'adversaire pour se protéger contre le vol d'identifiants, ainsi que l'identification des techniques d'attaque persistante utilisée, quant à elle, pour éviter une potentielle détection une fois présent dans un système. Conscient de l'ampleur des problèmes de sécurité concernant les serveurs, le deep learning permet d’étendre la protection contre les exploits même si les systèmes ne sont pas corrigés et la protection anti-ransomware pour les enregistrements master boot. Et si une attaque réussit malgré tout, la Root Cause Analysis peut fournir des détails forensiques sur comment, où et quand ces attaques ont eu lieu, et apporte aussi des conseils sur les mesures à prendre pour améliorer la sécurité afin d’éviter qu’une telle attaque ne se reproduise.
Les entreprises tendent à oublier les trésors cachés au sein de leurs centres de données. Les cybercriminels ne feront pas une telle erreur et exploiteront toutes les faiblesses possibles afin de mettre la main sur des données si précieuses. C’est pourquoi, la sécurité informatique doit traiter les problèmes spécifiques aux serveurs et rapidement.