Tous les jours des milliers de terminaux (ordinateurs, serveurs, tablettes et tout autre objet connecté) sont attaqués par des pirates, qu’ils soient débutants ou professionnels. Et ce sont ces derniers qui nous intéressent aujourd’hui. Les Advanced Persistent Threats (APT) – les Menaces avancées et persistantes qui compromettent des machines dans le but de voler des informations sensibles.
les antivirus historiques manquent un point crucial dans l’environnement de la sécurité actuel, celui de la corrélation.
Ces pirates utilise nt des techniques qui permettent de passer outre les antivirus historiques. Ceux-ci ne faisaient que comparer la signature des fichiers à une base de fichiers connus malveillants. Ce qui signifie aussi que toute nouvelle souche de virus frappera avec force avant qu’elle soit reconnue, analysée puis transmise à tous les éditeurs d’antivirus pour blocage. Ce n’est pas la seule faiblesse : pour pouvoir comparer la signature, il faut qu’un fichier soit déposé. Or de nombreuses techniques existent pour ignorer ce point et accomplir les actions malveillantes directement en mémoire, on parle d’attaques « fileless » car elles ne déposent pas de fichiers mais exécutent directement des commandes.
Indépendamment de ces menaces avancées, les antivirus historiques manquent un point crucial dans l’environnement de la sécurité actuel, celui de la corrélation. L’étude et l’analyse des attaques se fait poste par poste sans une visibilité globale sur un parc. Il est complexe et chronophage de retrouver le chemin d’infection initial.
Néanmoins les antivirus, et notamment les next gen qui font plus que de la simple comparaison de fichiers, permettent tout de même de bloquer une très grande quantité de malwares. De nombreux opportunistes réutilisent ou achètent des malwares et des failles. Nous en retrouvons encore aujourd’hui qui exploitent des failles vieilles de plus de 10 ans !
On entend de plus en plus parler du terme EDR dans ce context mais c’est quoi au juste ?
EDR signifie Endpoint Detection and Response. L’outil fait de l’analyse comportementale, et monitore les actions d’un terminal.
L’intérêt de cette technique est qu’elle permet de stopper un attaquant dans son élan.
Un EDR est caractérisé par ses capacités de détection, d’investigation et enfin de remédiation. Il est capable de surveiller l’exploitation de failles de sécurités en surveillant les appels noyaux et les différents services habituellement ciblés notamment chez Windows. Cette capacité de surveillance et la corrélation d’évènements lui permettent de reconnaître des méthodes et habitudes qu’ont les hackers et dont il est plus difficile de se prémunir.
L’analyse comportementale est un autre point étudié par les EDR et qui permet de reconnaître des comportements déviant d’une norme, après une phase d’apprentissage. Grâce à cette analyse, l’EDR peut émettre des alertes qui seront vérifiées et renforceront l’apprentissage. L’intérêt de cette technique est qu’elle permet de stopper un attaquant dans son élan : si un fichier PDF contient un script qui ouvre powershell et ouvre une connexion sur un port classique d’un serveur extérieur au système d’information alors cette suite d’action sera considérée comme anormale et va être bloquée par l’EDR. Cette visibilité est une grande force de l’EDR car elle permet une remédiation à la source de l’infection et de lancer des correctifs automatiques contre ces menaces, avec des fonctionnalités avancées pour effectuer des investigations à distance.
Pour faire face à toutes ces menaces, les éditeurs ont fait appel à l’intelligence artificielle qui permet d’être auto-apprenant et de ne pas devoir se connecter sur internet pour mettre à jour la base de données des attaques connues.
Grace à ces outils, le DSI peut :
- Maîtriser les risques
- Intervenir rapidement et efficacement aux incidents
- Investiguer sur les attaques
- Assurer la continuité de service
Vous l’aurez compris, la sécurité du système d’information de l’entreprise est un combat de tous les jours. Pour être serein, protégeons nous !
Besoin d’informations complémentaires ? Contactez-nous !
