Support

Protection contre les menaces évoluées

Détectez les maliciels et les menaces évoluées sur votre réseau avant qu'ils ne perturbent le service ou ne portent atteinte à votre réputation.

Protection contre les maliciels et les violations des données

Comment des attaques peuvent-elles ouvrir une brèche dans le réseau alors qu’une stratégie approfondie de défense évoluée est en place?

Les magasins Target, l’Université du Maryland et des hôpitaux communautaires ont été victimes d’importantes violations de données en 2014. Bien que plusieurs niveaux de technologie de sécurité et d’alerte aient été en place dans ces organismes, les attaquants ont néanmoins été en mesure de compromettre leurs activités, de parcourir le réseau sans être détectés et de voler des données.

La taille et la complexité du réseau d’entreprise actuel se traduisent par une « superficie d’attaque » étendue qui rend impossible de bloquer toutes les attaques menaçant le réseau. De plus, les assaillants créent des campagnes d’attaque très ciblées, combinant attaques, techniques d’évasion et brouillage qui sont le fruit d’une recherche approfondie et sont conçus spécifiquement pour VOTRE réseau.

Pourquoi tant d’intérêt envers la réponse en cas d’incident et pourquoi en ai-je besoin ?

La réponse en cas d’incident implique l’identification et l’analyse des événements qui touchent votre entreprise, ainsi que la réponse à ces événements. En ce qui concerne la sécurité, ceci peut comprendre des attaques par déni de service distribué (DDoS), une violation des données ou une atteinte au réseau, voire la perte de matériel ou de données.

La réponse en cas d’incident ou, au minimum, les outils et processus utilisés pour produire une réponse efficace, ne se limite pas nécessairement à résoudre les problèmes « après coup ». En mettant en place des outils qui établissent des bases d’activité de votre réseau du point de vue de la réponse aux incidents, les équipes de sécurité peuvent « éplucher » le réseau afin de détecter toute activité indiquant que certains actifs (tels que des bots) ont été compromis.

En traquant les menaces au sein du réseau — puis en analysant les attributs critiques de ces menaces — les équipes peuvent prendre des mesures pour minimiser l’impact d’un événement d’attaque, par exemple en interrompant les communications de bots avant que d’autres maliciels puissent être installés ou en arrêtant l’exfiltration de données. De plus, ces renseignements détaillés sur les attaques peuvent être utilisés pour renforcer les défenses contre les menaces futures.

En quoi une « attaque évoluée » diffère-t-elle d’un maliciel ?

Un maliciel est un élément de logiciel conçu pour exécuter une activité malveillante. Une attaque évoluée est une combinaison d’activités de menace — DDoS, zombies, maliciels, hameçonnage — dont chacune s’exécute à un moment différent et vise une zone différente du réseau. Le but est de créer une batterie d’attaques qui tireront parti de toute vulnérabilité présente sur la superficie du réseau. Comme nous l’avons déjà mentionné, la taille et la complexité des réseaux d’entreprise actuels se traduisent par une superficie plus étendue qui est plus difficile à surveiller — et à protéger. Ces assaillants emploient une combinaison spécifique d’événement synchronisés, de types d’attaque, de techniques d’évasion et d’outils de « nettoyage » spécialement conçue en fonction de chaque entreprise et/ou résultat visé.

Les attaques évoluées sont conçues pour bloquer vos technologies de protection actuelles et détourner l’attention d’un secteur du réseau à un autre. En bref, elles sont conçues et éprouvées comme tout autre produit : avec un but précis, un acheteur spécifique et un ensemble de résultats-cibles.

Est-il possible que mon réseau soit déjà compromis ?

C’est plus que probable. Comme nous l’avons déjà mentionné, les attaques et les kits d’attaque sont bâtis exactement comme tout autre produit — et sont également achetés, vendus ou échangés comme des produits du commerce. Les attaques qui sont « nouvelles » ou qui emploient des techniques différentes ne pouvant être identifiées par les outils de détection classiques ont une valeur plus élevée. Les kits d’attaques offrant des armes faciles à déployer — maliciels ou autres attaques capables d’exploiter les vulnérabilités du réseau — sont également très recherchés. Et les acheteurs de ces types d’attaque ne manquent pas, qu’il s’agisse d’entreprises désireuses de voler des données à la concurrence, de pays cherchant à affaiblir leurs adversaires ou même d’assaillants voulant répondre par un acte public à ce qu’ils perçoivent comme une injustice. Les possibilités sont illimitées et, vu les motifs possibles et les différent types d’attaque, il est fort probable que votre réseau soit compromis, même s’il s’agit de quelque chose de « bénin », comme, par exemple, une attaque DDoS conduisant vos utilisateurs à servir d’hôtes d’une armée de botnets.

Il se peut que votre réseau ait déjà été victime d’attaques employant l’ingénierie sociale (hameçonnage), l’usurpation d’identité ou d’autres techniques de brouillage. Il peut être difficile de repérer ces moyens d’attaque car certains peuvent rester latents pendant de longues périodes ou, en cas d’usurpation d’identité, les activités peuvent être difficiles à détecter.

Comment mesurez-vous les résultats des technologies de réponse en cas d’incident ou de réponse aux attaques ?

L’existence de résultats mesurables — indiquant la valeur des investissements en technologie — représente un élément essentiel de la détermination de la solution la mieux adaptée à votre cas. Avant de décider « comment » mesurer, il faut d’abord établir « que » mesurer. Ceci implique un classement des actifs par ordre prioritaire, en se concentrant éventuellement sur les actifs les plus importants pour votre entreprise ou sur ceux qui font l’objet d’une vérification de conformité.

Il est également essentiel de déterminer les types de statistiques de performance à mesurer. La réponse en cas d’incident, les analyses de sécurité et les technologies d’analyse rétrospective présentent souvent un défi pour les équipes de sécurité car il est impossible de mesurer « ce qui a été arrêté ». Pour mesurer la performance de manière optimale, il faut considérer les indicateurs-clés tels que :

  • Temps
    • Laps de temps entre l’incident et sa découverte
    • Laps de temps entre la découverte et le rapport de l’équipe CERT
    • Temps nécessaire à l’équipe CERT pour clore un incident
  • Coût
    • Heures de main-d’œuvre, perte de productivité, notification, logiciel supplémentaire, etc.