Depuis le début de l'informatique une course contre les pirates est engagée. Les anti-virus courent derrière sans jamais totalement arriver à détecter et bloquer toutes les menaces. Des éditeurs comme PaloAlto Networks ont donc décidé de bousculer les règles de défense des End-points. Un système de détection obsolète mais obligatoire Le modèle a séduit par défaut pendant des années au point qu'il est même rentré dans les obligations légales comme PCI-DSS. Si vous voulez être conforme, il faut utiliser un outil qui scanne vos fichiers et process. https://www.pcisecuritystandards.org/documents/Prioritized-Approach-for-PCI_DSS-v3_2.pdf?agreement=true "5.2 Ensure that all anti-virus mechanisms are maintained as follows:
- Are kept current,
- Perform periodic scans
- Generate audit logs which are retained per PCI DSS Requirement 10.7"
Le principe des anti-virus est de comparer du code à une base de connaissance acquise au fur et à mesure des découvertes de virus. Cette base grossit donc inéluctablement dans le temps. La base, pour ne pas prendre trop d'embonpoint et devenir encombrante et lente, doit être épurée au fur et à mesure des nouvelles entrées. Les études comme le rapport annuel DBIR de Verizon nous fournissent des analyses expliquant en partie la non efficacité des anti-virus.
En effet, les vulnérabilités exploitées l'année dernière datent essentiellement de 5 à 10 ans, voire plus. La base des signatures étant régulièrement épurée, la course est donc perdue et le perdant est l'utilisateur final malade chronique qui doit vivre avec un médicament partiellement efficace. Autre point, les hackers chargent leurs exécutables en mémoire ce qui les rend quasi non détectables par les anti-virus classiques. L'utilisation d'outils de sandboxing permet de vérifier le comportement d'un programme lorsqu'on l'exécute sur un poste de travail "virtuel". Mais certaines attaques ciblées ne se déploient que dans un contexte utilisateur précis. L'outil de Sandboxing ne sera, par exemple, pas capable d'exécuter le programme destiné au PDG dans la session du PDG. Le code ne sera donc pas vu comme un malware. La nouvelle génération de protection des End-point travaille sur les exploits Les ingénieurs de PaloAlto ont pris le problème sous un autre angle. Ils ont analysé les types d'attaques et le constat connu est que les exploits à surveiller sont d'un nombre fini qui évolue peu (une petite dizaine par an). Les hackers varient de plus en plus rapidement leur façon d'exploiter les failles ce qui créé une infinité de signatures contrairement au nombre d'exploit qui lui est relativement fixe. L'idée est donc de surveiller les points de passages obligés des hackers en posant des pièges et d'empêcher les exploits. Prenons un exemple proposé par PaloAlto :
Un utilisateur ouvre un PDF qui exécute un code en fond de tâche. La fonction normale du PDF est effectuée : afficher un document.. Le hacker utilise 3 techniques les unes derrière les autres non détectables par un antivirus (faille non connue, en mémoire…) Avec Traps, ce sont les 3 exploits qui sont surveillés.
A chaque étape TRAPS est capable de bloquer l'exploit. Si un exploit est tout de même utilisé, le hacker est bloqué à l'exploit suivant. Le schéma suivant explique les interventions de TRAPS lors de chaque phase d'une attaque.
Quelques arguments pour passer à Traps L'usage de TRAPS est compatible avec tous les OS Windows depuis XP, y compris Windows server. Outre le fait d'être plus efficace dans le blocage que les anti-virus :
- TRAPS permet de détendre le planning de mises à jour des patchs et donc d'assurer plus de continuité du business.
- Le nombre de mises à jour de TRAPS est très limité car il suit uniquement l'évolution des nouveaux exploits
- Le reporting sur l'utilisation des exploits est très fourni et permet donc d'économiser du temps en analyse forensic et remédiation.
Cependant quelques points de vigilance :
- La mise en œuvre nécessite au démarrage l'intervention d'un spécialiste qui va permettre de supprimer les faux positifs.
- l'outil TRAPS ne scannant pas les postes de travail, les normes comme PCI-DSS pour l'instant ne reconnaissent pas son usage comme protection du End-point.
- Pour l'instant seuls les OS Windows sont compatibles même si la version MAC arrive rapidement.
La plupart du temps, un POC dans votre environnement permettra de démontrer l'efficacité de la solution et sera déjà suffisant pour être utilisé comme paramétrage de déploiement et ainsi économiser du temps d'intégration.