21 décembre 2016

Cisco_AMP

Ces dernières années, un des enjeux majeurs pour les RSSI est la lutte contre les menaces avancées. En effet, les événements récents laissent apparaître l’impact de telles attaques sur un SI: altération de la production via les ransomwares, dégradation de la réputation avec des attaques bots provenant de son propre réseau (Attaque Dyn orientée IoT), etc.

Une des premières réactions des acteurs de la sécurité fût de proposer des solutions nommées Advance Threat Protection (ATP), orientées autour du sandboxing. Le principe est simple: tous les fichiers transitant sur le réseau d’une entreprise peuvent, si besoin, être envoyés en sandboxing (machine virtuelle isolée) afin d’étudier leur comportement dynamique et donc de déterminer si ces fichiers sont malicieux ou non.

Cependant, les attaquants auront toujours un pas d’avance sur les acteurs de la sécurité: lorsque ces derniers proposent une solution, les hackers se doivent de les contourner en trouvant des moyens d’évasion.

Par exemple, un malware peut être développé pour attendre une interaction utilisateur avant de se lancer: celui-ci s’exécute uniquement s’il détecte des cliques souris d’un utilisateur. Les éditeurs de sandbox développeront alors un outil pour simuler ce comportement, mais qui sera vite détecté par une nouvelle version du malware, qui aura analysé les processus lancés sur la VM. Comme nous le disions, les attaquants auront toujours un coup d’avance sur l’échiquier de la sécurité.

Before – During – After

Cisco souhaite alors se démarquer en portant le discours suivant: aucune solution de sécurité ne pourra bloquer à 100% l’ensemble des attaques orientées vers le réseau qu’elle protège. C’est pour cela que Cisco souhaite intervenir sur l’ensemble des phases d’une attaque, le Before – During – After :

Capture d’écran 2016-11-29 à 15.03.44

  • Before: établir une politique de sécurité;
  • During: bloquer les attaques en cours grâce aux défenses établies lors l’étape précédente;
  • After: réagir, contenir et remédier en cas de contamination.

Ainsi, bien qu’il soit équipé d’une solution classique ATP qui interviendra sur les phases before et during (phase de prévention), Cisco se démarque en accentuant le côté analyse retrospective sur la phase after.

Première étape: Prévention

Cette première étape, classique pour des solutions ATP, est composée de différents moteurs d’analyse statiques ou dynamiques afin de détecter et bloquer les fichiers malveillants. Le but est de retourner un état concernant le fichier: soit il est clean, soit malicious, soit unknown. Le schéma ci-dessous représente les différents modules utilisés par AMP sur les phases Before et During:

Capture d’écran 2016-11-29 à 16.16.06

  • 1-to-1 signature: AMP cherche à identifier un fichier à partir d’un hash calculé (SHA 256). Ce dernier est envoyé dans le cloud sur le centre d’intelligence Cisco où sont répertoriés l’ensemble des hash connus comme malware ou non.
  • Fingerprinting: il peut arriver qu’un fichier soit légèrement modifié au niveau de son code afin de contourner le premier module en modifiant le hash. Le fingerprinting permet de détecter ce polymorphisme et ainsi bloquer le fichier, bien que modifié.
  • Machine Learning: ce module envoie un hash dans le cloud décrivant le comportement lorsqu’un fichier s’exécute. Ce même hash est alors transmis à un arbre décisionnel qui saura détecter un comportement anormal lors de l’exécution (connexions réseaux irrégulières, création de nouveaux process, etc).
  • Indications of Compromise: un fichier XML est envoyé également dans le cloud comprenant l’ensemble des caractéristiques d’une machine. Généralement, une machine infectée possédera différents artefacts indiquant sa compromission: clés de registre modifiées, fichiers supprimés, etc.
  • Device flow correlation / Security Intelligence: ces moteurs permettent de bloquer les communications vues comme malveillantes par le cloud Cisco. Le DFC est orienté AMP for endpoint tandis que la Security Intelligence est une base installée sur AMP for network.
  • Advanced Analytics: contrairement aux précédents modules basés sur une analyse orientée fichiers, l’Advanced Analytics s’appuie sur une analyse globale. Une note de low prevalence sera attribuée à un fichier en fonction de son taux d’apparition sur le réseau. Plus le taux est faible, plus le fichier est rare, plus celui-ci est suspicieux et peut demander une analyse approfondie.
  • Dynamic Analysis: enfin, si l’ensemble des premiers modules n’arrivent pas à donner un état « clean » ou « malicious« , le fichier « unknown » est envoyé en sandbox pour approfondir les recherches. Cisco utilise AMP Threatgrid pour cette analyse dynamique. Threatgrid renverra alors un score au cloud AMP, qui prendra ensuite la décision de classer le fichier en clean ou malicious.

Seconde étape: Retrospection

Comme précisé précédemment, Cisco considère que, malgré le nombre de moteurs impliqués pour indiquer une disposition d’un fichier (clean/malicious/unknow), certaines attaques peuvent ne pas être détectées.

Cependant, Cisco continue d’investiguer en amont et, grâce à son Retrospective Engine, peut changer la disposition d’un fichier. L’ensemble des solutions (endpoint ou network) viennent poller périodiquement le cloud Cisco (tous les 20 minutes pendant 7 jours) afin d’évaluer si une nouvelle disposition est disponible.

Ainsi, quand une des solutions AMP rencontrera à nouveau ce fichier, il sera traité en fonction de la nouvelle disposition déterminée.

Reste alors à investiguer si la disposition d’un fichier devient malicious alors que ce dernier est présent sur le réseau à protéger. Pour cela, AMP propose deux solutions:

  • File Trajectory (AMP for endpoint and network): visibilité sur le déplacement du fichier à travers le réseau. Cela permet de connaitre le patient zéro ainsi que les machines sur lesquelles le fichier s’est déplacé.
  • Device trajectory (uniquement AMP for endpoint): en plus d’avoir les connexions créées par le patient zéro sur d’autres machines, le Device Trajectory permet de connaître le comportement qu’à eu le fichier malicieux au sein même d’une machine.

restrospection

La console AMP devient alors un outil d’incident response: l’administrateur pourra alors déterminer les machines infectées, les machines à mettre en quarantaine, les process à bloquer, etc.

Positionnement

Le schéma ci-dessous reprend l’ensemble des solutions CISCO compatibles avec AMP:

 Capture d’écran 2016-11-30 à 16.27.54

Les équipes de Nomios se tiennent à votre disposition pour vous démonter l’efficacité de Cisco AMP en faisant soit une démonstration personnalisée, soit en mettant en place un POC dans votre environnement.

Partager :

Auteurs