8 décembre 2014

Internet est devenu le point central des interactions sociales et économiques. Les vecteurs de communications se sont multipliés, ouvrant un vaste champ de possibilité aux acteurs malveillants. Chaque utilisateur est la cible potentielle d’une attaque informatique ciblée.

Comprendre les nouvelles menaces et les vecteurs d’attaque

Les menaces informatiques ont évoluées en très peu de temps. L’ancienne génération de malware, conçue pour infecter les masses avait pour objectif de nuire l’utilisateur de façon directe.

Les APTs et la plupart des nouvelles attaques cherchent à extraire de l’information de valeur (propriété intellectuelle, secret de défense nationale, information gouvernementale, stratégie industrielle). Le but de ces nouvelles menaces est de durer dans le temps pour récupérer de la donnée. Invisible pour l’utilisateur, ces malwares se dissimulent et peuvent rester silencieux pour ne pas être détectés.

 

Les nouvelles attaques ont les caractéristiques suivantes :

– Coordonnées et persistantes : elles sont organisées pour cibler un environnement et l’attaque est unique. Elle s’adapte aux défenses pour rester invisibles et persister dans le temps

– Dynamiques et polymorphiques : les malwares de nouvelle génération ont la capacité de se transformer pour mieux traverser les défenses traditionnels.

– Multi-vectorielles : Les canaux de diffusions des attaques sont multiples. Les malwares utilisent les vulnérabilités applicatives pour corrompre un système. Les navigateurs, les plugins, les emails, les pièces jointes et les terminaux mobiles constituent autant de points d’entrée.

– Infection en plusieurs étapes : L’exécution d’une attaque est séquencée en plusieurs phases. La récupération du code malicieux peut être chiffrée. Son exécution peut nécessitér la récupération d’une clé. Les deux flux sont souvent décoréllés. Il n’est pas possible d’identifier l’attaque sans inclure ces deux flux dans une même analyse antivirale.

 

Les limites du mode de défense traditionnel

Le système de défense traditionnelle (IPS, Firewall, Next-Gen Firewall, antivirus , relais de messagerie) s’appuie essentiellement sur une analyse de signatures et sur certains comportement malveillants connus. De plus, les flux sont souvent analysés dans un seul sens (sens entrant).

Ils sont très efficaces pour filtrer les attaques connues mais génèrent également un très fort taux de faux-positifs. Dans le flux d’évènements remontés, il est parfois difficile de déceler les comportements légitimes des attaques malveillantes.

Ces moyens n’ont pas été pensés pour détecter les menaces inconnues.

Ils offrent un champs libre aux attaques de type « zéro-day » et aux menaces persistantes avancées. Entre la détection de ces nouvelles attaques et la réalisation de signatures permettant blocage, les binaires peuvent se transformer de façon à persister et à ne pas être bloqués.

FireE1

 

 

 

Comment colmater les brèches?

FireEye a développé une gamme de produits de prévention des menaces afin d’adresser une réponse à ces problématiques. Elles utilisent un moteur de détection propriétaire (MVX – Multi-Vector Virtuel Execution) pour détecter les menaces qui traversent les différents points de sécurité. Ce moteur effectue une analyse multi-flux pour comprendre l’intégralité du contexte, et reproduire l’attaque dans un environnement utilisateur.

Les plateformes FireEye surveillent les évènements et les flux. Dès qu’un comportement suspicieux est découvert, le MVX engine contient l’attaque, et prévient l’ensemble des autres équipements du réseau.

Par ailleurs, le DTI (Dynamic Threat Intelligence) permet de faire profiter l’ensemble des équipements FireEye de la découverte de nouveaux malwares chez les utilisateurs du réseau DTI.

 

La solution se décline sous une gamme d’appliance adressant des besoins spécifiques :

  • Traffic web – NX : Protection des flux web transitant dans le réseau, des zéro-day et des exploit web. Il détecte les callbacks montés vers les serveurs de C&C.
  • Analyse mail – EX : Plateforme de prévention du spear-pishing et d’analyse dynamique pièces jointes vérolées.
  • Analyse partage de fichier – FX : Analyse de partage réseau, et mise en quarantaine des fichiers malicieux.
  • Forensic – AX : Plateforme de sandbox permettant l’analyse dynamique de fichier et d’url. Il est possible de configurer des environnements sur lesquels le fichiers sera analysé (Version d’OS- Version d’application).
  • Endpoint – HX : Agent de poste permettant la gestion des menaces sur son parc d’utilisateurs. Il permet de faire le lien entre les menaces détectées sur le réseau et les machines, fixes ou bien mobiles (connexion en VPN SSL à distance). Le HX a également une utilité dans le cadre de forensic sur un poste infecté.

 

Et l’incident response ?

FireEye fourni les clés pour une réponse à incident efficace.

 

  • Isolation de la menace

Mis en coupure des flux, les équipements FireEye ont la possibilité de bloquer les échanges malicieux (mise en quarantaine de mail, blocage des connexions vers les serveurs de C&C). Lorsqu’une attaque est détectée, l’ensemble des équipements possèdent l’information et peuvent agir en conséquence. De même, l’agent de poste permet d’isoler une machine corrompue.

La rapidité dans la maitrise de l’attaque permet d’éviter la fuite de données sensibles.

  • Identification de la source et des failles

Chaque appliance remonte les alertes dans un dashboard où le taux de faux positifs est minimal. Les alertes mettent en évidence la source de l’attaque, la victime et les vecteurs de l’infection (vulnérabilité, fichiers téléchargés, trace réseau et diagramme de l’incident).

  • Remédiation

Les informations fournies par les analyses forensic FireEye offrent un degré de détails très large et donne aperçu rapide de l’ensemble des modifications système apportées par le malware (processus créés, modification de clé de registre). Les fichiers vérolés sont identifiables et peuvent être patchés.

 

Pour plus d’informations sur les malwares, et l’offre FireEye, je vous invite à vous rapprocher de notre équipe technique.

 

 

 

Partager :

Auteurs