RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

(1)

PROTECTION CONTRE LES MENACES AVANCÉES

COMBATTRE LES MENACES AVANCÉES

À TRAVERS UNE APPROCHE INTÉGRÉE OFFRANT

VISIBILITÉ, ANALYSE, VEILLE DES MENACES ET

MISE EN ŒUVRE DES PRINCIPES DE SÉCURITÉ

(2)

RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

©

BLUE COAT SYSTEMS, INC

La sécurité : un monde de possibilités pour l’entreprise

2 INTRODUCTION

Aujourd’hui, le paradigme de la protection contre les menaces est brisé. La plupart des entreprises s’appuient sur des outils basés sur l’analyse des signatures pour bloquer les attaques aux limites du réseau, et sur des solutions d’informations de sécurité et de gestion des événements (SIEM) afin de permettre la résolution des incidents.

Malheureusement, les agresseurs modernes ont trouvé bien des moyens d’échapper aux solutions basées sur la signature, et les produits SIEM ne peuvent pas cibler précisément les attaques réussies, avant qu’elles infligent des dégâts considérables. Par conséquent, il semblerait que chaque semaine, une grande entreprise voit sa réputation détruite par une nouvelle fuite de données majeures.

Ce Livre blanc présente un nouvel environnement pour vaincre les cybermenaces avancées. Il évoque :

• Les problèmes rencontrés avec les solutions de sécurité basées sur la signature et les solutions d’informations de sécurité et de gestion des événements classiques.

• Un environnement intégrant la visibilité et l’analyse de la sécurité, la veille des menaces non-répertoriées et des solutions de blocage et de mise en œuvre pour combattre les menaces avancées.

• Un modèle en trois étapes d’une protection contre les menaces avancées tout au long du cycle de vie, mis en œuvre à l’aide de produits et services Blue Coat.

La faiblesse des systèmes de défense de sécurité de l’information modernes

Les actualités regorgent de faits relatant les vols massifs de données d’identification personnelle, d’attaques furtives de la propriété intellectuelle et de sites Web mis hors d’usage. Les coûts pour les entreprises qui en sont victimes vont d’une réputation entachée à la perte totale de la compétitivité, en passant par des millions de dollars en amendes réglementaires et en frais de notification de fuite de données.

Il apparaît souvent que les méchants sortent victorieux de cette course à l’armement, en introduisant sans cesse de nouvelles façons de surmonter les défenses traditionnelles en matière de sécurité de l’information. Ces défenses sont vulnérables car elles reposent sur un modèle de sécurité basé sur la signature, sur une simple « palissade » visant à prévenir les attaques.

Les attaques échappent aux outils analysant la signature La plupart des entreprises utilisent des outils de sécurité basés sur la signature, comme les pare-feu nouvelle génération (NGFW), les systèmes de prévention des intrusions (IPS), les outils de prévention de la perte de données (DLP), et hébergent des solutions antivirus afin d’identifier des menaces connues sur le trafic réseau.

Malheureusement, les agresseurs ont mis au point de nombreuses techniques afin d’échapper aux outils basés sur la signature, parmi lesquelles :

• L’envoi en nombre de logiciels malveillants inconnus et de nouvelle génération dans le cadre d’attaques non-répertoriées (Zero Day) infiltrant les réseaux avant l’identification et la diffusion de leurs signatures.

• Le ciblage individuel des organisations avec des logiciels malveillants personnalisés pour lesquels aucune signature n’existe.

• L’utilisation de l’ingénierie sociale et des techniques de spear phishing qui trompent les employés pour les pousser à aider involontairement l’agresseur à contourner les défenses.

• La dissimulation des attaques dans du trafic crypté SSL (représentant désormais jusqu’à 30 % à 40 % du trafic Internet global) qui ne peut pas être déchiffré par les FAI ni les défenses de passerelles Web.

• L’utilisation d’outils de chiffrage, de compression et de transformation permettant de dissimuler les logiciels malveillants aux yeux des programmes antivirus.

• L’intégration des logiciels malveillants dans des applications utiles ou dans des jeux.

• L’élargissement de la surface d’attaque, c’est-à-dire, la capacité à trouver des vulnérabilités dans d’autres points d’accès tels que les appareils mobiles et les systèmes de contrôle industriels.

(3)

RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

©

BLUE COAT SYSTEMS, INC

La sécurité : un monde de possibilités pour l’entreprise

3

La grande majorité des experts en sécurité de l’information reconnaissent désormais que les défenses basées sur la signature utilisées seules ne sont pas capables d’arrêter les menaces avancées les plus sérieuses que l’on rencontre aujourd’hui.

« [La détection basée sur la signature reste] une partie intégrante de la [défense contre les logiciels malveillants], mais elle n’en est pas l’unique composant. Nous devons cesser d’essayer de créer des lignes Maginot qui semblent robustes, mais qui sont en réalité faciles à contourner. »

Nicolas Cristin, Carnegie Mellon University, cité dans The Antivirus Era is Over Les produits SIEM n’offrent pas assez de contexte

La plupart des entreprises ont remarqué que certains agresseurs passent à travers les limites du réseau et mettent en œuvre des solutions de sécurité de l’information et de gestion des événements afin d’identifier les failles et leurs causes. Malheureusement, les produits SIEM présentent de sérieuses limitations.

En effet, beaucoup de solutions SIEM ne peuvent pas traiter l’énorme volume d’événements de sécurité créés par les systèmes réseau et de sécurité et les équipements d’utilisateur final actuels. Pour compenser, elles travaillent uniquement avec des échantillons ou des résumés de données de journaux.

En clair, les analystes en sécurité et les personnes traitant les incidents

disposent d’une visibilité incomplète sur les séquences d’actions qui constituent les attaques avancées, les rendant ainsi encore plus difficiles à identifier.

En outre, les produits SIEM peinent à reconstituer le contexte complet des attaques. S’ils sont capables d’évaluer des événements ou des données de journaux en provenance de dispositifs de sécurité et réseau, ils ne peuvent pas les croiser avec des e-mails, des fichiers et des sites malveillants impliqués dans des attaques avancées et ne peuvent pas non plus aider les analystes à rapprocher des événements qui s’étalent sur une longue période de temps.

Les outils de sécurité individuels ne sont pas intégrés

Dans de nombreuses entreprises, c’est le manque d’intégration entre chaque outil qui empêche les systèmes de sécurité de détecter et d’analyser les attaques en cours. De nouveaux types de logiciels malveillants révélés par un produit d’analyse ne seront peut-être pas visibles par les outils de blocage, sans passer par des étapes manuelles fastidieuses. Les indices permettant d’identifier les attaques en plusieurs étapes collectés par différents systèmes de sécurité ne sont pas partagés. De ce fait, les analystes en sécurité n’ont pas la possibilité d’effectuer des corrélations ni de détecter des tendances qui pourraient mettre à jour les actions des agresseurs. Les résultats de veille des menaces ne sont pas efficacement échangés entre les entreprises, les laissant ainsi vulnérables aux logiciels malveillants non-répertoriés (Zero Day) et aux nouveaux types de menaces.

La lenteur des réponses accroit les risques et les coûts en cas de violation

Une détection et une réponse rapides peuvent permettre de stopper les attaques avancées avant qu’elles ne causent des dégâts, ou minimiser le volume de propriété intellectuelle et de données personnelles protégées que les agresseurs pourront extorquer à l’entreprise. Malheureusement, selon le rapport Verizon 2014 sur la fuite de données, « Verizon 2014 Data Breach Investigation Report », 68 % des attaques d’applications Web prennent des semaines, des mois ou des années à être découvertes, même si dans 69 % des cas, les données volées ont été exfiltrées en quelques minutes, quelques heures ou quelques jours. 88 % des attaques d’applications Web motivées par l’argent ont été découvertes par des tiers (tels que, les clients, les agences anti-fraude et les forces de l’ordre) plutôt qu’au sein de l’entreprise attaquée.

Cela est une preuve évidente que les méthodes d’aujourd’hui ne parviennent pas à détecter et à endiguer les attaques dans un délai acceptable.

« Nous ne pouvons pas supposer qu’il nous est impossible d’arrêter les agresseurs, nous devons donc prévoir un compromis. La différence entre le succès et l’échec se situe dans la rapidité avec laquelle vous parvenez à isoler l’attaque, à limiter les dégâts, puis à corriger le problème. »

Mike Rothman, Président de Securosis, dans Applied Network Security Analysis: Moving from Data to Information

Un environnement pour la protection contre les menaces avancées

Mais la course à l’armement n’est pas perdue. Plusieurs avancées

technologiques en matière de sécurité donnent aux entreprises et aux agences gouvernementales l’espoir de devancer les agresseurs. Celles-ci comprennent :

• Des outils offrant aux entreprises une visibilité complète en temps réel sur les attaques en cours et des données contextuelles complètes afin de proposer une réponse à l’incident et une analyse post-attaque.

• De nouveaux produits d’analyse de la sécurité permettant aux entreprises d’accélérer la découverte de failles de sécurité et de remédier aux attaques, même les plus sophistiquées.

• Des technologies de sécurité utilisant l’analyse comportementale et l’analyse dynamique (« sandboxing de nouvelle génération ») pour détecter les logiciels malveillants avancés pour lesquels aucune signature n’existe.

• Des réseaux de veille des menaces basés sur le Cloud et des bases de connaissances qui accélèrent la diffusion des données sur les menaces en temps réel, afin que les entreprises puissent « s’auto-vacciner » dès l’apparition des nouvelles attaques.

(4)

RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

©

BLUE COAT SYSTEMS, INC

La sécurité : un monde de possibilités pour l’entreprise

4

• L’intégration de ces composants aux outils d’analyse et de blocage préexistants, afin de créer un écosystème de sécurité offrant une sécurité complète face aux menaces avancées.

Ces capacités avancées peuvent être intégrées dans un environnement de protection contre les menaces avancées (figure 1). Cet environnement permet aux entreprises de détecter et de bloquer plus d’attaques et de répondre plus rapidement aux intrusions.

Blocage et Mise en application

Sécurité et Visibilité SSL

Détection et Veille des

menaces

Analyses de sécurité en

ation n

té et

Veille men

Analy

Données mondiales

sur les menaces

Couche d'intégration

Figure 1 : Un environnement pour la protection contre les menaces avancées

Sécurité et visibilité SSL

La visibilité sur la sécurité est essentielle pour la protection contre les menaces avancées. Les outils permettant de bloquer les menaces tels que les pare-feu nouvelle génération, les IPS et les solutions antivirus hébergées ne sont véritablement efficaces que lorsqu’ils peuvent inspecter l’ensemble du trafic réseau entrant et sortant de l’entreprise. En outre, les analyses de la sécurité, l’analyse des impacts et la résolution d’incidents nécessitent une vision complète du trafic réseau, ainsi que toutes les données de sécurité

qui s’y rapportent, de manière à effectuer une analyse complète rétroactive et en temps réel.

Pour éviter les « angles morts », une solution de protection contre les menaces avancée efficace doit être capable de :

• Décrypter le trafic chiffré, en particulier SSL :

• Traiter l’ensemble du trafic réseau, à travers tous les principaux protocoles, sans aucune perte de données par le biais d’échantillonnage ou de résumé.

• Identifier tout ce qui traverse le réseau, à la fois au niveau des paquets et des

éléments de niveau supérieur tels que des fichiers, e-mails et messages instantanés, le trafic des applications et des événements de sécurité.

• Capturer et stocker les données historiques pendant des semaines, des mois ou plus encore.

• Extraire, indexer et classifier les métadonnées de manière efficace, afin de pouvoir réaliser une analyse rapide de l’historique sur d’importants volumes de données.

À moins que toutes ces fonctionnalités soient disponibles, les technologies de protection contre les menaces en aval et les professionnels de traitement des incidents ne disposeront pas des données nécessaires pour offrir une prestation efficace en termes de blocage des menaces connues, d’analyse des menaces inconnues et d’enquête en profondeur sur les failles de sécurité.

Analyses de sécurité à l’aide des Big Data Les analyses de sécurité aident les entreprises à identifier des renseignements

exploitables de volumes considérables de données réseau et de sécurité.

La détection et la corrélation heuristiques permettent d’identifier les fichiers et les événements qui ressemblent à des logiciels malveillants et des tendances d’attaques connues. Cela aide les entreprises à se défendre contre les logiciels malveillants polymorphes qui ne peuvent être détectés par une association de signature directe.

Les analyses statistiques peuvent détecter des variations suspectes de

comportement, particulièrement au sein des flux réseau.

Blocage et Mise en application

Sécurité et Visibilité SSL

Détection et Veille des menaces

Analyses de sécurité

Couche d'intégrationuuuuuucccchh

té téééééggggggra

en

ationn Veille men

Analy é

Données mondiales

sur les menaces

Couche d'intégrationouccccc

éggrgrrratataatoo

Analyses de sécurité en

ationn

té et Veille men

A Données mondiales sur les menaces

(5)

RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

©

BLUE COAT SYSTEMS, INC

La sécurité : un monde de possibilités pour l’entreprise

5

Les analyses de sécurité jouent également un rôle majeur dans les réponses aux incidents, aidant ainsi les analystes à identifier les indicateurs de compromis (IOC) et à comprendre les tactiques, les techniques et les procédures des agresseurs. Une solution d’analyses de sécurité peut reconstituer l’activité d’une attaque de manière chronologique, y compris les courriels, le chat, l’activité Web, le VoIP et autres sessions utilisateur, en prenant en compte le texte, les images et les fichiers associés.

Reconstituer le déroulement chronologique de cette façon offre aux analystes en sécurité des outils précieux pour détecter les attaques au moment où elles se produisent et répondre aux questions spécifiques telles que :

• Qui est responsable et comment ont-ils procédé ?

• Quels ont été les systèmes atteints et quelles données ont été compromises ?

• L’attaque se poursuit-elle et si tel est le cas, peut-on l’arrêter immédiatement ?

• L’attaque est-elle terminée et si tel est le cas, comment peut-on éviter une récidive ?

Une solution d’analyses de sécurité peut également aider les analystes à répondre à des

questions plus vastes telles que :

• Quelles attaques sont les plus communes, et lesquelles ont été les plus réussies ?

• Quels systèmes sont les plus vulnérables ?

• Quelles sont les forces et les faiblesses de nos procédures de sécurité ? Détection et veille des menaces

De nombreuses attaques non-répertoriées et avancées utilisent des logiciels

malveillants ciblés et polymorphes, qui ne seront pas détectés par les outils de sécurité basés sur la signature.

Pour détecter dans des fichiers des logiciels malveillants pour lesquels aucune signature n’existe, de nombreuses entreprises déploient des technologies d’analyse dynamique qui emploient le sandboxing de nouvelle génération. Avec le sandboxing, les fichiers qui n’ont pas été précédemment identifiés comme étant bons ou mauvais sont envoyés dans un

environnement protégé pour être exécutés. La solution enregistre et analyse les comportements malveillants ou potentiellement malveillants, par exemple, des tentatives de modification des clés registre, d’accès aux fichiers liés à la sécurité, de désactivation des solutions antivirus, ou d’« appel fixe » vers un serveur Commande-et-Contrôle (CnC) sur Internet.

Des signatures peuvent être développées pour les fichiers identifiés comme étant malveillants ou suspects. Ces signatures peuvent être utilisées pour bloquer toutes les instances supplémentaires tentant de pénétrer le réseau, et peuvent également être partagées avec d’autres entreprises à travers un service mondial de veille des menaces.

En outre, le comportement de ces fichiers malveillants offre de nombreux indices sur les méthodes, les intentions et les objectifs de l’agresseur. Ces informations peuvent être utilisées par une solution d’analyses de sécurité afin d’aider à reconstituer et inverser l’ingénierie des attaques avancées, à plusieurs phases.

Blocage et protection

La plupart des entreprises ont lourdement investi dans des solutions de blocage et de protection, comme les pare-feu, les passerelles Web sécurisées, les pare-feu nouvelle génération, les systèmes IPS, les appliances de gestion des menaces unifiée (UTM), les systèmes DLP et les solutions antivirus en réseau.

Ces produits sont plus efficaces lorsqu’ils sont utilisés dans un environnement de protection contre les menaces avancées, car :

• Les produits de sécurité et de visibilité SSL assurent qu’il n’existe pas de

« points morts » sur le trafic réseau pour les outils de blocage.

• Les outils d’analyses de sécurité aident à identifier les logiciels polymorphes et les nouvelles tendances d’attaque, de manière à pouvoir les bloquer dans le futur.

• Les technologies de détection et de veille des menaces détectent des types de logiciels malveillants

jusqu’alors inconnus, permettant ainsi le développement de signatures afin de bloquer ces logiciels malveillants.

Niveau d’intégration et donnés mondiales sur les menaces Dans un environnement de protection contre les menaces avancées, un niveau d’intégration fournit un ensemble complet de connecteurs et d’outils d’intégration, afin que les informations de sécurité puissent être partagées rapidement et

Détection et Veille des menaces en

ationn

té et Analy me Données mondiales

sur les menaces

té et Veille men

Analy tion

Données mondiales

sur les menaces

Couche d'intégration e en cationnn

ité et Veille me mna

Analy

Données mondiales sur les menaces

(6)

RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

©

BLUE COAT SYSTEMS, INC

La sécurité : un monde de possibilités pour l’entreprise

6

de manière fiable entre les différentes solutions de sécurité. Ceci garantit qu’une fois que de nouveaux logiciels malveillants et de nouveaux modèles d’attaques ont été reconnus, les signatures sont immédiatement disponibles pour les produits de blocage et de protection, y compris les passerelles Web sécurisées, les pare-feu de nouvelle génération et les systèmes DLP. Cela signifie également que des alertes peuvent être envoyées à partir de ces systèmes vers une solution d’analyses de sécurité, pour que les analystes puissent les exploiter et reconstituer la séquence d’événements se produisant pendant et après l’attaque, afin d’en déterminer la source et le champ d’application complet.

Le partage d’informations en devient d’autant plus puissant que les entreprises peuvent accéder à une base de données mondiale sur les menaces, basée sur le cloud. De cette manière, les entreprises peuvent partager les signatures et les données concernant la réputation des URL, afin de pouvoir bloquer les logiciels malveillants et le trafic vers et en provenance des sites Web utilisés par les cybercriminels, les botnets, les spammers et les agresseurs contrôlés par l’État.

Exploiter les données de sécurité de milliers d’organisations et de millions d’utilisateurs crée un effet de réseau qui est essentiel pour permettre aux entreprises de s’immuniser contre les attaques non-répertoriées et les attaques ciblées dès que celles-ci sont identifiées « à l’état sauvage ».

Protection contre les menaces avancées tout au long du cycle de vie

L’environnement de protection contre les menaces avancées évoqué jusqu’ici offre aux entreprises les outils nécessaires à la mise en œuvre d’une protection complète, fluide contre les menaces avancées tout au long du cycle de vie.

Les quatre prochains chapitres de ce livre blanc évoquent les différentes phases d’une protection tout au long du cycle de vie, et comment chacune d’entre elles peut être mise en place avec des produits et services Blue Coat.

Les phases de la protection tout au long du cycle de vie, ainsi que les produits Blue Coat sélectionnés sont illustrés sur la figure 2.

GLOBAL INTELLIGENCE

NETWORK

Résolution des incidents

Enquêter et Corriger la faille Profilage de la menace

et Éradication

Opérations en cours

Détecter et protéger Bloquer toutes les menaces connues

Endiguement des incidents

Analyser et atténuer Nouvelle menace

Interprétation

Résolution des incidents

Enquêter et Corriger la faille Profilage de la menace

et Éradication

Opérations en cours

Détecter et protéger Bloquer toutes les menaces connues

Endiguement des incidents

Analyser et atténuer Nouvelle menace

Interprétation

Renforcer et Rendre opérationnel

Événement inconnu Escalade

Ré

tro spec

tive Esc

alade

ProxySG SWG Content Analysis System

SSL Visibility Appliance Security Analytics Platform

Résolution des incidents Opérations en cours

Security Analytics Platform avec ThreatBLADES Malware Analysis Appliance

Limitation des incidents Figure 2 : Une protection contre les menaces

avancées tout au long du cycle de vie à l’aide de produits Blue Coat sélectionnés

(7)

RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

©

BLUE COAT SYSTEMS, INC

La sécurité : un monde de possibilités pour l’entreprise

7 Opérations en cours

Les Opérations en cours, la première phase de la protection contre les menaces avancées tout au long du cycle de vie, se concentrent sur la détection et le blocage des menaces connues. La plupart des activités de cette phase sont menées à bien à l’aide de technologies appartenant aux chapitres Sécurité et visibilité SSL, et Blocage et protection, de l’environnement de protection contre les menaces avancées évoqué précédemment.

Une des activités clés de cette phase est le décryptage et la gestion du trafic réseau chiffré, de manière à ce qu’il puisse être inspecté dans son ensemble.

Elle est suivie par l’inspection du trafic à la recherche de réseaux malveillants, de logiciels malveillants identifiés et d’autres menaces connues. Il s’agit ensuite de bloquer le trafic et les fichiers indésirables.

Un ensemble d’actions supplémentaires peut inclure la transmission de fichiers inconnus pour une analyse dynamique et le signalement d’activités suspectes au centre d’opérations de sécurité (SOC) et au personnel en charge de répondre aux incidents.

Les produits et services Blue Coat les plus importants pour la phase Opérations en cours de la protection tout au long du cycle de vie sont : Blue Coat SSL Visibility Appliance : Il s’agit d’un dispositif très efficace permettant le décryptage et la gestion du trafic SSL, de manière à scanner son contenu à l’aide de différents outils de sécurité comme des pare-feu de nouvelle génération, des passerelles Web sécurisées, des IPS et des outils d’analyses de sécurité. Capable d’effectuer un déchiffrement basé sur des règles, du trafic SSL entrant et sortant, arrivant et repartant par n’importe quel port et n’importe quel protocole, et pas seulement le trafic HTTPS sur le port 443, il peut être déployé en ligne ou hors bande. Il permet également aux administrateurs de spécifier quel trafic doit être décrypté ou non, de manière à être en conformité avec les réglementations concernant la confidentialité des données.

Blue Coat ProxySG appliance et Secure Web Gateway Virtual Appliance : Ces appliances sont reconnues comme étant les passerelles Web sécurisées leader sur le marché mondial. En plus d’offrir des fonctions de sécurité Web essentielles, telles que l’authentification de l’utilisateur, le filtrage Web, la prévention de la perte de données et la gestion de la bande passante, elles peuvent être utilisées pour détecter les réseaux de programmes malveillants connus (malnets) et appliquer des politiques d’utilisation Web acceptable.

Blue Coat Content Analysis System : Cette appliance intègre l’appliance ProxySG afin d’orchestrer le filtrage des logiciels malveillants et l’application whitelisting. Elle utilise des moteurs anti-malware simples ou doubles pour bloquer les menaces connues, en s’appuyant sur une base de données de plus d’un milliard d’enregistrements. Elle comprend une fonctionnalité de filtrage permettant d’envoyer le contenu suspect pour analyse, et des outils de sandbox pour une étude plus poussée, dont la solution Blue Coat Malware

Analysis Appliance et des produits de sandbox tiers. Elle est capable de réduire les fichiers envoyés à la sandbox de 37 %, en exfiltrant les bons et les mauvais fichiers connus, diminuant ainsi le nombre d’appliances sandbox nécessaires.

Limitation des incidents

La Limitation des incidents, la seconde phase de la protection contre les menaces avancées tout au long du cycle de vie, se concentre sur l’analyse automatisée des menaces non-répertoriées et la prévention de dommages supplémentaires. La plupart des activités de cette phase sont menées à bien à l’aide de technologies appartenant aux chapitres Analyses de sécurité et, Veille des menaces, de l’environnement de protection contre les menaces avancées.

Une des activités clés de cette phase est de « déclencher » des fichiers inconnus dans un environnement isolé (un sandbox) et de surveiller leurs actions. Cette phase n’identifie pas uniquement les logiciels malveillants inconnus, mais elle permet aussi un enregistrement détaillé des actions malveillantes. De cette manière, les analystes peuvent comprendre le comportement de l’attaque et les intentions de l’agresseur.

Les sources de ces fichiers potentiellement inconnus incluent le Web, la messagerie et les protocoles de transport de fichiers. Il est donc important que toutes les sources soient scannées à la recherche de logiciels malveillants avancés, non-répertoriés.

Une seconde activité implique la reconstitution de l’attaque dans le but d’identifier les systèmes qui ont été compromis et les données auxquelles on a accédé.

Les analystes et les administrateurs seront alors en mesure de réparer les systèmes vulnérables, de mettre à jour les configurations et de prendre d’autres mesures pour empêcher la réinfection et bloquer les nouvelles instances d’attaques identiques et similaires.

Les produits et services Blue Coat les plus importants pour la phase Limitation des incidents de la protection tout au long du cycle de vie sont : Blue Coat Malware Analysis Appliance : Ce dispositif de sandboxing nouvelle génération est capable de rapidement évaluer un grand nombre de fichiers et d’URL inconnus, à la recherche d’indications d’éventuelle activité malveillante.

Il « déclenche » les fichiers dans un environnement virtualisé, sécurisé et enregistre les activités suspectes et malveillantes. Contrairement à d’autres outils de sandboxing, il utilise plusieurs techniques pour détecter les logiciels malveillants furtifs sur machine virtuelle, y compris la détection de l’événement au niveau du noyau et la capacité à imiter les actions des utilisateurs, comme les clics de souris. Il offre la possibilité unique de dupliquer les « images de référence » du bureau réel de l’utilisateur, y compris les applications personnalisées, afin de détecter les attaques propres aux applications.

(8)

RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

©

BLUE COAT SYSTEMS, INC

La sécurité : un monde de possibilités pour l’entreprise

8

Malware Analysis Appliance offre également une fonctionnalité de mesure des risques afin de séparer les fichiers à faible risque des fichiers à haut risque, et une fonctionnalité d’alerte, afin d’avertir les administrateurs de sécurité et les utilisateurs finaux. Les informations issues de l’analyse des logiciels malveillants sont automatiquement partagées avec les appliances ProxySG, afin que de futures instances du logiciel malveillant identifié puissent être bloquées au niveau de la passerelle, permettant ainsi à tous les clients de bénéficier de ces connaissances.

Blue Coat ThreatBLADES : Ces modules logiciels s’exécutent directement sur Blue Coat Security Analytics Platform (point évoqué en détails ci-dessous).

Chaque module ThreatBLADE est optimisé pour scanner des protocoles spécifiques, détecter et extraire des fichiers, des URL et des adresses IP, les inspecter et les catégoriser en tant que « Bon », « Mauvais » (malveillant) ou « Inconnu ».

Les modules ThreatBLADE alertent les analystes et les administrateurs de la présence de menaces connues et peuvent envoyer les fichiers et les URL inconnus vers Malware Analysis Appliance pour déclenchement et analyse comportementale.

• WebThreat BLADE offre une protection complète contre les menaces sur le Web. Il détecte les sites Web suspects et les répertorie dans plus de 100 catégories différentes ; il utilise les données de réputation sur les URL et les adresse IP pour identifier le trafic réseau provenant de bots, de spammeurs, de sites de hameçonnage, de sources de logiciels malveillants et de sites Web compromis.

• MailThreat BLADE offre une protection en profondeur contre les menaces dissimulées dans les e-mails. Il extrait les fichiers joints envoyés via tous les protocoles de messagerie standard et utilise le hachage pour identifier les fichiers connus bons ou mauvais.

• FileThreat BLADE extrait et analyse les types de fichiers clés, y compris les documents Microsoft Office, Adobe Flash et PDF, les fichiers Java et EXE, les pièces jointes, les fichiers APK et les objets Web. Il utilise l’analyse en temps réel pour détecter les fichiers malveillants et la base des données de réputation afin d’identifier les récentes attaques par fichiers et les menaces véhiculées par le biais des protocoles de transport de fichiers standard comme FTP et SMB.

Résolution des incidents

Résolution des incidents, la troisième phase de la protection contre les menaces avancées tout au long du cycle de vie, implique l’analyse en profondeur des attaques et la réparation des dommages causés. Les outils clés de cette phase figurent dans le chapitre Analyses de sécurité à l’aide des Big Data de l’environnement de protection contre les menaces avancées.

Les activités clés de cette phase comprennent la reconstitution de l’attaque et l’analyse en profondeur de ses causes. Celles-ci permettent aux analystes et aux personnes traitant les incidents de déterminer toutes les origines et le champ d’application des attaques, et d’identifier les systèmes compromis et les intentions exactes des agresseurs.

Pour lutter contre les attaques complexes et durables, les analystes doivent être munis d’un ensemble complet de données, pas seulement des paquets, mais également des flux de session, des fichiers, des courriels et autres artefacts et les résultats de l’analyse sandboxing. Ces données doivent être disponibles sur des périodes prolongées, des semaines ou des mois. En outre, l’analyste a besoin d’outils d’analyses de sécurité capables d’identifier et d’extraire des informations selon un indicateur spécifique de corruption, par exemple, tous les e-mails, toutes les pièces jointes et tout le trafic précédant et suivant la présence d’un logiciel malveillant.

Les résultats sont utilisés pour évaluer et quantifier les dommages causés par les attaques, pour nettoyer les systèmes corrompus, pour mettre à jour les signatures et les informations concernant les menaces, pour valider la conformité aux réglementations concernant la sécurité de l’information, et pour améliorer les procédures informatiques afin d’éviter de futures attaques.

Le produit Blue Coat essentiel à la phase Résolution des incidents de la protection tout au long du cycle de vie est :

Security Analytics Platform : Ce système enregistre et classifie chaque paquet qui entre sur le réseau, même sur les réseaux modernes les plus rapides.

L’inspection en profondeur des paquets (DPI) offre une visibilité sur toutes les informations présentes dans les paquets capturés de la couche 2 à la couche 7, et classifie plus de 1 800 applications et des milliers de métadonnées.

La reconstruction des sessions et des applications convertissent le trafic à partir de paquets bruts pour parvenir à des artefacts significatifs comme des fichiers, des courriels, des messages instantanés, des conversations VoIP et du trafic des applications. Ces artéfacts peuvent être scannés et analysés par des IPS, des solutions antivirus et des outils d’analyse de logiciels malveillants, et offrent un contexte aux outils d’analyses de sécurité. Security Analytics Platform peut même identifier et reconstituer des fichiers complexes PHP, Ajax et JavaScript.

Non seulement, Security Analytics Platform collecte et stocke des données complètes de sécurité, mais elle offre également des outils essentiels d’analyses de sécurité des Big data, afin de rapprocher et de traiter des volumes considérables de données, dans le but de détecter les attaques en cours et de répondre aux problématiques essentielles post-intrusion.

En utilisant les données et les outils offerts par Security Analytics Platform, les analystes peuvent appliquer ce que Blue Coat appelle la méthodologie

« CRIME » et déterminer :

(9)

RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

©

BLUE COAT SYSTEMS, INC

La sécurité : un monde de possibilités pour l’entreprise

9

• Le Contexte d’une menace ou d’une intrusion - Que s’est-il passé avant, pendant et après l’attaque ?

• La Racine (l’origine) – Quelle est l’origine de l’attaque et qui en est responsable ?

• L’Impact – Quels ont été les systèmes atteints et quelles données ont été compromises ? Quels réseaux et quels utilisateurs ont été affectés et quels artéfacts dangereux sont susceptibles d’être encore sur le réseau ?

• Mitigation – Quelles mesures doivent être prises pour résoudre les problèmes causés par l’attaque et l’empêcher de reprendre ?

• Éradication – Qu’est-ce qui doit être fait pour effacer les effets de bord de l’intrusion et empêcher des attaques similaires à l’avenir ?

Security Analytics Platform offre à l’entreprise performances et évolutivité grâce à une capture de paquets complète allant jusqu’à 10 Gbits/s. Elle peut fournir un contexte aux alertes reçues des pare-feu nouvelle génération, des IPS, des SIEM, des DLP et des produits d’analyses de logiciels malveillants.

Les options de déploiements incluent le logiciel, des appliances dédiées et des appliances virtuelles.

Blue Coat Global Intelligence Network

Au cœur de la protection contre les menaces avancées tout au long du cycle de vie, se trouve le Global Intelligence Network, qui partage les données concernant les menaces entre des milliers d’entreprises.

En diffusant rapidement les informations sur les logiciels malveillants, les URL et les adresses IP suspectes, les tendances d’attaque récemment découverts, et d’autres données concernant les menaces, un Global Intelligence Network peut :

• Aider à bloquer les attaques non-répertoriées et ciblées au niveau de la passerelle, dès qu’elles apparaissent à l’horizon.

• Fournir des informations aux analystes et aux personnes traitant les incidents afin d’analyser les menaces plus rapidement et plus précisément.

• Établir des listes blanches et des listes noires en temps réel afin de réduire le nombre de fichiers inconnus nécessitant une analyse par les systèmes anti-malware et sandboxing.

Le Global Intelligence Network, alimenté par la défense collaborative Blue Coat WebPulse, crée un écosystème permettant de collecter et de partager des données entre plus de 15 000 entreprises, en provenance de 75 millions d’utilisateurs, regroupant des fournisseurs de technologie leaders sur le marché et des sources indépendantes de données concernant les menaces.

Il dispose de laboratoires d’étude des menaces dotés de professionnels chevronnés de la sécurité, qui détectent les menaces avancées en utilisant

plusieurs moteurs à la pointe de la technologie en matière de menaces, du sandboxing et des analyses comportementales, des règles de corrélation, des processus d’apprentissage machine et d’autres techniques sophistiquées.

Résumé et implications commerciales

Pour arrêter les cybercriminels, les hacktivistes et les pirates informatiques soutenus par l’État, les entreprises doivent aller au-delà des défenses de sécurité traditionnelles basées sur les signatures et les produits SIEM. Ces technologies restent essentielles dans une stratégie moderne de défense en profondeur, mais les agresseurs ont trouvé trop de façons de se soustraire à ces dernières, qui offrent un ensemble de données et d’outils trop limités pour détecter de manière fiable les attaques en cours et identifier des modèles dans l’historique des informations.

La solution est d’avancer vers une approche plus complète de la protection contre les menaces avancées.

Dans cette idée, un composant Sécurité et Visibilité SSL offre des données pour un blocage plus efficace et une meilleure analyse de l’inconnu.

Un composant Big Data Security Analytics identifie les menaces inconnues et fournit des données et des outils de manière à ce que les analystes en sécurité puissent effectuer une analyse historique complète et remonter à l’origine des vulnérabilités et des attaques.

Un composant Detection and Threat Intelligence offre des outils supplémentaires comme le sandboxing afin d’identifier les logiciels malveillants inconnus et d’aider à l’acquisition d’informations de sécurité en temps réel à partir de milliers de sources externes.

Le blocage et la protection deviennent plus efficaces, car les outils de blocage sont dotés d’informations mises à jour sur les menaces connues et inconnues.

Lorsque ces technologies sont déployées pour créer une protection contre les menaces avancées tout au long du cycle de vie, les entreprises maximisent leurs capacités à détecter et à bloquer les attaques connues, à analyser et contenir les menaces non-répertoriées et à reconstruire et assainir leur environnement même après les attaques les plus élaborées. Il en résulte une meilleure défense contre les menaces connues, une réduction de la durée des attaques réussies ainsi qu’une nette diminution en termes de perte du chiffre d’affaires, de la productivité ou de la fidélité client, des frais de notification d’intrusion et des coûts de nettoyage.

Pour plus d’informations sur les concepts et les produits évoqués dans ce livre blanc, et pour déterminer comment ces solutions peuvent vous aider dans votre environnement, veuillez visitez le site Web Blue Coat sur www.bluecoat.com/advanced-threat-protection.

(10)

La sécurité : un monde de possibilités pour l’entreprise

Blue Coat Systems Inc.

www.bluecoat.com Siège social Sunnyvale, CA, États-Unis +1.408.220.2200 Siège social pour la région EMEA Hampshire, Royaume-Uni +44.1252.554600 Siège social pour l’Asie-Pacifique Singapour

+65.6826.7000 10

© 2014 Blue Coat Systems, Inc. Tous droits réservés. Blue Coat, les logos Blue Coat, ProxySG, PacketShaper, CacheFlow, IntelligenceCenter, CacheEOS, CachePulse, Crossbeam, K9, le logo K9, DRTR, Mach5, Packetwise,

Policycenter, ProxyAV, ProxyClient, SGOS, WebPulse, Solera Networks, les logos Solera Networks, DeepSee, « See Everything. Know Everything. » (Tout voir. Tout savoir), « Security Empowers Business » (La sécurité : un monde de possibilités pour l’entreprise) et BlueTouch sont des marques commerciales ou déposées de Blue Coat Systems, Inc. ou de ses filiales aux États-Unis et dans d’autres pays. Cette liste peut être incomplète, et l’absence d’une marque commerciale dans cette liste ne signifie pas qu’il ne s’agit pas d’une marque commerciale de Blue Coat ou que Blue Coat en ait abandonné l’utilisation.

Toutes les autres marques commerciales mentionnées dans le présent document détenues par des tiers appartiennent à leurs propriétaires respectifs.

Ce document est proposé à titre d’information uniquement. Blue Coat n’offre aucune garantie explicite, implicite, ni statutaire quant aux informations contenues dans ce document. Les produits, services techniques et autres données techniques Blue Coat mentionnés dans ce document sont soumis aux contrôles à l’export, aux sanctions pénales, réglementations et exigences en vigueur aux États-Unis et peuvent être soumis aux réglementations d’importation et d’exportation en vigueur dans les autres pays. Vous acceptez de vous conformer strictement à ces lois, réglementations et exigences et reconnaissez qu’il est de votre responsabilité d’obtenir tout permis, licence ou approbation susceptible d’être requis pour exporter, réexporter, transférer dans un pays ou importer après la livraison.

v.WP-REVOLUTIONIZING-ADVANCED-THREAT-PROTECTION-A4-EN- v1b-0714