COMPAREX Vendor section
COMPAREX – Partenaire Bitdefender

Le point de vue de Bitdefender sur la valeur réelle des protections contre les APT (Menaces Persistantes Avancées) et les conseils pour s’en protéger

Les APT sont des menaces complexes qui ont pour objectif de s’infiltrer dans la durée au sein d’un réseau. Elles sont plutôt destinées à récupérer des données qu’à endommager le réseau ou à y installer des ransomwares. C’est typiquement une technique utilisée dans l’espionnage industriel, puisque ces attaques visent particulièrement les réseaux d’entreprises, d’organismes financiers ou encore de gouvernements.

 

La définition d’une APT

Tout d’abord, intéressons-nous au concept même de l’APT. En étudiant sa définition, nous pouvons retenir deux aspects :

  • Le premier : leur caractère « avancé » en termes de technologie – les APT sont très élaborées, et sont inaccessibles d’un point de vue technologique même à des réseaux de crime organisé – « désolés, les botnets et les chevaux de Troie bancaires ne sont pas autorisés dans la cour des APT ».

  • Le second : leur caractère « persistant » – comme nous l’avons vu, nous sommes face à des attaquants organisés avec  d’innombrables ressources – la principale étant le temps et la patience - leur permettant d’atteindre leur objectif (pénétrer un réseau et y rester pour récupérer un maximum d’informations). Une caractéristique nouvelle dans l’univers de la cyber-criminalité est le fait qu’ils préfèrent, à quelques exceptions près, l’approche « low and slow » pour réaliser un « travail » aussi discret que possible.

Bitdefender conteste la théorie selon laquelle les APT peuvent échapper à toutes les technologies antimalwares existantes. En fait, la plupart de leurs composants sont détectés comme étant des éléments suspects avant d’être analysés et que leur signature ne soit ajoutée.

De nombreuses technologies anti-APT (produits, services) promettent quant à elles 100% de protection. C’est une affirmation que nous aimerions voir dans le domaine de la sécurité des informations. L'objectif de Bitdefender est de les considérer sous un angle critique et de voir leurs points faibles.

Pour commencer, et c’est important, Bitdefender s'engage à ne pas promettre une technologie inviolable contre les APT. Il est difficile de concevoir une telle technologie en sachant que les attaquants s’efforcent justement d’échapper aux moteurs de détection, en dressant prudemment un profil des victimes pour repérer et éviter toutes les « alarmes ». Bitdefender fait appel au bon sens, à une vision claire de ce qui doit être protégé et à l’intelligence pour y parvenir.

Pour Bitdefender, il n'existe pas une réponse miracle aux APT. En analysant un certain nombre d’entres elles, ils ont observé que bien qu’elles partagent le même processus, elles diffèrent en matière de charge utile, de techniques de reconnaissance, de canaux de communication et de méthodes d’exfiltration des données. Toutes les  APT ne présentent pas forcément l’ensemble de ces phases, en particulier la reconnaissance et l’exfiltration, mais délivrent simplement une charge utile et un système de commande et de contrôle.

Le premier conseil de Bitdefender est de préparer vos mécanismes de défense après avoir réalisé une analyse approfondie et réaliste des  principales informations pouvant être piratées au cours d’une attaque aussi élaborée sur votre réseau. Cela suit un principe de base : vous devez savoir ce qui doit être protégé afin de définir les priorités en matière de protection.

Lorsque vous avez déterminé les éléments spécifiques que vous devez protéger, en fonction de votre domaine d’activité, intéressez-vous aux attaques APT ayant eu lieu récemment et envisagez les méthodes permettant de mettre en place des mécanismes de défense adaptés.

Exemples concrets et pratiques utiles pour se protéger contre les APT, sur les plans à la fois technique et humain.

Quelques conseils pour ne pas être victime des APT, partie 1

1. Protection des fichiers

Les techniques :

  • Un chiffrement renforcé, dont le niveau est en fonction du domaine : vous avez peut-être constaté que plusieurs agences étaient capables de déchiffrer un chiffrement relativement faible (si la NSA en est capable, les Russes et les Chinois le sont également).
  • Des technologies de « morcellement » des données – il s’agit d’une approche innovante qui exploite le fait qu’il est plus difficile d’accéder à des données situées à différents endroits et de les transférer. Cependant, leur force ou faiblesse dépend des algorithmes utilisés et du moyen d’y accéder.
  • La protection et l’isolement des environnements, une stratégie de défense à plusieurs niveaux. Plus il y a de protections (fortes ou non), plus il est difficile de les contourner.
  • Le recours à la virtualisation – pour les données extrêmement sensibles qui pourraient être interceptées/divulguées. Vous pouvez opter pour conserver maintenir les données centralisées dans le datacenter, en autorisant un accès à partir de postes virtuels sécurisés avec un accès extrêmement contrôlé et des connexions fortement chiffrées.  Les maillons faibles pourraient cependant se situer au niveau des points de connexion. Les antimalwares – spécialisés pour les environnements virtuels et pour la protection des postes de travail et serveurs – constituent un allié de choix pour protéger ces points d’entrée.

Les personnes et les processus :

  • Dans le cas de l’accès aux fichiers, un contrôle d’accès rigoureux accompagné de mesures complémentaires sont nécessaires, tels que la sélection du personnel, le contrôle des comptes privilégiés, la gestion des modifications, la sensibilisation à la sécurité, la répartition des tâches afin que les personnes ne puissent accéder qu’à une partie des informations, etc.

 

2. Protection des systèmes SCADA

Dans le cas des systèmes de contrôle, SCADA, systèmes d’informations, contrôles d’automatisation etc., les mécanismes de protection sont différents :

Les techniques :

  • Une authentification et une autorisation de pointe, une vérification fiable de l’identité des utilisateurs pouvant accéder aux systèmes (par la biométrie par exemple), des contrôles redondants comme une authentification multi-niveaux et une gestion des identités et des privilèges.
  • Des connexions chiffrées sécurisées pour les commandes de ces systèmes à distance, dont la puissance du chiffrement est, une fois de plus, importante.
  • Des  systèmes à plusieurs niveaux, similaires aux systèmes SAS, implémentés en tant que workflows avec authentification et autorisation pour les contrôles importants – plusieurs personnes/rôles sont nécessaires pour effectuer une séquence spécifique d’actions afin de contrôler des systèmes importants/sensibles.
  • Des technologies de détection d’intrusion et des antimalwares pour assurer la fiabilité des postes de travail et serveurs distants.
  • La virtualisation – des postes de travail virtuels sécurisés pourraient être utilisés pour le contrôle des systèmes. Lorsqu’elles sont inactives, ces machines, ainsi que celles hébergeant le système de contrôle réel devraient être désactivées pour limiter la surface d’attaque.

Les personnes et les processus :

  • Une fois encore, un contrôle fiable des accès est de rigueur.
  • Des contrôles de sécurité physiques fiables sont fréquemment employés dans ce type d’entreprises, accompagnés de procédures RH rigoureuses afin de permettre l’accès uniquement aux personnes autorisées et de confiance. Cependant, ces procédures doivent être renforcées par l’IT.

 

 3. Protection des services financiers

Dans le cas de services financiers, il existe deux principales menaces génériques :

  1. L’accès aux systèmes bancaires ou aux plateformes de transactions d’autres institutions. Ces attaques pourraient relever de la catégorie APT – il s’agit normalement d’opérations frauduleuses qui ont lieu une seule fois pour une période extrêmement brève.
  2. Les bases de données des clients et des transactions, au niveau de l’institution financière, du détaillant ayant effectué la transaction ou de l’utilisateur final (de la cible la plus difficile à atteindre à la plus facile).

Les techniques :

  • Les contrôles de sécurité des bases de données – certains sont intrinsèques, d’autres sont liés à leur contrôle d’accès. Une approche intéressante consisterait également à utiliser des bases de données situées à différents endroits et la segmentation des données, lorsque cela est possible.
  • Des contrôles au niveau de l’architecture, comme ceux internes aux bases de données (une plus grande segmentation des rôles, y compris des rôles d’applications, des requêtes, etc.).
  • Un ensemble de technologies de répartition au niveau du réseau.

Les personnes et les processus :

  • Une gestion fiable des utilisateurs et des comptes privilégiés.
  • La restriction et le contrôle de l’utilisation d’utilitaires de bases de données spécifiques.
  • La répartition des tâches et des rôles.
  • Les vérifications de l’intégrité et autres validations de données.

 

4. Protection de la « propriété intellectuelle »

Dans le cas de fichiers de modèles industriels, de secrets de fabrication, de demandes de brevets, Bitdefender peut employer une méthode semblable à celle présentée dans le point 1 ci-dessus. Une option supplémentaire consiste à accéder et à utiliser ces fichiers dans un environnement virtuel dans lequel des contrôles de sécurité spécifiques à la virtualisation seront obligatoires.

Quant aux solutions Bitdefender GravityZone, grâce à une combinaison de différentes techniques, elles permettent de détecter efficacement les APT connues et inconnues :

  • Une analyse basée sur les signatures des menaces connues – bloquant 95% des menaces et permettant de se concentrer sur les 5% restantes ;
  • Une analyse comportementale et heuristique de pointe – qui dans notre cas signale la plupart des composants des APT comme étant des fichiers suspects ;
  • Une analyse dans le cloud de millions d’échantillons et de requêtes dans le monde entier, afin d’obtenir un facteur de risque pour chaque fichier et processus ;
  • Une analyse en temps réel – grâce à une technologie brevetée qui permet à Bitdefender de prendre des décisions instantanément, dans la plupart des cas sans intervention de la part de l’utilisateur.

Pour en savoir plus sur les ATP, téléchargez le livre blanc Bitdefender ici.

Contactez-nous

  •  Éco Park
     36 rue de la Princesse
  •  78430 Louveciennes
  •  +33 1 55 95 69 00