- 1re partie. Atténuation du risque lié aux APT. Théorie appliquée
- 2e partie. Les 4 stratégies d’atténuation principales qui couvrent 85 % des menaces
- 3e partie. Stratégies en-dehors du Top 4. Pour une défense imperméable
- 4e partie. Mieux vaut prévenir que guérir : la stratégie de détection à appliquer aux menaces avancées persistantes
2e partie. Les 4 stratégies d’atténuation principales qui couvrent 85 % des menaces
Dans la première partie de cette série, nous avons abordé l’importance de l’atténuation du risque liés aux APT et nous avons présenté quelques-unes des théories et des démarches qui donnaient des résultats positifs, principalement les 35 stratégies d’atténuation du risque formulées par l’ASD (Australian Signals Directorate). Cette deuxième partie va s’attarder sur les 4 stratégies d’atténuation du risque capables de lutter contre au moins 85 % des attaques ciblées.
Dans la première partie, Kaspersky Lab a réparti les 35 stratégies d’atténuation du risque de l’ASD en quatre domaines logiques dont chacun doit être considéré comme partie de toute stratégie efficace d’atténuation du risque lié aux menaces :
| Mesures | Brève description |
| Administration | Formation, sécurité physique |
| Mise en réseau | Ces mesures sont plus simples à mettre en œuvre au niveau du matériel réseau |
| Administration système | Le système d’exploitation contient tous les éléments nécessaires à la mise en œuvre |
| Solutions de sécurité spécialisées | Un logiciel de sécurité spécialisé peut être utilisé |
Les quatre types de stratégie1 doivent être pris en compte. Les chercheurs de Kaspersky Lab ont démontré que les cybercriminels exploitent un large éventail de techniques pour accéder aux données critiques de l’entreprise. Les entreprises doivent dès lors adopter une technique similaire et utiliser différentes stratégies d’atténuation du risque, depuis la formation des employés jusqu’à la mise en œuvre de technologies heuristiques et cloud très avancées, sans négliger aucune piste. C’est la seule manière de parvenir à atténuer le risque lié aux APT d’aujourd’hui.
Kaspersky Lab ne se contente pas de simplement protéger certains composants de l’infrastructure informatique contre les APT. En tant qu’organisation pilotée par les technologies, nous avons associé les stratégies recommandées à notre propre vision d’une stratégie très efficace à plusieurs niveaux qui, nous semble-t-il, s’aligne bien sur la stratégie de l’ASD. Pour être efficace, la sécurité doit compter plusieurs couches, un logiciel anti-malware de pointe doit se trouver au cœur des autres couches du mécanisme d’atténuation du risque lié aux APT, comme le Contrôle des applications, la gestion des vulnérabilités, etc.
Outre les domaines logiques des stratégies, il existe également des classifications des menaces, ce qui constitue un élément utile pour l’atténuation du risque lié à celles-ci. Sur la base des statistiques accumulées au cours d’une longue période, Kaspersky Lab a pu estimé qu’environ 67 % des tentatives d’attaques sont l’œuvre de virus connus dont les signatures ont été identifiées et cataloguées. Quand un fichier est exécuté et comparé au contenu d’une liste noire, il est automatiquement bloqué si une correspondance est établie. Kaspersky utilise également d’autres technologies qui permettent de détecter les malwares inconnus. Celles-ci permettent d’identifier environ 32 % de ces attaques. Le dernier 1 % de menaces est composé de malwares sophistiqués qui se retrouvent au cœur des APT. Les solutions de sécurité des entreprises devraient pouvoir atténuer le risque lié à l’ensemble de ces types de menace.
Pour disposer d’une solide défense, il faut mettre en œuvre les 35 stratégies d’atténuation du risque identifiées par l’ASD.
Les solutions de Kaspersky Lab couvrent trois des quatre stratégies principales
Sur les 35 stratégies reprises dans le tableau ci-dessus, 19 peuvent être mises en œuvre à l’aide d’un logiciel de sécurité informatique spécialisé. Les solutions de Kaspersky Lab couvrent la majorité d’entre elles. Elles fournissent des technologies efficaces pour la mise en œuvre de trois des quatre stratégies principales d’atténuation du risque : Contrôle des applications/Liste blanche dynamique et Evaluation des vulnérabilités/Gestion des correctifs. Abordons-les en détails :
| Classement ASD | Stratégie d’atténuation du risque | Technologies de Kaspersky Lab | Produits de Kaspersky Lab |
| 1 | Liste blanche | Liste blanche dynamique | Kaspersky Endpoint Security for Business. Kaspersky Security for Virtualization | Light Agent. |
| 2 | Correction des vulnérabilités des applications | Evaluation des vulnérabilités et gestion des correctifs | Kaspersky Endpoint Security for Business niveaux Advanced et Total. |
| 3 | Correction des vulnérabilités du système d’exploitation |
Il est primordial d’offrir aux administrateurs système les moyens de gérer via un point de commande unique et pratique toutes les fonctions qui appuient les stratégies. Pour les produits de Kaspersky Lab, nous proposons la console centralisée Kaspersky Security Center.
Liste blanche d’applications dans Kaspersky Endpoint Security for Business et Kaspersky Security for Virtualization.
Les listes blanches d’applications constituent la stratégie de lutte contre les APT la plus importante que toute organisation peut adopter. Elles offrent une couche robuste de protection contre les composants exécutables de l’APT, y compris ceux qui ne sont pas encore connus. L’intérêt au niveau du contrôle des applications pour les ordinateurs de bureau et les serveurs a augmenté au cours de ces 5 dernières années.
La solution de Kaspersky Lab met en œuvre la liste blanche dynamique. D’après Gartner2, les meilleures mises en œuvre du contrôle des applications comprennent des listes blanches de logiciels « sûrs » fournis par les éditeurs. Ces listes suivent automatiquement les modifications approuvées et sont mises à jour en permanence depuis une base de données dans le cloud, ce qui les rend « dynamiques ». Le contrôle des applications à l’aide de la liste blanche dynamique peut contribuer à la protection des systèmes en donnant aux administrateurs un contrôle total sur les applications dont l’exécution est autorisée sur les points de terminaison, quel que soit le comportement de l’utilisateur final. Cette possibilité s’ajoute à la capacité de bloquer ou d’autoriser certaines applications définies. Le scénario de refus par défaut le plus sûr implique le blocage de l’exécution de toute application qui n’a pas été spécifiquement autorisée par l’administrateur. Cela signifie que les composants d’une attaque ciblée qui sont essentiellement des applications ne pourront être exécutés, ce qui équivaut à briser le développement de l’attaque. La mise en œuvre de ce scénario par Kaspersky Lab garantit que tous les composants non modifiés du système d’exploitation pourront toujours être exécutés sans interruption.
Au moment de mettre en œuvre le contrôle des applications et la liste blanche dynamique, Gartner conseille de créer un inventaire et des images « maître ». L’inventaire permet aux administrateurs système d’avoir un aperçu complet des logiciels installés sur chaque système au sein de la société. Ce savoir est essentiel. Il est impossible de contrôler l’inconnu et les meilleurs plans de mise en œuvre d’une liste blanche débute par un inventaire. Une fois l’inventaire terminé, toutes les entrées relatives aux logiciels installés sur le réseau de l’entreprise seront stockées dans une base de données unique, dans un format qui simplifie l’analyse.
Une image « maître » est une modèle pré-défini de l’installation choisie et parfaite de n’importe quelle société : toutes les applications indispensables à l’activité et les paramètres configurés selon les meilleures pratiques et adaptés pour garantir une performance optimale. Gartner a également identifié le contrôle des applications comme une des fonctions de sécurité traditionnelles les plus utiles dans la protection des systèmes industriels3. Kaspersky estime que ces mesures destinées à la protection de l’infrastructure critique devraient être obligatoires.
Kaspersky Lab a développé ses propres technologies de contrôle des applications et de liste blanche et les a intégrées à d’autres éléments de sécurité dans Kaspersky Endpoint Security for Business. Kaspersky Security for Virtualization | Light Agent et Kaspersky Security for Mobile incluent également cette technologie. Le contrôle des applications mobiles n’inclut pas liste blanche dynamique, mais il est possible de configurer un scénario de refus par défaut pour les appareils mobiles d’entreprise.
Pilotée par un service de création de liste blanche dédié, la liste blanche de Kaspersky Lab bénéficie des mises à jour constantes des bases de données des applications légitimes, de confiance et sûre. La base de données de liste blanche de Kaspersky comprend à l’heure actuelle des informations sur 14 milliards de fichiers exécutables uniques compilées par une équipe dédiée d’analystes. En 2013, après des essais approfondis par l’organisme indépendant AV-Test Institute, elle a obtenu le certificat Approved Whitelisting Service. Il faut signaler également que le contrôle des applications de Kaspersky avec la liste blanche dynamique et le refus par défaut a engrangé les notes les plus élevées dans tous les tests indépendants auxquels il a participé.4
Pour contribuer à la mise en œuvre du contrôle des applications et de la liste blanche (y compris de nombreuses fonctions automatisées), Kaspersky Systems Management (qui fait partie de Kaspersky Endpoint Security for Business, mais qui existe également en version autonome) fournit des outils d’inventaire et de création d’image, conformément aux conseils de Gartner.
Evaluation des vulnérabilités et gestion des correctifs dans Kaspersky Endpoint Security for Business.
Situé en 2e et 3e position dans la liste des mesures contre les APT, l’installation des correctifs pour les applications et le système d’exploitation constitue un élément essentiel de toute stratégie d’atténuation du risque lié aux menaces. Les vulnérabilités de la catégorie « Risque extrême » dans les applications et les systèmes d’exploitation d’entreprise ou tout autre logiciel utilisé par n’importe quelle organisation peuvent permettre l’exécution non autorisée d’un code par des criminels avec de graves conséquences pour l’activité.
Les composants Gestion des correctifs et Evaluation des vulnérabilités de Kaspersky Lab sont mis en œuvre dans le cadre de la technologie Systems Management et les intègre dans la gestion plus large au quotidien des systèmes pour simplifier l’utilisation. Penchons-nous sur ce qu’accomplit chacun de ces composants.
L’évaluation des vulnérabilités est un élément critique de la protection des sociétés contre les attaques organisées à l’aide de codes d’exploitation, y compris les attaques ciblées. Un service informatique qui utilise le module d’évaluation des vulnérabilités peut détecter rapidement les vulnérabilités dans les logiciels de l’entreprise qui pourraient être exploitées par des cybercriminels et adopter les mesures pour éliminer ces failles à l’aide de la gestion des correctifs.
Les vulnérabilités sur le terminal sont détectées à l’aide d’un agent logiciel spécial. Il analyse les versions du système d’exploitation Windows et d’autres logiciels installés et les compare aux données de la base de données des vulnérabilités mise à jour en continu par Kaspersky Lab. Notre base de données contient toutes les informations requises sur les vulnérabilités des logiciels tiers les plus utilisés. Le module Evaluation des vulnérabilités a été développé en vue d’une utilisation conjointe avec Gestion des correctifs afin de réagir rapidement et efficacement aux vulnérabilités.
Grâce à Gestion des correctifs, les points de terminaison sont toujours à jour, ce qui limite considérablement les chances de réussite des attaques à l’aide de codes d’exploitation. Les systèmes de gestion des correctifs de Kaspersky Lab offrent de grandes possibilités d’automatisation pour les administrateurs système et ils peuvent être utilisés au lieu de WSUS de Microsoft ou parallèlement à celui-ci.
Les technologies Evaluation des vulnérabilités et Gestion des correctifs sont disponibles dans les versions Advanced et Total de Kaspersky Endpoint Security for Business.
Au niveau des chiffres de « correctifs gérés », la solution de Kaspersky Lab domine le marché tant au niveau des produits que des éditeurs. L’efficacité de la solution de gestion des correctifs de Kaspersky Lab a été confirmée par des tests indépendants, dont le plus récent réalisé par AV-test.
Revenons à nouveau sur les technologies du point de vue du classement des menaces que nous avons citées au début du document. Contrôle des applications, Liste blanche dynamique, Evaluation des vulnérabilité et Gestion des correctifs visent à atténuer le risque que posent les menaces inconnues dans le cadre d’une APT. Pour les menaces les plus complexes, Kaspersky Lab propose également les technologies Automated Exploit Prevention, System Watcher et Default Deny.
Les technologies de contrôle des applications, de liste blanche dynamique, de recherche de vulnérabilités et de gestion des correctifs de Kaspersky Lab mettent en œuvre de manière efficace 3 aspects du Top 4 des stratégies d’atténuation du risque. Un des principaux points des attaques ciblées, à savoir les code d’exploitation de vulnérabilités logicielles, pourrait être limité par ces mesures. Mais une défense imperméable ne peut se contenter de ce Top 4. La troisième partie de ce document aborde plus en détails le reste des stratégies utiles de lutte contre les APT.
- Décrit dans la 1re partie du rapport Stratégies d’atténuation du risque lié aux menaces avancées persistantes (APT)
- How to Successfully Deploy Application Control, Gartner ID G00246912
- Competitive Landscape: Critical Infrastructure Protection, Gartner ID G00250700
- Pour consulter les résultats de test détaillés : 1, 2 et 3