Stratégies d’atténuation des menaces persistantes avancées ( APTS ) P.3

3e partie. Stratégies en-dehors du Top 4. Pour une défense imperméable

Dans le 2e volet de cette série, nous avons vu comment les 4 premières stratégies d’atténuation du risque proposées par l’ASD pouvaient protéger les utilisateurs contre 85 % de toutes les menaces. Mais qu’en est-il des 15 % restants ? C’est ici que les autres mesures reprises dans la liste entrent en jeu.

S’il est vrai que la sécurité absolue n’existe pas, la conception de la sécurité de l’information en plusieurs couches recommandée par Kaspersky Lab offre une protection très efficace contre les menaces connues et inconnues. Les technologies de Kaspersky Lab peuvent intervenir dans la majorité des 35 stratégies d’atténuation du risque recommandées par l’ASD1. Nous allons les passer en revue.

Classement ASD Stratégie d’atténuation du risque, nom bref Technologies de Kaspersky Lab
1 Liste blanche d’applications Liste blanche dynamique
2 Correction des vulnérabilités des applications Evaluation des vulnérabilités et gestion des correctifs
3 Correction des vulnérabilités du système d’exploitation
5 Durcissement de la configuration des applications utilisateur Contrôle Internet (blocage des scripts dans les navigateurs Internet), Antivirus Internet
6 Analyse dynamique automatisée des e-mails et du contenu Internet Antivirus Courrier, Antivirus Internet, Security for Mail Server, Security for Internet Gateway, DLP for Mail et extensions de collaboration
7 Atténuation du risque lié aux codes d’exploitation génériques du système d’exploitation Prévention automatique des codes d’exploitation
8 HIDS/HIPS System Watcher et contrôle des privilèges des applications
12 Pare-feu d’application logiciel pour trafic entrant Pare-feu avancé
13 Pare-feu d’application logiciel pour trafic sortant Pare-feu avancé
15 Consignation des événements de l’ordinateur Kaspersky Security Center
16 Consignation des activités réseau Kaspersky Security Center
17 Filtrage du contenu des e-mails Kaspersky Security for Mail Server
18 Filtrage du contenu Internet Contrôle Internet
19 Liste blanche des domaines Internet Contrôle Internet
20 Blocage des faux e-mails Anti-Spam
22 Logiciel antivirus qui utilise l’analyse heuristique et le classement automatique sur la base de la réputation Internet Anti-Malware
26 Contrôle des supports amovibles et portables Contrôle des périphériques
29 Inspection des fichiers Microsoft Office sur le poste de travail Anti-Malware
30 Logiciel antivirus avec signatures Anti-Malware

Mise en rapport des technologies de Kaspersky Lab et des 35 stratégies d’atténuation du risque pour logiciel de sécurité spécialisé.

Durcissement de la configuration des applications utilisateur, désactivation de l’exécution des codes Java Internet, etc : 5e position avec une efficacité jugée « excellente ».

Parmi les principales stratégies en dehors du Top 4 couvertes par les solutions de Kaspersky Lab, penchons-nous un instant sur le Durcissement des applications utilisateur, y compris la désactivation de l’exécution du code Java dans le navigateur. La technologie Antivirus Internet de Kaspersky Lab prend cette technique en charge dans le cadre de l’analyse du contenu d’un site HTTP. Le contenu des sites est examiné et, le cas échéant, bloqué en fonction des stratégies de sécurité ou de la présence d’une menace. Les administrateurs peuvent définir des stratégies et des règles pour répondre aux exigences propres de l’entreprise. Alors que l’Antivirus Internet est en mesure de bloquer l’exécution d’un script indésirable ou dangereux, le contrôle des applications de Kaspersky empêche l’utilisation de navigateurs, de lecteurs PDF, etc. non autorisés ou sans les derniers correctifs.

Dans la mesure où cette démarche spécifique est pertinente uniquement pour les navigateurs les plus utilisés, tous les logiciels fréquemment utilisés doivent également être configurés correctement (désactivation des fonctions inutiles ou dangereuses sur la base des exigences et des stratégies uniques de l’organisation) ; les solutions de sécurité ne doivent pas régler automatiquement les applications légitimes ou désactiver des fonctions.

Analyse dynamique automatique du contenu des sites et des messages : 6e position avec une efficacité jugée « excellente »

L’analyse dynamique et automatisée du contenu des sites et des messages permet de détecter le contenu et les comportements suspects, ce qui la place en 6e position dans la liste de l’ASD et son efficacité est jugée « Excellente ». Les capacités de Kaspersky Lab en matière de lutte contre les malwares dans le courrier et sur Internet reposent sur une analyse heuristique très efficace. Pour cette raison, elles sont parfaitement adaptées à cette recommandation et elles sont capables de détecter un malware dont la signature ne figure pas dans les bases traditionnelles de l’Antivirus.

En général, les modules d’analyse commencent par balayer le code à la recherche de caractéristiques de contenu suspect de malwares (analyse statique). Par exemple, de nombreux malwares recherchent des fichiers exécutables, ouvrent les fichiers et les modifient.

Malgré ses bonnes performances, l’analyse statique affiche de faibles taux de détection pour les nouveaux codes malveillants, tandis que le taux de faux positifs est élevé. Les technologies de Kaspersky Lab utilisent une combinaison d’analyses dynamique et statique, ce qui se manifeste par l’émulation de l’exécution d’une application dans un environnement virtuel sécurisé. La méthode dynamique requiert bien plus de ressources système que la méthode statique, mais elle offre des taux de détection de malware beaucoup plus élevé que la méthode statique, avec une réduction du taux de faux positifs.

L’analyse dynamique automatisée du contenu des sites et du courrier devrait également être au cœur de toute solution globale spécialisée dans la lutte contre les menaces APT. Kaspersky Lab croie que les systèmes de sécurité, en plus d’une analyse solide du trafic de réseau, doivent analyser les pièces jointes et autres fichiers téléchargés dans un bac à sable.

Atténuation du risque lié à l’exploitation d’une vulnérabilité générique du système d’exploitation : 7e position avec une efficacité jugée « Excellente »

L’atténuation du risque lié aux codes d’exploitation génériques pour les systèmes d’exploitation peut être en partie mise en œuvre à l’aide de technologies natives (comme DEP, ASLR et EMET). Toutefois, le recours à des outils et des technologies de sécurité spécialisés pourrait permettre à la protection d’atteindre des niveaux bien plus haut.

La technologie Automatic Exploit Prevention (AEP) réduit sensiblement le risque d’attaques ciblées organisées à l’aide de codes d’exploitation, même en cas de vulnérabilité de type 0jour. AEP se concentre principalement sur les codes d’exploitation inconnus jusqu’à présent. Les objets malveillants plus répandus seront interceptés par d’autres systèmes de sécurité comme l’Antivirus Internet, l’Antivirus Fichiers, voire l’Anti-Spam, ce qui améliore sensiblement la sécurité globale de l’utilisateur final.

A première vue, la technologie EMET (Enhanced Mitigation Experience Toolkit) de Microsoft ressemble à la technologie AEP (Automatic Exploit Prevention) de Kaspersky. En réalité, il s’agit plutôt d’un complément et non d’un concurrent. Elle s’intègre au fonctionnement des produits de Kaspersky Lab pour renforcer davantage la protection.

La technologie de Microsoft bloque l’exécution des codes d’exploitation via des techniques comme DEP (Data Execution Prevention) et SEHOP (Structured Execution Handling Overwrite Protection). EMET 5.0 met également en œuvre la technologie ASR (Attack Surface Reduction) qui empêche le chargement de certains plug-ins (dont Java) dans Internet Explorer.

S’il est vrai qu’il existe un chevauchement entre AEP et EMET, les différences entre les deux produits surpassent de loin les similitudes. De plus AEP n’est qu’un composant d’une stratégie de protection à plusieurs niveaux proposée par les produits de Kaspersky Lab pour entreprises et particuliers. Le spectre complet des technologies déployées dans les produits de Kaspersky, dont le Contrôle des applications et System Watcher, est bien plus large que ce qu’EMET est censé offrir.

Le schéma ci-dessus illustre l’interconnectivité entre AEP et EMET, ainsi que l’intégration profonde de System Watcher et AEP dans les produits de Kaspersky Lab.

mitigation5

Alors qu’EMET se veut exclusivement un outil d’atténuation du risque, AEP se charge à la fois de la détection des anomalies et de l’atténuation du risque lié aux menaces. Cela fonctionne de la manière suivante : System Watcher fournit des informations sur tous les événements système principaux. Ces informations sur le comportement des logiciels sont comparées aux modèles des fonctions et des comportement typiques d’un malware. Sur la base de ces données, AEP repère et détecte le comportement suspect d’une application. La technologie de Kaspersky Lab permet de réaliser une analyse en continu de la situation en comparant les données des événements antérieurs ainsi que les fichiers, processus et réputations correspondant afin de prendre la décision de bloquer ou non les applications.

S’agissant de l’atténuation du risque pour la sécurité, les technologies AEP et EMET réduisent la probabilité de l’exploitation d’une vulnérabilité en plaçant de nombreux obstacles sur la route des codes d’exploitation. Cette démarche bilatérale est un des avantages clés de la technologie AEP. Elle met en place une défense de haut vol contre les codes d’exploitation et les risques en matière de compatibilité sont très réduits. La configuration de Kaspersky Lab AEP est très simple et cette technologie ne provoque aucun conflit avec les logiciels déjà installés.

mitigation6

Pendant plusieurs années consécutives Kaspersky Endpoint Security for Business a obtenu les meilleurs résultats dans le cadre du test Real World Enterprise Security Exploit Prevention réalisé par MRG Effitas. Le test le plus récent a été organisé entre novembre 2013 et février 2014 et à l’issue de celui-ci, la solution de Kaspersky Lab a obtenu le certificat MRG Effitas.

Système de détection/prévention des intrusions sur l’hôte : 8e position avec une efficacité jugée « Excellente »

Les fonctions System Watcher et Application Privilege Control (contrôle des privilèges des applications) de Kaspersky constituent un système efficace de détection/prévention des intrusions (HIDS/HIPS) sur l’hôte.

System Watcher collecte les données sur les actions exécutées par les applications sur les points de terminaison et transmet ces informations à d’autres composants en vue d’améliorer la protection. System Watcher prend des décisions relatives à la sécurité à l’aide de données tirées de bases des caractéristiques du comportement d’applications dangereuses actualisées à intervalle régulier. En cas de détection d’un nouveau virus ou d’une modification introduite dans un malware connu, nos experts ajoutent un nouveau modèle à la base de données heuristique qui est actualisée en même temps que la base antivirus de Kaspersky Lab. Cette technologie permet de bloquer d’autres malwares qui affichent un comportement similaire et de remettre le système à l’état antérieur aux actions exécutées par ces malwares.

Outre les modifications du registre et les injections de processus, System Watcher arrête également l’enregistrement de frappes. Certains signes d’enregistrement de frappes sont cités dans les modèles de détection de comportement malveillant.

Pare-feu d’application pour bloquer le trafic entrant/sortant : 12e et 13e position avec une efficacité jugée « Excellente »

Une simple modification des paramètres par défaut du pare-feu de Kaspersky Lab permet de mettre en œuvre les stratégies 12 et 13 de l’ASD pour les pare-feu d’application logiciels.

Un pare-feu applique des règles aux connexions réseau : il autorise ou interdit toute tentative de connexion détectée. La protection contre différents types d’attaque s’opère à deux niveaux : réseau et application.

Le blocage des connexions réseau inutiles réduit l’exposition aux attaques grâce à la réduction de l’utilisation des services réseau. Quant au blocage du trafic réseau sortant qui ne provient pas d’applications de confiance, il empêche l’extraction de données par des cyberadversaires. En d’autres termes, les attaques complexes à plusieurs niveaux ont moins de chance de réussir.

Le pare-feu protège les données personnelles sur un hôte local en bloquant toutes les menaces qui présentent un danger potentiel pour le système d’exploitation lorsque l’hôte est connectés à Internet ou au LAN. Il filtre toute l’activité réseau à l’aide de deux règles : les règles pour applications réseau et les règles pour paquet réseau

Consignation des événements/activité réseau : 15e et 16e position avec une efficacité jugée « Excellente »

Kaspersky Security Center consigne à la fois les événements de l’ordinateur et l’activité réseau. Les journaux des événements peuvent être consultés dans la console de gestion standard de Microsoft Windows. Ils peuvent également être exporté au format .evtx. Cette consignation centralisée est un élément essentiel à l’efficacité de l’administration du système.

Ceci étant dit, les journaux sont beaucoup plus utiles lorsqu’ils sont utilisés conjointement avec des outils qui permettent au personnel chargé de la sécurité de les analyser et de créer facilement des rapports. C’est la raison pour laquelle la solution de Kaspersky Lab prend désormais en charge les systèmes de gestion des événements et des informations relatifs à la sécurité comme ArcSight et Qradar2. A ce niveau, les événements les plus critiques pour la sécurité seront transmis : il s’agit notamment des avertissements relatifs au contenu indésirable, du blocage de l’accès au fichier, des détections de différents malwares, etc.

Filtrage du contenu des messages électroniques : 17e position, avec une efficacité jugée « Excellente »

Kaspersky Security for Mail Sever analyse le courrier entrant, sortant et stocké et protège les versions les plus récentes des principales plateformes de messagerie et de collaboration dont les serveurs de messagerie Microsoft Exchange, IBM Lotus Domino, et Linux. Le filtrage intelligent du courrier indésirable dans le cloud pour les serveurs de messagerie Microsoft Exchange et Linux réagit en temps réel, ce qui réduit considérablement la charge de trafic provoqué par les messages non sollicités.

L’utilisation de listes blanches d’applications protège les points de terminaison dans le cadre de Kaspersky Endpoint Security. Cela contrôle l’exécution des fichiers et des pièces jointes téléchargés. Kaspersky Endpoint Security analyse également les fichiers PDF et Microsoft Word à l’aide de bases de données de réputation.

Filtrage du contenu Internet : 18e position, avec une efficacité jugée « Excellente »

L’Antivirus Internet de Kaspersky Lab permet de filtrer le trafic Internet et protège ainsi les systèmes contre les malwares transmis via les protocoles HTTP et HTTPS. Ce composant analyse également le trafic FTP. Kaspersky Anti-Virus for Proxy Server filtre le trafic Internet à l’aide de la technologie heuristique, des signatures et des évaluations de la réputation dans le cloud. Le Contrôle Internet organise le contenu avant d’autoriser ou non son affichage sur la base de sa nature.

Chaque page Internet ouverte ou fichier intercepté par Antivirus Internet est analysé à la recherche d’un code malveillant ou d’anomalies. Si une page Internet ou tout autre objet est considéré comme dangereux, l’accès est interdit. Si la page ou l’objet est sain, le chargement se déroulement normalement. Cette démarche permet d’atténuer le risque lié aux attaques organisées selon la technique du point d’eau lorsque les criminels infectent un site légitime très visité (infos, etc.) dans le but d’accéder aux systèmes des utilisateurs normaux. Les sites qui proposent des informations techniques utiles aux administrateurs système figurent parmi les cibles populaires des criminels qui espèrent pouvoir infecter ainsi des ordinateurs dotés des autorisations d’accès ou qui abritent d’autres informations critiques.

Le harponnage et la technique du point d’eau sont les techniques les plus populaires pour lancer des attaques ciblées. Mais il en existe d’autres. Les technologies de Kasperky Lab empêchent l’exécution d’activités malveillantes via un site, quelle que soit la méthode d’attaque utilisée par l’individu malveillant comme l’ingénierie sociale, un lien dans des résultats de recherche, etc.

Liste blanche de domaines pour tous les domaines : 19e position avec une efficacité jugée « Excellente »

Le Contrôle Internet de Kaspersky Lab permet aux administrateurs systèmes de développer et de maintenir des listes blanches de domaines pour leur organisation. Le Contrôle Internet filtre le trafic HTTP/HTTPS sur la base de la stratégie interne de l’organisation. En général, les réseaux sociaux ainsi que les sites de musique, de vidéos et de messagerie personnelle sont bloqués durant les heures de bureau.

Le Contrôle Internet fonctionne comme un pare-feu. L’administrateur crée un ensemble de règles d’interdiction/d’autorisation. Les propriétés de la règle reprennent les comptes utilisateur, la planification, le contenu et le résultat. Les règles sont appliquées dans l’ordre établi par l’administrateur et chaque page est traitée selon la première règle applicable.

Utilisation de l’heuristique et du classement automatisé de la réputation via Internet : 22e position avec une efficacité jugée « Excellente »

Advanced Anti-malware, au cœur de tous les produits Kaspersky Lab, utilise l’heuristique et des classements automatisés de la réputation via Internet qui constituent des éléments essentiels d’une sécurité de l’information efficace. Les réputations des fichiers et des URL sont accessibles via Kaspersky Security Network.

Contrôle des supports amovibles : 26e position, avec une efficacité jugée « Bonne »

La technologie de contrôle des périphériques de Kaspersky garantit le maintien à jour et la sécurité des supports amovibles. Les administrateurs peuvent surveiller plusieurs périphériques sur le réseau de l’entreprise et, le cas échéant, interdire l’utilisation de certains d’entre eux. L’utilisation recommandée de ce composant est le blocage des clés USB.

Inspection des fichiers Microsoft Word sur les postes de travail : 29e position, avec une efficacité jugée « Bonne »

Les documents Microsoft Word ne sont qu’un des types de fichiers analysés par le moteur Kaspersky Lab Advanced Anti-Malware. Cette vérification est un complément utile au mode protégé de Microsoft Office et au plug-in de sécurité Office File Validation.

Logiciel antivirus sur la base de signatures : 30e position avec une efficacité jugée « Bonne »

Le moteur Advanced Anti-malware de Kaspersky Lab compte également sur une base traditionnelle de signatures de fichiers parmi ses méthodes de détection. Les produits de Kaspersky Lab fonctionne bien avec les logiciels d’autres éditeurs sur différents périphériques, conformément aux stratégies de l’ASD. Les clients qui souhaitent respecter à la lettre ces stratégies d’atténuation du risque et utiliser des éditeurs différents pour les points de terminaison et les passerelles sont encouragés à installer les produits de Kaspersky Lab sur les points de terminaison : les succès remportés dans de nombreux tests indépendants parlent d’eux même.

La succession de couches composées des Antivirus Fichiers et Internet, du Contrôle Internet, des périphériques et des applications, ainsi que du module avancé de lutte contre le phishing et d’autres technologies, gérées via une console unique dans Kaspersky Security Center, permet de mettre en place une protection contre les attaques ciblées. Chacune des technologies citées dans cette série figure dans Kaspersky Endpoint Security for Business. Kaspersky Security for Mail Server est disponible uniquement dans la version Total ; le niveau Advanced suffit pour toutes les autres technologies.

mitigation4

Leadership technologique de Kaspersky Lab : bien plus qu’un simple éditeur de solutions de sécurité

Kaspersky Lab est bien plus qu’un éditeur de solutions de sécurité qui promet de protéger votre infrastructure contre presque toutes les menaces. La sécurité de
l’information est dans nos gènes
: nos technologies reposent sur le réseau international de renseignements de Kaspersky Lab alimenté par plus de 60 millions de membres du Kaspersky Security Network répartis à travers le monde. Ce dispositif de sécurité dans le cloud traite plus de 600 000 requêtes par seconde.

Nos experts en sécurité élite regroupés au sein de l’Equipe internationale de recherche et d’analyse (équipe GReAT) sont au cœur de la stratégie de Kaspersky Lab. Leur objectif principal est la découverte et l’analyse de nouvelles cyber-armes ainsi que la prévision des nouveaux types de menaces ; la réputation de Kaspersky Lab en matière de découverte et d’atténuation du risque lié aux menaces les plus pertinentes et sophistiquées comme Epic Turla, Careto etRed October découle de cette passion pour la recherche et le développement.

L’expertise de Kaspersky Lab est reconnue et respectée par les principales organisations de sécurité à travers le monde. Notre position ferme consiste à détecter toute attaque de programme malveillant et d’y remédier, quelle que soit son origine ou son objectif. Nous coopérons et menons des consultations avec Interpol, Europol et de nombreux CERT nationaux.

Kaspersky Lab est une société pilotée par la technologie comme en témoigne le fait que plus d’un tiers de ses employés travaillent dans la recherche et le développement. Toutes nos solutions sont développées en interne sur une base de code unique. Cette expertise et ce leadership ont été confirmés par de nombreux tests indépendants. En 2013, nous avons participé à plus de 79 tests et revues. Kaspersky Lab s’est retrouvée à 61 reprises dans le Top 3 et a décroché une première position dans 41 cas.

Tous ces éléments confèrent à Kaspersky Lab une excellente perception de l’atténuation du risque en matière de sécurité de l’information. Cela place les solutions de Kaspersky Lab parmi les meilleures options à votre disposition pour la mise en œuvre des stratégies d’atténuation du risque et de gestion des menaces choisies par votre société.

  1. Pour en savoir plus sur les détails des stratégies d’atténuation du risque formulées par l’Australian Signals Directorate, consultez la 1re et la 2e partie du rapport.
  2. Inclus dans Kaspersky Security for Business 10 SP1 ; sortie prévue au printemps 2015