De nouvelles demandes en termes de gestion des menaces en temps réel Date : Février 2012 Auteur : Jon Oltsik, analyste principal

Transcription

1 Brève présentation de nos technologies : De nouvelles demandes en termes de gestion des menaces en temps réel Date : Février 2012 Auteur : Jon Oltsik, analyste principal Résumé : De nombreuses entreprises envisagent un nouveau modèle de sécurité basé sur les meilleures pratiques en termes de gestion des risques informatiques. L'idée est louable, mais elle ne suffit pas dans le contexte dynamique des menaces d'aujourd'hui. Pour ne pas se laisser dépasser par les évolutions du paysage informatique et les menaces extérieures, les grandes entreprises doivent adopter deux nouveaux réflexes en matière de sécurité : la gestion des risques en temps réel pour ajuster la sécurité de l'entreprise jour après jour ; et la gestion des menaces en temps réel, afin de détecter et prévenir les failles de sécurité les plus discrètes, sophistiquées et dangereuses, à savoir les menaces avancées persistantes, ou APT. Présentation La gestion de la sécurité des entreprises a profondément changé ces dernières années. Vers 2005, le concept de sécurité de l'information est devenu inexorablement lié à l'administration publique et aux réglementations sectorielles (FISMA, HIPAA, GLBA et PCI DSS). Pour les entreprises, la gestion de la sécurité avait alors pour principal objectif la validation des audits de conformité. Une fois qu'elles avaient établi des processus et des contrôles pour répondre à ces audits, elles se concentraient simplement sur l'optimisation de l'efficacité d'activités connexes. C'est aux alentours de 2009 que les responsables de la sécurité des systèmes d'information ont fait un constat alarmant : les audits de sécurité engendraient une quantité de travail phénoménale pour le personnel de sécurité, mais la sécurité des entreprises n'en était pas pour autant plus forte. En réalité, de nombreux responsables de la sécurité des systèmes d'information travaillant pour l'administration des États-Unis ont constaté que ces mêmes autorités consacraient des sommes astronomiques et un temps précieux à préparer les audits de la FISMA tout en enregistrant un nombre croissant d'incidents de sécurité. De toute évidence, la gestion de la sécurité devait aller bien au-delà de la simple conformité réglementaire. Ce constat a engendré une seconde évolution de la gestion de la sécurité, de la simple conformité réglementaire à la gestion des risques informatiques. La gestion des risques informatiques implique d'évaluer les menaces et failles de sécurité au cas par cas. Des décisions sont ensuite prises en fonction du degré d'exposition de chaque ressource aux menaces et failles ainsi que de sa valeur (c'est-à-dire l'importance relative de chaque ressource pour l'activité globale de l'entreprise). En fonction de ces facteurs, les entreprises peuvent prendre des décisions qualitatives et quantitatives : accepter les risques, les affecter ou les transférer à un tiers (comme à une compagnie d'assurances) ou les réduire (en mettant en place, par exemple, des procédures, stratégies et contrôles de sécurité). Dans ce cas, un contrôle est défini comme un mécanisme permettant de maîtriser, réguler ou réduire les failles de sécurité.

2 2 L'importance croissante de la gestion des risques en temps réel Adopter une politique de gestion des risques informatiques est un pas dans la bonne direction, car celle-ci se base sur des évaluations précises, des métriques établies et des décisions réfléchies prises conjointement par les responsables de l'activité, de la sécurité et des services informatiques. Étant donné le contexte dynamique des menaces d'aujourd'hui et l'évolution constante de l'infrastructure informatique, les responsables de la sécurité des systèmes d'information doivent aller au-delà des évaluations périodiques et des pratiques fondamentales. Ils doivent adopter des pratiques de gestion des risques à la mesure de leurs environnements dynamiques. ESG nomme cette pratique avancée la gestion des risques en temps réel. La gestion des risques en temps réel se base sur les facteurs suivants : Connaissance immédiate des menaces et failles de sécurité. En raison de la nature hautement évolutive de l'informatique et des menaces, la modification des ressources informatiques, l'évaluation des failles de sécurité et la remontée des données relatives aux menaces doivent avoir lieu en temps réel. Les outils de sécurité doivent rassembler ces informations et signaler immédiatement tout nouveau type ou niveau de risque. Les responsables de la sécurité doivent être formés pour analyser ces informations, les présenter au chef d'entreprise et mettre immédiatement en place des mesures de réduction des risques. Visibilité et couverture complètes. L'infrastructure informatique d'une entreprise se compose d'une multitude de ressources, telles que du matériel, des bases de données, des applications, des appliances virtuelles, toutes en interaction les unes avec les autres. Comprendre un sous-segment de l'infrastructure informatique ou l'observer par fragments via un ensemble d'outils n'est plus suffisant. Pour suivre l'évolution des ressources et leurs failles de sécurité, les DSI ont besoin de données, de visibilité et d'alertes d'un bout à l'autre de l'infrastructure. Évaluation constante des risques et ajustements. Les contrôles de sécurité ne sont pas des paramètres qu'il suffit de configurer et qu'on peut ensuite oublier. Il faut au contraire constamment les réévaluer pour s'assurer qu'ils restent efficaces face à l'évolution des risques ou aux nouveaux risques. Une sécurité fondée sur la gestion des risques en temps réel Comme son nom l'indique, la gestion des risques en temps réel consiste à fournir des informations en temps réel sur la sécurité aux responsables du domaine, afin qu'ils puissent analyser l'état actuel de leur environnement, détecter le plus vite possible toute activité malveillante et réduire les dommages causés. La gestion des risques en temps réel doit être extrêmement flexible afin d'apporter aux responsables de la sécurité des informations précises sur les nouvelles menaces et les menaces en évolution, à tout instant. C'est cependant plus facile à dire qu'à faire. Pourquoi? Les dernières attaques les plus sophistiquées, les plus virulentes et les plus ciblées (souvent appelées menaces avancées persistantes) sont conçues pour ne pas être détectées. Elles s'appuient par exemple sur des tactiques d'ingénierie sociale pour que les utilisateurs téléchargent des fichiers apparemment inoffensifs, renfermant pourtant de multiples programmes malveillants. Ceux-ci se propagent via des canaux de confiance. Les pirates prennent l'identité de contacts usuels, tels que des amis Facebook. Une fois installés, ils recueillent discrètement des noms d'utilisateur et mots de passe, analysent furtivement l'espace d'adressage du réseau et pénètrent petit à petit d'autres systèmes du réseau. Après plusieurs semaines ou plusieurs mois, les pirates mettent la main sur des informations critiques, comme des numéros de cartes bancaires, du code source de logiciel ou d'autres types de propriété intellectuelle. Puis les programmes malveillants reçoivent des instructions clandestines de commande et de contrôle pour copier des fichiers de données sensibles, les chiffrer et les envoyer à des serveurs contrôlés par ces pirates.

3 3 La réponse aux nouvelles menaces : la gestion des menaces en temps réel Les menaces avancées persistantes rendent-elles la gestion des risques en temps réel obsolète? Absolument pas. L'objectif de la gestion des risques en temps réel est de renforcer les ressources informatiques de manière proactive, en les protégeant contre tout type d'attaque, y compris les menaces avancées persistantes. Ces dernières peuvent par exemple inciter les entreprises à activer des fonctions avancées des logiciels de sécurité des points finaux ou à surveiller de plus près la copie et le stockage de données sensibles. Ce n'est malheureusement plus suffisant. Comme le prouvent des failles de sécurité récentes chez des entreprises telles que Google, Lockheed Martin et RSA Security, les menaces avancées persistantes nécessitent de mettre en place de nouvelles défenses et d'ajuster la stratégie de sécurité. Les entreprises doivent revoir leur approche pour faire face aux menaces avancées persistantes. Bien que la gestion des risques et la prévention des incidents doivent rester des priorités absolues, les responsables de la sécurité des systèmes d'information, les DSI et les équipes dirigeantes doivent partir du principe que leur entreprise sera attaquée. En d'autres termes, la gestion des risques en temps réel doit être accompagnée d'outils et de processus adaptés pour réagir en urgence : obtenir l'appui de l'équipe dirigeante, monter une équipe, développer et communiquer des processus de réponse d'urgence, tester leur efficacité. 1 N'oubliez pas que le premier objectif de tout processus de réponse d'urgence est simple : minimaliser l'impact des attaques. Pour atteindre cet objectif, les grandes entreprises doivent être capables de détecter le plus vite possible les attaques ciblées les plus sophistiquées. Une question évidente se pose alors : comment les équipes en charge de la sécurité peuvent-elles détecter ces attaques alors même que les menaces avancées persistantes sont justement conçues pour être des attaques silencieuses indétectables? Selon ESG, il est certes difficile de se protéger contre les menaces avancées persistantes, mais pas impossible. Pour y parvenir, la gestion des risques en temps réel doit s'accompagner d'un service complémentaire : la gestion des menaces en temps réel. La gestion des menaces en temps réel va plus loin que la simple prise de conscience des failles et menaces usuelles. Elle consiste à scruter le comportement du réseau sur une multitude de dispositifs afin d'identifier tout schéma ou flux anormal, toute connexion inhabituelle au sein du réseau de l'entreprise et aux points d'entrée/sortie du réseau. Lorsque la gestion des menaces en temps réel détecte un contenu ou des activités suspects, elle peut mettre immédiatement en place des actions préventives, comme la mise en quarantaine de fichiers et programmes exécutables suspects, le blocage de tout trafic de commande et de contrôle ou le «nettoyage» automatique des points finaux infectés. Pour atteindre ces objectifs, la gestion des menaces en temps réel s'appuie sur les facteurs suivants : Une surveillance accrue du réseau. La gestion des menaces en temps réel ne se contente pas d'inspecter les journaux réseau et le flux de données. Que fait-elle d'autre? Elle examine le trafic réseau jusqu'à la couche d'application, et porte une attention toute particulière aux charges de paquets, protocoles, adresses de destination et schémas de communication des menaces persistantes avancées. La détection d'événements adaptée au degré de complexité des menaces. La gestion des menaces en temps réel est conçue pour contrer spécifiquement les menaces persistantes avancées, intégrant donc des règles de filtrage spécifiques et des moteurs de corrélation spécialisés. Le trafic réseau est analysé de multiples manières pour détecter tout comportement particulier, pouvant indiquer une menace sophistiquée. La résolution immédiate et le renforcement de la stratégie. Au moment où l'entreprise a détecté une menace sophistiquée, il est souvent trop tard. Des données critiques se sont déjà envolées. Du fait de ce type de risque, la gestion des menaces en temps réel doit impérativement dépasser la simple détection et prévenir et éliminer toute menace de manière proactive. Lorsque la gestion des menaces en temps réel détecte des communications de commande et de contrôle ou tout autre trafic malveillant, elle lance une séquence d'alertes et de processus de résolution. Elle peut par exemple alerter le personnel en charge de la sécurité et bloquer les systèmes infectés. En fonction des stratégies opérationnelles et de sécurité de 1 Le centre de coordination du CERT donne des conseils utiles pour établir des processus d'urgence. Consultez la page

4 4 l'entreprise, la gestion des menaces en temps réel peut également prendre des mesures proactives associées, comme la mise à jour des règles de sécurité appliquées aux dispositifs du réseau et l'isolation des systèmes infectés. Des services de renseignements sur le réseau. Étant donné que les menaces avancées persistantes changent et évoluent sans cesse, la gestion des menaces en temps réel doit se montrer tout aussi agile. Pour ne pas se trouver rapidement obsolètes, les outils doivent s'appuyer sur une recherche de pointe appliquée et de nouvelles règles d'application de sécurité. L'objectif est de se montrer plus malin que les pirates en rassemblant une équipe d'ingénieurs et docteurs. Trend Micro Deep Discovery Si les outils de défense courants tels que pare-feu, détection et prévention des intrusions (IDS/IPS) et outils de sécurité des points finaux peuvent être réglés pour répondre plus efficacement aux menaces avancées, les technologies de gestion des menaces en temps réel doivent être considérées comme une couche de défense supplémentaire efficace contre les pirates cherchant à subtiliser vos données client, propriétés intellectuelles et autres documents internes critiques. De nombreux fournisseurs de solutions de sécurité tirent parti de la crainte qu'inspirent les menaces avancées persistantes pour vous vendre des produits qui offrent une protection peu évolutive. D'autres en revanche ont développé des solutions innovantes qui peuvent véritablement être efficaces, comme Trend Micro Deep Discovery. Le rôle de Deep Discovery est avant tout de détecter toute menace avancée persistante et toute attaque ciblée en identifiant les contenus, communications et comportements suspects à chaque étape du processus d'attaque. Grâce à la détection et à l'analyse approfondie des programmes malveillants avancés et des comportements furtifs des cybercriminels, Deep Discovery offre aux entreprises un nouveau niveau de visibilité et d'information pour combattre les attaques. Les principaux atouts de Deep Discovery sont les suivants : La détection par Deep Discovery, qui s'appuie sur de multiples moteurs de menaces, le sandboxing, la corrélation d'événements et les informations qu'apportent Trend Micro Smart Protection Network et les équipes de chercheurs spécialisés. Une console de gestion Deep Discovery, qui fournit une visibilité en temps réel sur les menaces et une analyse permettant aux responsables de la sécurité de se concentrer sur les risques les plus critiques, d'effectuer une analyse plus approfondie et d'accéder aux dernières informations concernant le profil des menaces et la manière de les bloquer. L'intégration avec les principales plateformes de gestion des informations et des événements de sécurité (SIEM), dont HP ArcSight et IBM Q1 Labs, pour offrir aux clients de ces plateformes une détection des menaces à l'échelle de toute l'entreprise, en fonction des informations sur le réseau et de l'ensemble des événements rassemblés et analysés par le système SIEM. Pour les entreprises ayant besoin d'aide supplémentaire pour identifier et contrer les menaces avancées, Trend Micro complète Deep Discovery par son offre Risk Management Services. Les clients qui choisissent cette option bénéficient d'une assistance permanente pour signaler et analyser les menaces, améliorer leur protection, surveiller de manière proactive leurs réseaux et mettre en place des stratégies de sécurité. Cette offre de services s'appuie également sur l'expertise de Trend Micro en matière d'analyse des menaces et sur les renseignements fournis par Smart Protection Network, une infrastructure en cloud qui utilise un réseau mondial de détecteurs de menaces. Qu'est-ce qui permet à Deep Discovery de détecter les menaces avancées persistantes plus efficacement même qu'un pare-feu de dernière génération, la détection et la prévention des intrusions (IDS/IPS) ou d'autres analyseurs de réseau? Les menaces avancées persistantes et les attaques sophistiquées utilisent des programmes malveillants avancés et des manipulations directes de la part des pirates. Deep Discovery détecte les programmes malveillants avancés et les traces laissées par leur activité, ainsi que les activités malveillantes, à l'aide de moteurs spécialisés de détection des menaces et d'une technologie de corrélation des événements constamment mise à jour avec les dernières règles de pertinence sur les menaces.

5 5 Deep Discovery utilise un programme de détection sur trois niveaux effectuant une étape de détection initiale, une étape de simulation et de corrélation et une étape finale de corrélation croisée pour découvrir les activités furtives et insidieuses, détectables seulement après une certaine période. Les taux de détection sont ainsi élevés, tandis que les taux de faux positifs restent faibles. En outre, les informations précises sur les incidents permettent d'accélérer le blocage d'une attaque. Le fin mot de l'histoire La sécurité des entreprises est en train d'évoluer. Les grandes entreprises vont au-delà de la simple conformité aux normes de sécurité pour adopter progressivement une approche plus axée sur les menaces, les failles et la valeur des ressources informatiques. Bien que ces fondements soient solides, le contexte dynamique des menaces d'aujourd'hui nécessite un modèle de gestion des risques flexible pouvant s'adapter aux évolutions constantes. La gestion des risques en temps réel est fondamentale pour s'adapter aux évolutions des ressources, des réseaux et des failles. Avec l'irruption d'attaques sophistiquées, telles que les menaces avancées persistantes, la gestion des risques en temps réel a aujourd'hui besoin d'un service complémentaire, la gestion des menaces en temps réel. La gestion des menaces en temps réel élargit la portée de la gestion des risques en temps réel grâce à des informations précises et à des fonctionnalités de détection et de résolution. Objectif? Permettre aux entreprises de réagir immédiatement face aux nouveaux types de menaces afin d'en éviter ou limiter les dommages. Trend Micro Deep Discovery est un excellent exemple de solution de gestion des menaces en temps réel. Deep Discovery détecte les programmes malveillants des menaces avancées persistantes et les comportements suspects associés aux attaques sophistiquées. En outre, Deep Discovery fournit aux équipes en charge de la sécurité des informations spécifiques sur les menaces sophistiquées et les comportements anormaux du réseau. Étant données ces fonctionnalités, il peut être judicieux pour les entreprises d'évaluer ce que Deep Discovery peut apporter à leur environnement. Les entreprises dont la sécurité est déjà forte trouveront sans doute que Deep Discovery offre une couche de sécurité efficace pour une protection encore renforcée. Pour les entreprises dont la sécurité comprend des failles, Deep Discovery et les services offerts par Trend Micro pourront remplacer ou renforcer les contrôles de sécurité existants tout en apportant des informations supplémentaires en interne. Toutes les marques commerciales sont la propriété de leurs sociétés respectives. Les informations présentées dans ce document sont issues de sources considérées comme étant fiables par Enterprise Strategy Group (ESG) mais non garanties par ESG. Ce document peut présenter des opinions d'esg pouvant être modifiées de façon ponctuelle. Les droits d'auteur de ce document sont détenus par Enterprise Strategy Group, Inc. Toute reproduction ou redistribution de ce document, en tout ou partie, sous forme de copie papier, au format électronique ou d'une autre manière, à des personnes non autorisées à le recevoir, sans l'autorisation expresse d'enterprise Strategy Group, Inc., constitue une violation des lois des États-Unis sur les droits d'auteur et fera l'objet d'une poursuite civile en dommages-intérêts et, le cas échéant, d'une poursuite pénale. Pour toute question, veuillez contacter le service de relations client d'esg au (508)