Attaques ciblées avancées : les combattre à l'aide d'un système intégré

Transcription

1 Attaques ciblées avancées : les combattre à l'aide d'un système intégré Le partage d'informations contextuelles en temps réel en renfort de la détection précoce et de la prévention adaptative des menaces

2 Sommaire Résumé...3 Prendre un avantage durable....4 Composants essentiels pour une prévention des menaces adaptative....4 Immunisation et adaptation de bout en bout...4 Data Exchange Layer, l'orchestration en temps réel...5 McAfee Threat Intelligence Exchange : exploitez la puissance de la connaissance...6 Renforcement de la protection des terminaux existante....6 Analyse de données riches pour plus de clarté et une réponse rapide....7 Partage des renseignements partout, instantanément...7 Scénario 1 : réaction fondée sur des renseignements collectifs....8 Scénario 2 : ajout de McAfee Advanced Threat Defense à des fins d'analyse approfondie....9 Scénario 3 : détection précoce des attaques avec McAfee Enterprise Security Manager Changer la donne de la lutte contre les menaces Attaques ciblées avancées : les combattre à l'aide d'un système intégré 2

3 Résumé Pour la deuxième année consécutive, McAfee, division d'intel Security, a interrogé les responsables de la sécurité informatique présents à la convention Black Hat afin de prendre la mesure des difficultés liées aux attaques ciblées à faible prévalence lancées au moyen de logiciels malveillants avancés. La détection des attaques arrive en tête de liste, malgré de nombreux investissements dans des produits «miracles». Pour 25 % des répondants, le deuxième problème principal consiste à éviter les faux positifs un point essentiel étant donné l'importance que revêt l'extraction des signaux de menaces des bruits parasites en matière de détection. Les délais de protection et de réponse continuent de susciter de grandes frustrations % 35 % % 25 % 22 % 17 % % 11 % 9 % 7 5 % 4 % 3 % 0 Détection Rapport signal-bruit (recherche des faux positifs) Protection (en temps réel ou par blocage rapide) Réponse rapide (notification de compromission) Réparation des dommages (éradication du logiciel malveillant de l'environnement) Autre Figure 1 : Les participants à la convention Black Hat admettent qu'ils continuent de se heurter à des difficultés dans la lutte contre les logiciels malveillants avancés. Ces difficultés résultent d'un manque d'intégration entre les divers aspects de l'architecture de sécurité, à savoir l'inspection, la collecte d'informations, l'analyse et la mise en œuvre. Or, il s'agit des fondements technologiques du processus de prévention/détection/réponse sur lequel repose la réponse aux incidents. L'intégration améliore l'efficacité. En effet, grâce au partage actif des données et à l'accélération des contrôles croisés, chaque contrôle de sécurité peut s'appuyer sur les forces et les expériences des autres contrôles. Ce modèle de prévention adaptative des menaces remplace rapidement les architectures traditionnelles non intégrées preuve que les équipes de sécurité mettent tout en œuvre pour prendre un avantage durable sur les menaces complexes. Au lieu de traiter chaque interaction avec un logiciel malveillant comme s'il s'agissait d'un événement isolé, un modèle de prévention adaptative des menaces intègre l'ensemble des processus et données via une couche de communication efficace. Il fournit plusieurs niveaux d'inspection et d'analyse qui se renforcent mutuellement, alimentés par des formes de renseignement étendues, et connecte les composants de bout en bout, ce qui lui permet de générer et d'exploiter autant de renseignements que possible à partir du moindre contact ou processus. La mise en place d'un système de prévention des menaces adaptatif permet de surmonter les limitations fonctionnelles qui entravent trop fréquemment les processus de détection et de réponse, détruisant toute possibilité d'améliorer la prévention. L'isolement des données et la séparation des contrôles compliquent les opérations de sécurité et augmentent le risque. Les données générées par chaque contrôle et les informations contextuelles associées sont mal collectées et peu partagées. Ainsi, un pare-feu est capable de bloquer une charge active provenant d'un domaine non approuvé parce qu'il se concentre sur la nature des communications et non sur celle du fichier, ce qui signifie qu'il ne bloquera pas cette même charge active si elle est issue d'un domaine approuvé. De la même façon, un système antimalware peut bloquer des charges actives inconnues issues d'adresses malveillantes connues parce qu'il est capable de s'attacher à autre chose qu'à la seule charge active ou qu'il est à même d'examiner les adresses IP au sein de la charge. Attaques ciblées avancées : les combattre à l'aide d'un système intégré 3

4 Le manque d'intégration des fonctionnalités oblige les organisations à être constamment en mode réactif, prêtes à mobiliser des ressources humaines lors de chaque infraction de sécurité. L'inefficacité des processus, en plus d'épuiser des ressources d'investigation déjà limitées, laisse les données et les réseaux longuement exposés aux assauts de pirates déterminés. Ces îlots de produits, d'ensembles de données et d'opérations de sécurité sont à la fois sources de failles et d'une abondance d'informations non pertinentes qui aident les cybercriminels chevronnés à s'introduire en toute discrétion dans vos systèmes et à y sévir pendant de longues périodes. Qu'est-ce qu'un indicateur d'attaque (IoA)? Un indicateur d'attaque combine de façon unique des attributs inconnus, des indicateurs de compromission et des informations contextuelles (parmi lesquelles des renseignements organisationnels et des données sur les risques) pour offrir une image dynamique du contexte situationnel guidant les actions à entreprendre. Prendre un avantage durable Grâce à McAfee Threat Intelligence Exchange et à la plate-forme McAfee Security Connected, les professionnels de la sécurité disposent désormais d'un système ultraperformant dans lequel workflows et données sont intégrés. Les opérations ne sont plus isolées les unes par rapport aux autres et la prévention des menaces devient agile et intelligente. Les renseignements sur les menaces issus de sources mondiales, locales ou tierces et des connaissances organisationnelles sont mis en commun pour faciliter la prise de décision immédiate, tout en permettant une analyse en profondeur des fichiers suspects. Grâce à l'envoi de données contextuelles sur les attaques appelées indicateurs d'attaque (IoA, Indicator of Attack) vers des systèmes multivectoriels à des fins de détection, d'endiguement et de correction, les analystes en sécurité disposent d'un avantage durable par rapport aux menaces ciblées avancées. En exploitant et en intégrant les communications en temps réel dans les solutions de sécurité existantes de McAfee et d'éditeurs tiers, votre entreprise peut, de façon rentable, empêcher les compromissions et réduire le délai entre l'identification d'une attaque et sa neutralisation. Ce livre blanc décrit quatre cas d'utilisation qui mettent en évidence l'excellent niveau de protection et les économies de coûts que permet cette approche de pointe fondée sur McAfee Threat Intelligence Exchange : L'application de mesures fondées sur des renseignements collectifs sur les menaces permet d'augmenter l'efficacité au niveau des terminaux. (Intégration avec VirusScan Enterprise et SiteAdvisor Enterprise) L'intégration avec VirusTotal permet d'évaluer les données et les mesures provenant de solutions antimalware autres que McAfee afin de déterminer le traitement réservé à une menace potentielle donnée dans votre propre environnement. L'ajout d'analyses dynamiques (sandboxing) et statiques, et la connexion des terminaux aux composants réseau permettent d'améliorer la détection et l'éradication des logiciels malveillants avancés. (Ajout de McAfee Advanced Threat Defense et de produits de sécurisation de la passerelle) La mise en contexte des renseignements collectifs sur les menaces avec des données de séquences d'attaque passées et en cours permet d'agir immédiatement, qu'il s'agisse de désamorcer une attaque active, d'analyser des incidents passés ou de surveiller des événements futurs. (Ajout de McAfee Enterprise Security Manager) Composants essentiels pour une prévention des menaces adaptative McAfee Threat Intelligence Exchange utilise McAfee Data Exchange Layer, une structure de communication bidirectionnelle permettant l'emploi d'informations de sécurité et une protection adaptative grâce à une intégration simplifiée des produits et au partage des données contextuelles. En plus de ses fonctionnalités de collecte et de partage des informations de réputation, elle permet la prise de décisions en temps réel sur le réseau en matière de protection. Depuis toujours, le cadre Security Connected inclut des fonctions d'automatisation et d'intégration. McAfee Threat Intelligence Exchange s'appuie sur Data Exchange Layer pour modifier la dynamique de prévention des menaces par la mise en contexte des renseignements étendus et l'orchestration en temps réel dans tout l'environnement. Immunisation et adaptation de bout en bout D'un côté, les équipes de sécurité contrôlent localement les logiciels malveillants potentiels et la classification des menaces ; de l'autre, les composants de sécurité partagent instantanément leurs analyses d'échantillons et adaptent leur fonctionnement en conséquence. McAfee Threat Intelligence Exchange exploite Data Exchange Layer pour former un système de défense à part entière contre les attaques ciblées avancées, où terminaux, passerelles et autres composants de sécurité sont connectés Attaques ciblées avancées : les combattre à l'aide d'un système intégré 4

5 les uns aux autres. Ainsi, vous réduisez les risques. Vous optimisez et renforcez la protection contre les attaques futures. Vous diminuez la charge et les coûts d'exploitation associés à l'utilisation de mécanismes de protection isolés. GESTION DE LA SÉCURITÉ McAfee Enterprise Security Manager (SIEM) epolicy Orchestrator McAfee Threat Intelligence Exchange McAfee Vulnerability Manager SÉCURITÉ DES RÉSEAUX McAfee Advanced Threat Defense McAfee Network Security Platform (IPS) McAfee Next Generation Firewall McAfee Firewall Enterprise SÉCURITÉ DU CONTENU McAfee Gateway McAfee Web Gateway McAfee Data Loss Prevention SÉCURITÉ DES TERMINAUX Suites McAfee Endpoint Security McAfee Data Center Security Suite McAfee Embedded Security McAfee Device Control McAfee Endpoint Encryption Sécurité optimisée par le matériel Figure 2 : McAfee Threat Intelligence Exchange et Data Exchange Layer créent une structure dynamique pour un avantage durable dans la plate-forme Security Connected. Les composants de McAfee Threat Intelligence Exchange fonctionnent en un seul système collaboratif : ils permettent le partage immédiat des informations pertinentes entre le réseau, les terminaux, les données, les applications et les autres solutions de sécurité. Ainsi, les renseignements sont optimisés et la sécurité adaptative est mise en œuvre. McAfee Threat Intelligence Exchange ramène le délai entre l'identification et la neutralisation des attaques ciblées avancées de plusieurs jours, semaines ou mois à quelques millisecondes. Data Exchange Layer, l'orchestration en temps réel Data Exchange Layer simplifie l'intégration, ce qui en retour réduit les coûts de mise en œuvre et d'exploitation. En effet, l'intégration ne se fait pas au moyen de différentes API de bas niveau selon un rapport 1/1. À l'inverse, la structure de communication basée sur Data Exchange Layer permet aux produits de s'intégrer via un modèle d'information commun prenant en charge des méthodologies de communication variées. Ces fonctionnalités signifient que Data Exchange Layer prend en charge la configuration automatique des produits, ce qui limite les erreurs et la complexité. Cette couche offre une structure de communication bidirectionnelle en temps réel dans laquelle les composants connectés conservent une connexion permanente. Au moyen d'une couche d'abstraction, les terminaux, les passerelles et les autres composants de sécurité peuvent rester connectés et partager des renseignements en temps réel, quel que soit leur emplacement. Avec un tel modèle, vous pouvez diffuser des commandes et des contrôles de sécurité locaux vers des nœuds distants d'autres bureaux, même si ces nœuds se trouvent derrière des équipements distants passés par un processus NAT (Network Address Translation), tels que des pare-feux et des passerelles domestiques. La sécurité des communications est assurée par le chiffrement du trafic via le protocole TLS (Transport Layer Security), l'obligation faite aux participants de se soumettre à une authentification mutuelle forte par certificat et la mise en œuvre d'autorisations au niveau de la structure. Cette conception garantit la sécurisation des charges actives et la protection de la structure elle-même contre les attaques externes ou les détournements de données. Attaques ciblées avancées : les combattre à l'aide d'un système intégré 5

6 McAfee Global Threat Intelligence Flux d'informations tiers Logiciel McAfee epo McAfee Threat Intelligence Exchange Server McAfee Advanced Threat Defense McAfee Enterprise Security Manager Produits partenaires McAfee Data Exchange Layer Module VirusScan Enterprise de McAfee Threat Intelligence Exchange McAfee Next Generation Firewall McAfee Network Security Platform Autres produits McAfee Gateway McAfee Web Gateway Figure 3 : Data Exchange Layer offre une structure de communication en temps réel qui permet aux composants de sécurité d'agir de concert. McAfee Threat Intelligence Exchange : exploitez la puissance de la connaissance McAfee Threat Intelligence Exchange offre aux administrateurs la possibilité de personnaliser des informations complètes sur les menaces et d'agir en fonction de celles-ci en toute facilité. Il s'agit de l'agrégation d'informations transmises par diverses sources de données mondiales, notamment McAfee Global Threat Intelligence (GTI), VirusTotal et d'autres flux de données, ainsi que d'informations à l'échelle locale, issues des données d'événements historiques et en temps réel recueillies auprès des terminaux, des passerelles et d'autres composants de sécurité. Vous pouvez ainsi collecter, remplacer, compléter et affiner les informations de ces sources afin de mener des actions adaptées à 100 % à votre environnement. Avec la fonction intelligente de création de listes, vous pouvez notamment utiliser vos propres listes noires et listes blanches de fichiers et de certificats (attribués à votre organisation et utilisés au sein de celle-ci). Grâce à ses fonctions de collecte et de gestion des renseignements locaux sur les menaces, McAfee Threat Intelligence Exchange permet d'identifier chaque menace dans le contexte des activités et de l'environnement d'exploitation de chaque organisation. Les métadonnées issues des terminaux, des passerelles et des composants de sécurité sont assemblées pour offrir un maximum de visibilité et lancer des actions de protection correspondant au statut des menaces qui concernent votre entreprise. Renforcement de la protection des terminaux existante Tandis que les investigations numériques avancées traditionnelles nécessitent des outils et une formation spécialisés ainsi que des configurations manuelles contraignantes, McAfee Threat Intelligence Exchange exploite les renseignements dans le cadre d'une protection automatisée basée sur des règles définies par l'équipe informatique. McAfee Threat Intelligence Exchange offre une protection révolutionnaire aux terminaux et s'appuie sur McAfee VirusScan Enterprise pour prendre des décisions précises concernant l'exécution des fichiers. Lorsqu'un hôte tente d'exécuter un fichier : VirusScan Enterprise inspecte les signatures locales. Si le fichier est inconnu, le module McAfee Threat Intelligence Exchange installé sur l'hôte interroge McAfee Threat Intelligence Exchange Server à la recherche de métadonnées relatives au fichier. Q Q Si cette requête ne donne aucun résultat, le serveur interroge le réseau McAfee GTI dans le cloud et renvoie l'évaluation de réputation mondiale à l'hôte à l'origine de la requête. Attaques ciblées avancées : les combattre à l'aide d'un système intégré 6

7 Que voulez-vous savoir? Lorsqu'un fichier tout d'abord inconnu est ensuite identifié comme malveillant par une source de renseignements locale ou dans le cloud, ou encore par une enquête interne, McAfee Threat Intelligence Exchange Server fournit des informations exploitables sur des comportements nuisibles pour aider l'équipe de réponse aux incidents sur le terrain : Ce fichier se trouve-t-il sur l'un de mes terminaux? (prévalence) S'est-il exécuté? (point critique pour la distinction entre terminaux infectés et non infectés) Où s'est-il exécuté? (liste hiérarchisée des systèmes à risque) Quel système a été infecté en premier? (première occurrence) Sur quelles machines le fichier désormais identifié comme malveillant s'est-il exécuté, et donc lesquelles sont maintenant susceptibles d'être compromises? Comment le logiciel malveillant se propage-t-il dans mon environnement? (trajectoire du fichier) Où se trouvent les fichiers non bloqués par d'autres produits de sécurité? Quels fichiers gris peuvent être marqués comme noirs ou blancs? Q Q Quelle est la réputation mondiale d'un fichier spécifique par rapport à sa réputation locale dans l'entreprise? McAfee Threat Intelligence Exchange Server traite la requête à l'aide des éventuelles métadonnées précédemment collectées et stockées relatives au fichier. La réponse comprend des valeurs propres à l'organisation, telles que la réputation, la prévalence et l'ancienneté. À l'aide de règles, le module McAfee Threat Intelligence Exchange met ensuite en corrélation le contexte observé localement (attributs des fichiers, des processus et de l'environnement) avec les informations collectives sur les menaces les plus récentes disponibles pour créer un score de risque. Le module client applique vos stratégies pour décider si le fichier peut s'exécuter ou non. McAfee Threat Intelligence Exchange Server enregistre l'événement dans sa base de connaissances. S'il s'avère par la suite que ces fichiers sont liés à une attaque, VirusScan Enterprise peut être configuré de manière à nettoyer les hôtes concernés, ce qui bloque le processus malveillant en cours d'exécution. Les stratégies vous permettent de définir différentes conditions d'exécution et ainsi de personnaliser le niveau de tolérance aux risques sur les terminaux. Par exemple, vous pouvez configurer une stratégie stricte pour tous les fichiers inconnus ou «gris», les soumettant à une tolérance zéro. Dans ce cas, il suffit de définir une stratégie interdisant l'accès aux fichiers en l'absence de données de réputation connues et acceptables. Par rapport à l'échelle de risque, chaque société applique des critères qui lui sont propres quant aux fichiers qu'il est opportun d'autoriser, de mettre en quarantaine ou de supprimer. En règle générale, cette tolérance varie selon la catégorie et l'importance stratégique des différents systèmes pour l'entreprise. Si l'administrateur décide par la suite qu'un fichier particulier est sûr, il peut ajouter l'application bloquée à la liste blanche et passer à autre chose. Il peut également laisser aux utilisateurs le choix d'autoriser ou non un fichier via une invite. Analyse de données riches pour plus de clarté et une réponse rapide Qu'ils soient issus de sources mondiales, locales, tierces, ou générés manuellement, les renseignements collectifs sur les menaces stockés dans McAfee Threat Intelligence Exchange Server offrent une excellente visibilité et répondent à des questions essentielles en fournissant instantanément des données exploitables. Au lieu d'attendre confirmation d'un tiers, ce qui laisse la porte ouverte aux menaces, vous bénéficiez de preuves concluantes vous permettant d'agir en temps utile. Par exemple, les données de prévalence dans l'entreprise indiquent les machines ayant lancé une requête sur un fichier spécifique. La liste des systèmes concernés aide à révéler les tactiques et les intentions des pirates ; encore mieux, elle permet de réduire la fenêtre de persistance disponible pour le pirate. Les machines ciblées appartiennent-elles toutes à un seul groupe de travail, par exemple les finances ou le développement logiciel, ce qui donnerait des indications sur le type de données confidentielles recherchées par le pirate? Les systèmes partagent-ils un profil d'application, ce qui indiquerait une vulnérabilité de type «jour zéro»? Partage des renseignements partout, instantanément Avec McAfee Threat Intelligence Exchange, les entreprises sont à même d'adapter leurs défenses et de neutraliser les menaces à 100 %. Lorsqu'un client McAfee Threat Intelligence Exchange sur l'hôte décide de bloquer ou d'autoriser l'exécution d'un fichier, cette décision est enregistrée dans le composant serveur. Les renseignements ainsi glanés sont ensuite appliqués de différentes manières. McAfee Threat Intelligence Exchange procède à la publication instantanée des données de réputation et des détails de certaines décisions sur toutes les contre-mesures que l'organisation a souscrites, y compris les systèmes de protection des terminaux et au niveau de la passerelle (par ex. McAfee Network Security Platform) et les produits tiers. Ainsi, tous les produits de sécurité sont mis à jour instantanément et échangent des données : vous bénéficiez localement d'une protection sur mesure et cohérente à un tarif défiant toute concurrence. Sachant que les attaques sophistiquées ciblent généralement les systèmes vulnérables multicomposants, cette fonction de partage avancé des renseignements au sein d'un environnement permet d'éviter que les autres hôtes soient compromis ou ciblés à leur tour par une attaque donnée. En option, McAfee Threat Intelligence Exchange offre également la possibilité de transférer les renseignements locaux qui viennent d'être collectés vers le cloud McAfee GTI pour aider les autres hôtes à lutter contre des attaques similaires. Attaques ciblées avancées : les combattre à l'aide d'un système intégré 7

8 Que voulez-vous savoir? (suite) Combien de fichiers ont été identifiés comme malveillants ces dernières heures? De tous les fichiers détectés dans mon environnement, combien sont blancs, noirs ou gris? Quel est le pourcentage de fichiers blancs, noirs ou gris dans mon environnement par version du système d'exploitation Microsoft Windows? Quels sont les fichiers les moins prévalents dans mon environnement (fichiers marginaux potentiellement malveillants)? Q Q Un système d'exploitation Microsoft Windows fait-il spécifiquement l'objet d'attaques? Les cas d'utilisation suivants montrent comment McAfee Threat Intelligence Exchange et Data Exchange Layer modifient la dynamique de la détection des menaces, améliorant ainsi les renseignements exploitables et la protection proactive, de l'attaque à la neutralisation. Scénario 1 : réaction fondée sur des renseignements collectifs Dans ce premier cas d'utilisation, les terminaux bénéficient d'une protection basée sur les renseignements optimisés localement. Avec ce type de personnalisation, les commerçants du réseau VISA, par exemple, auraient pu mettre en œuvre rapidement une protection automatisée contre les hachages documentés par VISA en 2013 suite à une attaque sur l'analyseur syntaxique de mémoire 1. Désormais, les administrateurs reçoivent le bulletin et entrent les nouveaux fichiers de hachage dans McAfee Threat Intelligence Exchange via leur interface d'administration. Par la suite, dans l'éventualité où le fichier suspect arrive sur un système hôte, le module McAfee Threat Intelligence Exchange empêche son exécution grâce aux connaissances personnalisées (signalant que ces hachages particuliers sont malveillants) issues des renseignements collectifs sur les menaces. Composants de base McAfee Global Threat Intelligence Logiciel McAfee epo McAfee Threat Intelligence Exchange Server VISA McAfee Data Exchange Layer Module VirusScan Enterprise de McAfee Threat Intelligence Exchange Figure 4 : Les données tierces peuvent se révéler une mine de renseignements. Lorsqu'une équipe interne détecte un logiciel malveillant (ou un fichier suspect), ce dernier peut être bloqué instantanément, sans qu'il soit nécessaire d'envoyer un échantillon, puis d'attendre la mise à jour de la signature antivirus. Les incidents ultérieurs impliquant le même fichier sur un autre terminal sont ajoutés au nombre de prévalences stockées dans McAfee Threat Intelligence Exchange Server, ce qui aide les administrateurs à déterminer que leur système subit une attaque. La valeur ajoutée pour l'entreprise réside dans le fait qu'une indication de compromission (en l'occurrence, un hachage de fichier) permette de glaner une masse de renseignements inestimables partageables en temps réel. En outre, le module McAfee Threat Intelligence Exchange intercepte les tentatives d'exécution de fichiers, pas seulement les opérations de lecture ou d'écriture. Ce type de protection (contre les exécutions) préserve des comportements inhabituels. Par ailleurs, grâce à cette fonctionnalité, McAfee Threat Intelligence Exchange peut capturer de précieuses informations sur les indicateurs d'attaque (IoA), qui seront partagées dans l'environnement dès la détection de ces indicateurs. Contrairement à un indicateur de compromission (IoC, Indicator of Compromise), qui représente un événement individuel statique dont il est établi qu'il est nuisible, un indicateur d'attaque n'est considéré comme réellement nuisible que si le contexte et vous-même en décidez ainsi. Un indicateur d'attaque combine de façon unique des attributs inconnus, des indicateurs de compromission et des informations contextuelles (parmi lesquelles des renseignements organisationnels et des données sur les risques) pour offrir une image dynamique du contexte situationnel guidant les actions à entreprendre. McAfee Threat Intelligence Exchange détecte tout comportement nouveau ou inhabituel au sein de l'environnement, même si celui-ci n'est pas encore associé à une menace ou compromission connue, et donne l'alerte. Attaques ciblées avancées : les combattre à l'aide d'un système intégré 8

9 Scénario 2 : ajout de McAfee Advanced Threat Defense à des fins d'analyse approfondie Un pirate qui convoite les données de votre entreprise investit dans des techniques subtiles de programmation de dissimulation et dans les exploits «jour zéro». Il peut en résulter un fichier malveillant unique ou rare. C'est précisément cette rareté qui peut empêcher les contre-mesures traditionnelles basées sur les signatures ou la réputation de détecter la menace de façon précise. Cependant, si les ressources McAfee Threat Intelligence Exchange existantes ne parviennent pas à confirmer la nature malveillante d'un fichier suspect, pour éliminer la moindre incertitude, il suffit de soumettre le fichier en question à une analyse via McAfee Advanced Threat Defense pour obtenir des informations plus approfondies. McAfee Advanced Threat Defense offre une approche multiniveau qui exploite des fonctionnalités innovantes de déconstruction en temps réel des logiciels malveillants. Vous bénéficiez ainsi d'un niveau de détection supplémentaire des attaques ciblées avancées, notamment une décompression robuste qui déjoue les techniques de contournement pour exposer le code exécutable d'origine et déterminer le comportement attendu. Dans les situations où même des tactiques élémentaires de codage malveillant parviennent à contourner par la ruse les environnements restreints (sandbox) d'autres fournisseurs, McAfee Advanced Threat Defense combine plusieurs techniques en une méthode de pointe : la déconstruction du code statique en temps réel avec une fonctionnalité d'analyse dynamique (sandboxing) qui, dès la détection, retournent contre l'attaquant ses propres techniques de dissimulation. Il s'agit là de la technologie antimalware avancée la plus puissante du marché, offrant par ailleurs le juste compromis entre sécurité et performances. McAfee Global Threat Intelligence McAfee Threat Intelligence Exchange Server McAfee Advanced Threat Defense Flux tiers OUI NON Logiciel McAfee epo Module pour Module VirusScan terminaux de de McAfee Threat McAfee Threat Intelligence Intelligence Exchange Exchange Figure 5 : Synthèse des données de réputation et des renseignements sur les menaces issus du cloud, du réseau et des terminaux. La protection des terminaux profite au réseau et vice versa En cas d'utilisation combinée de McAfee Threat Intelligence Exchange et de McAfee Advanced Threat Defense, votre organisation bénéficie d'une immunisation renforcée contre les attaques ciblées avancées. Vous obtenez un système moderne de défense en profondeur, qui combine des fonctionnalités d'évaluation basées sur le comportement, la réputation et les signatures au niveau du réseau et des terminaux. Si la stratégie en place le prévoit, les terminaux McAfee peuvent bloquer les charges dont la réputation est «inconnue», puis transférer le fichier vers McAfee Advanced Threat Defense pour vérification et établissement de son innocence ou de sa culpabilité. Si la nature malveillante du fichier est confirmée, cette information est publiée dans le système via la mise à jour des informations de réputation sur toutes les contre-mesures de l'organisation, par l'intermédiaire de Data Exchange Layer. Par exemple, les terminaux sur lesquels McAfee Threat Intelligence Exchange est installé disposeront désormais Attaques ciblées avancées : les combattre à l'aide d'un système intégré 9

10 d'une protection proactive si le même fichier cherche à s'exécuter à nouveau, et les passerelles dotées de ce module pourront bloquer l'entrée de ce fichier dans l'organisation. Les détections au niveau des passerelles réseau suivent ce processus d'analyse centralisée, de sorte que les terminaux tirent également parti des informations obtenues. Ce partage de renseignements et de données de réputation montre bien tous les avantages de l'intégration de la sécurité des terminaux et du réseau, telle qu'elle est assurée par la plate-forme exclusive Security Connected notamment l'élimination des «angles morts» générés par la distribution hors bande de la charge active. Le fait de relier entre elles les solutions de sécurité McAfee ciblant différents vecteurs réduit considérablement la fenêtre d'exposition aux nouveaux logiciels malveillants, les délais de correction et la nécessité de revoir l'architecture du réseau. L'intégration avec VirusTotal permet d'évaluer les données et les mesures provenant de solutions antimalware autres que McAfee afin de déterminer le traitement réservé à une menace potentielle donnée dans votre propre environnement. Scénario 3 : détection précoce des attaques avec McAfee Enterprise Security Manager Enfin, de nombreuses entreprises souhaiteront très probablement exploiter la visibilité et la mise en corrélation offertes par la solution McAfee Enterprise Security Manager pour obtenir rapidement une image plus précise du type de menaces visant leur environnement. La solution SIEM McAfee Enterprise Security Manager collecte des données riches à partir de McAfee Threat Intelligence Exchange et de McAfee Advanced Threat Defense et s'appuie sur son moteur de base de données breveté ultraperformant pour les mettre en corrélation avec les données de journaux et d'événements issues de centaines de sources. Grâce à cet ensemble étendu de données granulaires, vous êtes en mesure de répondre à une question essentielle : «Quels hôtes de mon environnement montrent des signes de comportements correspondant aux derniers renseignements obtenus sur les menaces?». Chaque fois que McAfee Threat Intelligence Exchange identifie un nouvel événement malveillant (une «première occurrence») et indique aux clients d'exécuter ou de bloquer le fichier, McAfee Enterprise Security Manager peut porter l'événement à l'attention des administrateurs et activer des workflows d'endiguement de la menace, notamment la mise à jour en temps réel des stratégies au niveau des terminaux. Les données d'analyse de McAfee Threat Intelligence Exchange et du SIEM peuvent être exploitées via des workflows et des listes de suivi, qui associent les processus de détection/réponse/prévention dans une boucle fermée, pour améliorer la protection et la gestion des risques au sein de votre organisation. Étudier le passé pour influencer l'avenir McAfee Enterprise Security Manager utilise des artefacts issus de McAfee Advanced Threat Defense et de McAfee Threat Intelligence Exchange pour rechercher des événements dans ses archives, et donner l'alerte si des événements similaires devaient se produire à l'avenir. Ainsi, il est possible de remonter le temps et de tirer parti des informations obtenues au présent pour identifier les interactions malveillantes passées qui n'ont pas été détectées au moment de leur entrée dans le système. Par exemple, le hachage résultant de la détermination de la malveillance d'un fichier, que ce soit via McAfee Threat Intelligence Exchange ou McAfee Advanced Threat Defense, peut être chargé dans une liste de suivi du SIEM. McAfee Enterprise Security Manager compare ensuite les informations de cette liste de suivi aux événements passés indexés ou aux nouveaux événements se déroulant en temps réel. Les hachages de fichiers sont générés par de nombreux produits (pas seulement par McAfee Advanced Threat Defense, mais également par des solutions de surveillance de l'intégrité des fichiers telles que McAfee Change Control, les systèmes de prévention des intrusions sur les hôtes et les réseaux, et les moteurs antimalware des passerelles Web) : leur partage augmente donc la sensibilité aux activités dans l'ensemble de l'organisation. McAfee Threat Intelligence Exchange publie les données de réputation sur ces systèmes pour mettre en œuvre le blocage, et McAfee Enterprise Security Manager fournit un environnement dans lequel tous les incidents seraient assemblés pour créer une image globale des activités malveillantes. En plus des hachages de fichiers, McAfee Enterprise Security Manager exploite d'autres indicateurs d'attaque générés par McAfee Advanced Threat Defense et McAfee Threat Intelligence Exchange. En effet, ces deux solutions fournissent d'autres renseignements associés à leurs recherches, par exemple des noms de fichier, des adresses IP, des hachages de charges actives, des données de prévalence et des noms d'hôte. Attaques ciblées avancées : les combattre à l'aide d'un système intégré 10

11 Sans oublier que les rapports McAfee Advanced Threat Defense incluent d'autres informations encore sur les fichiers associés à une attaque spécifique. Lorsque vous déployez à la fois McAfee Advanced Threat Defense et McAfee Enterprise Security Manager, vous pouvez filtrer dans la solution SIEM les fichiers malveillants repérés par McAfee Advanced Threat Defense, puis analyser les événements selon un certain nombre de caractéristiques pour retrouver ces fichiers. Après avoir repéré ces fichiers, un enquêteur pourrait ensuite affiner le filtrage du sous-ensemble à l'aide des adresses IP et des noms de fichier également issus de McAfee Advanced Threat Defense. Le rapport McAfee Enterprise Security Manager fait état de tous les résultats d'historique propres aux attributs générés par McAfee Advanced Threat Defense pour permettre la surveillance des événements ultérieurs. Lorsque McAfee Enterprise Security Manager identifie des événements pendant le déroulement d'une d'attaque, il prend automatiquement les mesures qui s'imposent : endiguement, réduction des risques et adaptation. Par exemple, les hôtes dont l'implication dans une attaque est établie peuvent être immédiatement soumis à la mise à jour de leur stratégie, mis en quarantaine ou analysés. Changer la donne de la lutte contre les menaces Ces cas d'utilisation illustrent comment récupérer les renseignements les plus pertinents, complets et exploitables pour les intégrer dans vos mécanismes de défense, et comment les utiliser pour déclencher automatiquement des actions de protection. Vous pouvez relier vos opérations de détection, d'analyse et de protection aux couches de données et de workflows de façon à ce que chaque élément partage les informations qu'il obtient avec les autres et établir une défense optimale en temps réel. Vous pouvez tout aussi efficacement améliorer votre compréhension des menaces, les rechercher et les éliminer dans la totalité de votre environnement en agissant sur les renseignements en temps réel et en sondant dans le passé pour offrir une meilleure protection à l'avenir. En intégrant les renseignements adaptatifs et les communications en temps réel à sa plate-forme Security Connected, McAfee change la donne dans la lutte contre les attaques ciblées avancées. McAfee Threat Intelligence Exchange vous permet d'accroître la quantité et la qualité des renseignements pour élaborer et exploiter des indicateurs d'attaque. Data Exchange Layer permet d'ajouter des fonctionnalités de mise en contexte et d'orchestration à la plate-forme Security Connected. Avec McAfee Advanced Threat Defense et McAfee Enterprise Security Manager, sans oublier notre gamme complète de contre-mesures des terminaux jusqu'aux réseaux, McAfee continue à offrir la protection contre les menaces la plus complète du marché : un système optimisé qui vous aidera à prendre un avantage durable sur les attaques ciblées avancées. Pour plus d'informations, consultez les pages suivantes : À propos d'intel Security McAfee fait désormais partie d'intel Security. Avec sa stratégie Security Connected, son approche innovante de la sécurité optimisée par le matériel et son réseau mondial de renseignements sur les menaces Global Threat Intelligence, Intel Security met tout en œuvre pour proposer des solutions et des services de sécurité proactifs et éprouvés, qui assurent la protection des systèmes, réseaux et équipements mobiles des entreprises et des particuliers du monde entier. Intel Security associe le savoir-faire et l'expérience de McAfee aux innovations et aux performances reconnues d'intel pour faire de la sécurité un élément essentiel de chaque architecture et plate-forme informatique. La mission d'intel Security est de permettre à chacun de vivre et de travailler en toute confiance et en toute sécurité dans le monde numérique McAfee. Part of Intel Security. Tour Franklin, La Défense Paris La Défense Cedex France (standard) Intel et le logo Intel sont des marques commerciales déposées d'intel Corporation aux États-Unis et/ou dans d'autres pays. McAfee, le logo McAfee, epolicy Orchestrator, McAfee epo et VirusScan sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright 2014 McAfee, Inc wp_it-takes-a-system_0214B