RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES

Transcription

1 RÉVOLUTIONNER LA PROTECTION CONTRE LES MENACES AVANCÉES COMBATTRE LES MENACES AVANCÉES À TRAVERS UNE APPROCHE INTÉGRÉE OFFRANT VISIBILITÉ, ANALYSE, VEILLE DES MENACES ET MISE EN ŒUVRE DES PRINCIPES DE SÉCURITÉ

2 INTRODUCTION Aujourd hui, le paradigme de la protection contre les est brisé. La plupart des entreprises s appuient sur des outils basés sur l analyse des signatures bloquer les attaques aux limites du réseau, et sur des solutions d informations et de gestion des événements (SIEM) afin de permettre la résolution des incidents. Malheureusement, les agresseurs modernes ont trouvé bien des moyens d échapper aux solutions basées sur la signature, et les produits SIEM ne peuvent pas cibler précisément les attaques réussies, avant qu elles infligent des dégâts considérables. Par conséquent, il semblerait que chaque semaine, une grande entreprise voit sa réputation détruite par une nouvelle fuite de données majeures. Ce Livre blanc présente un nouvel environnement vaincre les cyber avancées. Il évoque : Les problèmes rencontrés avec les solutions basées sur la signature et les solutions d informations et de gestion des événements classiques. Un environnement intégrant la visibilité et l analyse de la sécurité, la veille des non-répertoriées et des solutions de blocage et de mise en œuvre combattre les avancées. Un modèle en trois étapes d une protection contre les avancées tout au long du cycle de vie, mis en œuvre à l aide de produits et services Blue Coat. La faiblesse des systèmes de défense de l information modernes Malheureusement, les agresseurs ont mis au point de nombreuses techniques afin d échapper aux outils basés sur la signature, parmi lesquelles : Les actualités regorgent de faits relatant les vols massifs de données d identification personnelle, d attaques furtives de la propriété intellectuelle et de sites Web mis hors d usage. Les coûts les entreprises qui en sont victimes vont d une réputation entachée à la perte totale de la compétitivité, en passant par des millions de dollars en amendes réglementaires et en frais de notification de fuite de données. Il apparaît souvent que les méchants sortent victorieux de cette course à l armement, en introduisant sans cesse de nouvelles façons de surmonter les défenses traditionnelles en matière de l information. Ces défenses sont vulnérables car elles reposent sur un modèle basé sur la signature, sur une simple «palissade» visant à prévenir les attaques. Les attaques échappent aux outils analysant la signature La plupart des entreprises utilisent des outils basés sur la signature, comme les pare-feu nouvelle génération (NGFW), les systèmes de prévention des intrusions (IPS), les outils de prévention de la perte de données (DLP), et hébergent des solutions antivirus afin d identifier des connues sur le trafic réseau. L envoi en nombre de logiciels malveillants inconnus et de nouvelle génération dans le cadre d attaques non-répertoriées (Zero Day) infiltrant les réseaux avant l identification et la diffusion de leurs signatures. Le ciblage individuel des organisations avec des logiciels malveillants personnalisés lesquels aucune signature n existe. L utilisation de l ingénierie sociale et des techniques de spear phishing qui trompent les employés les pousser à aider involontairement l agresseur à contourner les défenses. La dissimulation des attaques dans du trafic crypté SSL (représentant désormais jusqu à 30 % à 40 % du trafic Internet global) qui ne peut pas être déchiffré par les FAI ni les défenses de passerelles Web. L utilisation d outils de chiffrage, de compression et de transformation permettant de dissimuler les logiciels malveillants aux yeux des programmes antivirus. L intégration des logiciels malveillants dans des applications utiles ou dans des jeux. L élargissement de la surface d attaque, c est-à-dire, la capacité à trouver des vulnérabilités dans d autres points d accès tels que les appareils mobiles et les systèmes de contrôle industriels. 2

3 La grande majorité des experts en sécurité de l information reconnaissent désormais que les défenses basées sur la signature utilisées seules ne sont pas capables d arrêter les avancées les plus sérieuses que l on rencontre aujourd hui. «[La détection basée sur la signature reste] une partie intégrante de la [défense contre les logiciels malveillants], mais elle n en est pas l unique composant. Nous devons cesser d essayer de créer des lignes Maginot qui semblent robustes, mais qui sont en réalité faciles à contourner.» Nicolas Cristin, Carnegie Mellon University, cité dans The Antivirus Era is Over Les produits SIEM n offrent pas assez de contexte La plupart des entreprises ont remarqué que certains agresseurs passent à travers les limites du réseau et mettent en œuvre des solutions de l information et de gestion des événements afin d identifier les failles et leurs causes. Malheureusement, les produits SIEM présentent de sérieuses limitations. En effet, beaucoup de solutions SIEM ne peuvent pas traiter l énorme volume d événements créés par les systèmes réseau et et les équipements d utilisateur final actuels. Pour compenser, elles travaillent uniquement avec des échantillons ou des résumés de données de journaux. En clair, les analystes en sécurité et les personnes traitant les incidents disposent d une visibilité incomplète séquences d actions qui constituent les attaques avancées, les rendant ainsi encore plus difficiles à identifier. En outre, les produits SIEM peinent à reconstituer le contexte complet des attaques. S ils sont capables d évaluer des événements ou des données de journaux en provenance de dispositifs et réseau, ils ne peuvent pas les croiser avec des s, des fichiers et des sites malveillants impliqués dans des attaques avancées et ne peuvent pas non plus aider les analystes à rapprocher des événements qui s étalent sur une longue période de temps. Les outils individuels ne sont pas intégrés Dans de nombreuses entreprises, c est le manque d intégration entre chaque outil qui empêche les systèmes de détecter et d analyser les attaques en cours. De nouveaux types de logiciels malveillants révélés par un produit d analyse ne seront peut-être pas visibles par les outils de blocage, sans passer par des étapes manuelles fastidieuses. Les indices permettant d identifier les attaques en plusieurs étapes collectés par différents systèmes ne sont pas partagés. De ce fait, les analystes en sécurité n ont pas la possibilité d effectuer des corrélations ni de détecter des tendances qui raient mettre à jour les actions des agresseurs. Les résultats de veille des ne sont pas efficacement échangés entre les entreprises, les laissant ainsi vulnérables aux logiciels malveillants non-répertoriés (Zero Day) et aux nouveaux types de. La lenteur des réponses accroit les risques et les coûts en cas de violation Une détection et une réponse rapides peuvent permettre de stopper les attaques avancées avant qu elles ne causent des dégâts, ou minimiser le volume de propriété intellectuelle et de données personnelles protégées que les agresseurs ront extorquer à. Malheureusement, selon le rapport Verizon 2014 sur la fuite de données, «Verizon 2014 Data Breach Investigation Report», 68 % des attaques d applications Web prennent des semaines, des mois ou des années à être découvertes, même si dans 69 % des cas, les données volées ont été exfiltrées en quelques minutes, quelques heures ou quelques jours. 88 % des attaques d applications Web motivées par l argent ont été découvertes par des tiers (tels que, les clients, les agences anti-fraude et les forces de l ordre) plutôt qu au sein de attaquée. Cela est une preuve évidente que les méthodes d aujourd hui ne parviennent pas à détecter et à endiguer les attaques dans un délai acceptable. «Nous ne pouvons pas supposer qu il nous est impossible d arrêter les agresseurs, nous devons donc prévoir un compromis. La différence entre le succès et l échec se situe dans la rapidité avec laquelle vous parvenez à isoler l attaque, à limiter les dégâts, puis à corriger le problème.» Mike Rothman, Président de Securosis, dans Applied Network Security Analysis: Moving from Data to Information Un environnement la protection contre les avancées Mais la course à l armement n est pas perdue. Plusieurs avancées technologiques en matière donnent aux entreprises et aux agences gouvernementales l espoir de devancer les agresseurs. Celles-ci comprennent : Des outils offrant aux entreprises une visibilité complète en temps réel attaques en cours et des données contextuelles complètes afin de proposer une réponse à l incident et une analyse post-attaque. De nouveaux produits d analyse de la sécurité permettant aux entreprises d accélérer la découverte de failles et de remédier aux attaques, même les plus sophistiquées. Des technologies utilisant l analyse comportementale et l analyse dynamique («sandboxing de nouvelle génération») détecter les logiciels malveillants avancés lesquels aucune signature n existe. Des réseaux de veille des basés sur le Cloud et des bases de connaissances qui accélèrent la diffusion des données en temps réel, afin que les entreprises puissent «s auto-vacciner» dès l apparition des nouvelles attaques. 3

4 L intégration de ces composants aux outils d analyse et de blocage préexistants, afin de créer un écosystème offrant une sécurité complète face aux avancées. Ces capacités avancées peuvent être intégrées dans un environnement de protection contre les avancées (figure 1). Cet environnement permet aux entreprises de détecter et de bloquer plus d attaques et de répondre plus rapidement aux intrusions. Blocage et Mise en applicationation Détection et Veille des qui s y rapportent, de manière à effectuer une analyse complète rétroactive et en temps réel. Pour éviter les «angles morts», une solution de protection contre les avancée efficace doit être capable de : Décrypter le trafic chiffré, en particulier SSL : Traiter l ensemble du trafic réseau, à travers tous les principaux protocoles, sans aucune perte de données par le biais d échantillonnage ou de résumé. Identifier tout ce qui traverse le réseau, à la fois au niveau des paquets et des Blocage et Détection et Mise en Veille des applicationation Sécurité Visibilité é et SSL éléments de niveau supérieur tels que des fichiers, s et messages instantanés, le trafic des applications et des événements. Capturer et stocker les données historiques pendant des semaines, des mois ou plus encore. Extraire, indexer et classifier les métadonnées de manière efficace, afin de pouvoir réaliser une analyse rapide de l historique sur d importants volumes de données. À moins que toutes ces fonctionnalités soient disponibles, les technologies de protection contre les en aval et les professionnels de traitement des incidents ne disposeront pas des données nécessaires offrir une prestation efficace en termes de blocage des connues, d analyse des inconnues et d enquête en profondeur failles. Figure 1 : Un environnement la protection contre les avancées visibilité SSL La visibilité sur la sécurité est essentielle la protection contre les avancées. Les outils permettant de bloquer les tels que les pare-feu nouvelle génération, les IPS et les solutions antivirus hébergées ne sont véritablement efficaces que lorsqu ils peuvent inspecter l ensemble du trafic réseau entrant et sortant de. En outre, les analyses de la sécurité, l analyse des impacts et la résolution d incidents nécessitent une vision complète du trafic réseau, ainsi que toutes les données à l aide des Big Data Les analyses aident les entreprises à identifier des renseignements exploitables de volumes considérables de données réseau et. La détection et la corrélation heuristiques Mise en permettent d identifier les fichiers et les événements qui ressemblent à des logiciels malveillants et des tendances d attaques connues. Cela aide les entreprises à se défendre contre les logiciels malveillants polymorphes qui ne peuvent être détectés par une association de signature directe. Les analyses statistiques peuvent détecter des variations suspectes de comportement, particulièrement au sein des flux réseau. Blocage et applicationation Détection et Veille des 4

5 Les analyses jouent également un rôle majeur dans les réponses aux incidents, aidant ainsi les analystes à identifier les indicateurs de compromis (IOC) et à comprendre les tactiques, les techniques et les procédures des agresseurs. Une solution d analyses peut reconstituer l activité d une attaque de manière chronologique, y compris les courriels, le chat, l activité Web, le VoIP et autres sessions utilisateur, en prenant en compte le texte, les images et les fichiers associés. Reconstituer le déroulement chronologique de cette façon offre aux analystes en sécurité des outils précieux détecter les attaques au moment où elles se produisent et répondre aux questions spécifiques telles que : Qui est responsable et comment ont-ils procédé? Quels ont été les systèmes atteints et quelles données ont été compromises? L attaque se suit-elle et si tel est le cas, peut-on l arrêter immédiatement? L attaque est-elle terminée et si tel est le cas, comment peut-on éviter une récidive? Une solution d analyses peut également aider les analystes à répondre à des questions plus vastes telles que : Quelles attaques sont les plus communes, et lesquelles ont été les plus réussies? Quels systèmes sont les plus vulnérables? Quelles sont les forces et les faiblesses de nos procédures? Détection et veille des De nombreuses attaques non-répertoriées et avancées utilisent des logiciels malveillants ciblés et polymorphes, qui ne seront pas détectés par les outils basés sur la signature. Pour détecter dans des fichiers des logiciels malveillants lesquels aucune signature n existe, de nombreuses entreprises déploient des technologies d analyse dynamique qui emploient le sandboxing de nouvelle génération. Avec le sandboxing, les fichiers qui n ont pas été précédemment identifiés comme étant bons ou mauvais sont envoyés dans un Détection et Blocage et Détection Veille des et Mise en Veille des applicationation environnement protégé être exécutés. La solution enregistre et analyse les comportements malveillants ou potentiellement malveillants, par exemple, des tentatives de modification des clés registre, d accès aux fichiers liés à la sécurité, de désactivation des solutions antivirus, ou d «appel fixe» vers un serveur Commande-et-Contrôle (CnC) sur Internet. Des signatures peuvent être développées les fichiers identifiés comme étant malveillants ou suspects. Ces signatures peuvent être utilisées bloquer toutes les instances supplémentaires tentant de pénétrer le réseau, et peuvent également être partagées avec d autres entreprises à travers un service mondial de veille des. En outre, le comportement de ces fichiers malveillants offre de nombreux indices méthodes, les intentions et les objectifs de l agresseur. Ces informations peuvent être utilisées par une solution d analyses afin d aider à reconstituer et inverser l ingénierie des attaques avancées, à plusieurs phases. Blocage et protection La plupart des entreprises ont lourdement investi dans des solutions de blocage et de protection, comme les pare-feu, les passerelles Web sécurisées, les pare-feu nouvelle génération, les systèmes IPS, les appliances de gestion des unifiée (UTM), les systèmes DLP et les solutions antivirus en réseau. Ces produits sont plus efficaces lorsqu ils sont utilisés dans un environnement de protection contre les avancées, car : Les produits et de visibilité SSL assurent qu il n existe pas de «points morts» sur le trafic réseau les outils de blocage. Les outils d analyses aident à identifier les logiciels polymorphes et les nouvelles tendances d attaque, de manière à pouvoir les bloquer dans le futur. Les technologies de détection et de veille des détectent des types de logiciels malveillants jusqu alors inconnus, permettant ainsi le développement de signatures afin de bloquer ces logiciels malveillants. Niveau d intégration et donnés Dans un environnement de protection contre les avancées, un niveau d intégration fournit un ensemble complet de connecteurs et d outils d intégration, afin que les informations puissent être partagées rapidement et Blocage et Mise en Détection et Veille des application Blocage et Mise en application Détection et Veille des 5

6 de manière fiable entre les différentes solutions. Ceci garantit qu une fois que de nouveaux logiciels malveillants et de nouveaux modèles d attaques ont été reconnus, les signatures sont immédiatement disponibles les produits de blocage et de protection, y compris les passerelles Web sécurisées, les pare-feu de nouvelle génération et les systèmes DLP. Cela signifie également que des alertes peuvent être envoyées à partir de ces systèmes vers une solution d analyses, que les analystes puissent les exploiter et reconstituer la séquence d événements se produisant pendant et après l attaque, afin d en déterminer la source et le champ d application complet. Le partage d informations en devient d autant plus puissant que les entreprises peuvent accéder à une base de données mondiale, basée sur le cloud. De cette manière, les entreprises peuvent partager les signatures et les données concernant la réputation des URL, afin de pouvoir bloquer les logiciels malveillants et le trafic vers et en provenance des sites Web utilisés par les cybercriminels, les botnets, les spammers et les agresseurs contrôlés par l État. Exploiter les données de milliers d organisations et de millions d utilisateurs crée un effet de réseau qui est essentiel permettre aux entreprises de s immuniser contre les attaques non-répertoriées et les attaques ciblées dès que celles-ci sont identifiées «à l état sauvage». Protection contre les avancées tout au long du cycle de vie L environnement de protection contre les avancées évoqué jusqu ici offre aux entreprises les outils nécessaires à la mise en œuvre d une protection complète, fluide contre les avancées tout au long du cycle de vie. Les quatre prochains chapitres de ce livre blanc évoquent les différentes phases d une protection tout au long du cycle de vie, et comment chacune d entre elles peut être mise en place avec des produits et services Blue Coat. Les phases de la protection tout au long du cycle de vie, ainsi que les produits Blue Coat sélectionnés sont illustrés sur la figure 2. Résolution des incidents Security Analytics Platform Figure 2 : Une protection contre les avancées tout au long du cycle de vie à l aide de produits Blue Coat sélectionnés Résolution des incidents Enquêter et Corriger la faille Profilage de la menace et Éradication Escalade Rétrospective Renforcer et Rendre opérationnel GLOBAL INTELLIGENCE NETWORK Endiguement des incidents Analyser et atténuer Nouvelle menace Interprétation Opérations en cours Détecter et protéger Bloquer toutes les connues Escalade Événement inconnu Limitation des incidents Opérations en cours ProxySG SWG Content Analysis System SSL Visibility Appliance Security Analytics Platform avec ThreatBLADES Malware Analysis Appliance 6

7 Opérations en cours Les Opérations en cours, la première phase de la protection contre les avancées tout au long du cycle de vie, se concentrent sur la détection et le blocage des connues. La plupart des activités de cette phase sont menées à bien à l aide de technologies appartenant aux chapitres visibilité SSL, et Blocage et protection, de l environnement de protection contre les avancées évoqué précédemment. Une des activités clés de cette phase est le décryptage et la gestion du trafic réseau chiffré, de manière à ce qu il puisse être inspecté dans son ensemble. Elle est suivie par l inspection du trafic à la recherche de réseaux malveillants, de logiciels malveillants identifiés et d autres connues. Il s agit ensuite de bloquer le trafic et les fichiers indésirables. Un ensemble d actions supplémentaires peut inclure la transmission de fichiers inconnus une analyse dynamique et le signalement d activités suspectes au centre d opérations (SOC) et au personnel en charge de répondre aux incidents. Les produits et services Blue Coat les plus importants la phase Opérations en cours de la protection tout au long du cycle de vie sont : Blue Coat SSL Visibility Appliance : Il s agit d un dispositif très efficace permettant le décryptage et la gestion du trafic SSL, de manière à scanner son contenu à l aide de différents outils comme des pare-feu de nouvelle génération, des passerelles Web sécurisées, des IPS et des outils d analyses. Capable d effectuer un déchiffrement basé sur des règles, du trafic SSL entrant et sortant, arrivant et repartant par n importe quel port et n importe quel protocole, et pas seulement le trafic HTTPS sur le port 443, il peut être déployé en ligne ou hors bande. Il permet également aux administrateurs de spécifier quel trafic doit être décrypté ou non, de manière à être en conformité avec les réglementations concernant la confidentialité des données. Blue Coat ProxySG appliance et Secure Web Gateway Virtual Appliance : Ces appliances sont reconnues comme étant les passerelles Web sécurisées leader sur le marché mondial. En plus d offrir des fonctions Web essentielles, telles que l authentification de l utilisateur, le filtrage Web, la prévention de la perte de données et la gestion de la bande passante, elles peuvent être utilisées détecter les réseaux de programmes malveillants connus (malnets) et appliquer des politiques d utilisation Web acceptable. Blue Coat Content Analysis System : Cette appliance intègre l appliance ProxySG afin d orchestrer le filtrage des logiciels malveillants et l application whitelisting. Elle utilise des moteurs anti-malware simples ou doubles bloquer les connues, en s appuyant sur une base de données de plus d un milliard d enregistrements. Elle comprend une fonctionnalité de filtrage permettant d envoyer le contenu suspect analyse, et des outils de sandbox une étude plus poussée, dont la solution Blue Coat Malware Analysis Appliance et des produits de sandbox tiers. Elle est capable de réduire les fichiers envoyés à la sandbox de 37 %, en exfiltrant les bons et les mauvais fichiers connus, diminuant ainsi le nombre d appliances sandbox nécessaires. Limitation des incidents La Limitation des incidents, la seconde phase de la protection contre les avancées tout au long du cycle de vie, se concentre sur l analyse automatisée des non-répertoriées et la prévention de dommages supplémentaires. La plupart des activités de cette phase sont menées à bien à l aide de technologies appartenant aux chapitres et, Veille des, de l environnement de protection contre les avancées. Une des activités clés de cette phase est de «déclencher» des fichiers inconnus dans un environnement isolé (un sandbox) et de surveiller leurs actions. Cette phase n identifie pas uniquement les logiciels malveillants inconnus, mais elle permet aussi un enregistrement détaillé des actions malveillantes. De cette manière, les analystes peuvent comprendre le comportement de l attaque et les intentions de l agresseur. Les sources de ces fichiers potentiellement inconnus incluent le Web, la messagerie et les protocoles de transport de fichiers. Il est donc important que toutes les sources soient scannées à la recherche de logiciels malveillants avancés, non-répertoriés. Une seconde activité implique la reconstitution de l attaque dans le but d identifier les systèmes qui ont été compromis et les données auxquelles on a accédé. Les analystes et les administrateurs seront alors en mesure de réparer les systèmes vulnérables, de mettre à jour les configurations et de prendre d autres mesures empêcher la réinfection et bloquer les nouvelles instances d attaques identiques et similaires. Les produits et services Blue Coat les plus importants la phase Limitation des incidents de la protection tout au long du cycle de vie sont : Blue Coat Malware Analysis Appliance : Ce dispositif de sandboxing nouvelle génération est capable de rapidement évaluer un grand nombre de fichiers et d URL inconnus, à la recherche d indications d éventuelle activité malveillante. Il «déclenche» les fichiers dans un environnement virtualisé, sécurisé et enregistre les activités suspectes et malveillantes. Contrairement à d autres outils de sandboxing, il utilise plusieurs techniques détecter les logiciels malveillants furtifs sur machine virtuelle, y compris la détection de l événement au niveau du noyau et la capacité à imiter les actions des utilisateurs, comme les clics de souris. Il offre la possibilité unique de dupliquer les «images de référence» du bureau réel de l utilisateur, y compris les applications personnalisées, afin de détecter les attaques propres aux applications. 7

8 Malware Analysis Appliance offre également une fonctionnalité de mesure des risques afin de séparer les fichiers à faible risque des fichiers à haut risque, et une fonctionnalité d alerte, afin d avertir les administrateurs et les utilisateurs finaux. Les informations issues de l analyse des logiciels malveillants sont automatiquement partagées avec les appliances ProxySG, afin que de futures instances du logiciel malveillant identifié puissent être bloquées au niveau de la passerelle, permettant ainsi à tous les clients de bénéficier de ces connaissances. Blue Coat ThreatBLADES : Ces modules logiciels s exécutent directement sur Blue Coat Security Analytics Platform (point évoqué en détails ci-dessous). Chaque module ThreatBLADE est optimisé scanner des protocoles spécifiques, détecter et extraire des fichiers, des URL et des adresses IP, les inspecter et les catégoriser en tant que «Bon», «Mauvais» (malveillant) ou «Inconnu». Les modules ThreatBLADE alertent les analystes et les administrateurs de la présence de connues et peuvent envoyer les fichiers et les URL inconnus vers Malware Analysis Appliance déclenchement et analyse comportementale. WebThreat BLADE offre une protection complète contre les sur le Web. Il détecte les sites Web suspects et les répertorie dans plus de 100 catégories différentes ; il utilise les données de réputation URL et les adresse IP identifier le trafic réseau provenant de bots, de spammeurs, de sites de hameçonnage, de sources de logiciels malveillants et de sites Web compromis. MailThreat BLADE offre une protection en profondeur contre les dissimulées dans les s. Il extrait les fichiers joints envoyés via tous les protocoles de messagerie standard et utilise le hachage identifier les fichiers connus bons ou mauvais. FileThreat BLADE extrait et analyse les types de fichiers clés, y compris les documents Microsoft Office, Adobe Flash et PDF, les fichiers Java et EXE, les pièces jointes, les fichiers APK et les objets Web. Il utilise l analyse en temps réel détecter les fichiers malveillants et la base des données de réputation afin d identifier les récentes attaques par fichiers et les véhiculées par le biais des protocoles de transport de fichiers standard comme FTP et SMB. Résolution des incidents Résolution des incidents, la troisième phase de la protection contre les avancées tout au long du cycle de vie, implique l analyse en profondeur des attaques et la réparation des dommages causés. Les outils clés de cette phase figurent dans le chapitre à l aide des Big Data de l environnement de protection contre les avancées. Les activités clés de cette phase comprennent la reconstitution de l attaque et l analyse en profondeur de ses causes. Celles-ci permettent aux analystes et aux personnes traitant les incidents de déterminer toutes les origines et le champ d application des attaques, et d identifier les systèmes compromis et les intentions exactes des agresseurs. Pour lutter contre les attaques complexes et durables, les analystes doivent être munis d un ensemble complet de données, pas seulement des paquets, mais également des flux de session, des fichiers, des courriels et autres artefacts et les résultats de l analyse sandboxing. Ces données doivent être disponibles sur des périodes prolongées, des semaines ou des mois. En outre, l analyste a besoin d outils d analyses capables d identifier et d extraire des informations selon un indicateur spécifique de corruption, par exemple, tous les s, toutes les pièces jointes et tout le trafic précédant et suivant la présence d un logiciel malveillant. Les résultats sont utilisés évaluer et quantifier les dommages causés par les attaques, nettoyer les systèmes corrompus, mettre à jour les signatures et les informations concernant les, valider la conformité aux réglementations concernant la sécurité de l information, et améliorer les procédures informatiques afin d éviter de futures attaques. Le produit Blue Coat essentiel à la phase Résolution des incidents de la protection tout au long du cycle de vie est : Security Analytics Platform : Ce système enregistre et classifie chaque paquet qui entre sur le réseau, même réseaux modernes les plus rapides. L inspection en profondeur des paquets (DPI) offre une visibilité sur toutes les informations présentes dans les paquets capturés de la couche 2 à la couche 7, et classifie plus de applications et des milliers de métadonnées. La reconstruction des sessions et des applications convertissent le trafic à partir de paquets bruts parvenir à des artefacts significatifs comme des fichiers, des courriels, des messages instantanés, des conversations VoIP et du trafic des applications. Ces artéfacts peuvent être scannés et analysés par des IPS, des solutions antivirus et des outils d analyse de logiciels malveillants, et offrent un contexte aux outils d analyses. Security Analytics Platform peut même identifier et reconstituer des fichiers complexes PHP, Ajax et JavaScript. Non seulement, Security Analytics Platform collecte et stocke des données complètes, mais elle offre également des outils essentiels d analyses des Big data, afin de rapprocher et de traiter des volumes considérables de données, dans le but de détecter les attaques en cours et de répondre aux problématiques essentielles post-intrusion. En utilisant les données et les outils offerts par Security Analytics Platform, les analystes peuvent appliquer ce que Blue Coat appelle la méthodologie «CRIME» et déterminer : 8

9 Le Contexte d une menace ou d une intrusion - Que s est-il passé avant, pendant et après l attaque? La Racine (l origine) Quelle est l origine de l attaque et qui en est responsable? L Impact Quels ont été les systèmes atteints et quelles données ont été compromises? Quels réseaux et quels utilisateurs ont été affectés et quels artéfacts dangereux sont susceptibles d être encore sur le réseau? Mitigation Quelles mesures doivent être prises résoudre les problèmes causés par l attaque et l empêcher de reprendre? Éradication Qu est-ce qui doit être fait effacer les effets de bord de l intrusion et empêcher des attaques similaires à l avenir? Security Analytics Platform offre à performances et évolutivité grâce à une capture de paquets complète allant jusqu à 10 Gbits/s. Elle peut fournir un contexte aux alertes reçues des pare-feu nouvelle génération, des IPS, des SIEM, des DLP et des produits d analyses de logiciels malveillants. Les options de déploiements incluent le logiciel, des appliances dédiées et des appliances virtuelles. Blue Coat Global Intelligence Network Au cœur de la protection contre les avancées tout au long du cycle de vie, se trouve le Global Intelligence Network, qui partage les données concernant les entre des milliers d entreprises. En diffusant rapidement les informations logiciels malveillants, les URL et les adresses IP suspectes, les tendances d attaque récemment découverts, et d autres données concernant les, un Global Intelligence Network peut : Aider à bloquer les attaques non-répertoriées et ciblées au niveau de la passerelle, dès qu elles apparaissent à l horizon. Fournir des informations aux analystes et aux personnes traitant les incidents afin d analyser les plus rapidement et plus précisément. Établir des listes blanches et des listes noires en temps réel afin de réduire le nombre de fichiers inconnus nécessitant une analyse par les systèmes anti-malware et sandboxing. Le Global Intelligence Network, alimenté par la défense collaborative Blue Coat WebPulse, crée un écosystème permettant de collecter et de partager des données entre plus de entreprises, en provenance de 75 millions d utilisateurs, regroupant des fournisseurs de technologie leaders sur le marché et des sources indépendantes de données concernant les. Il dispose de laboratoires d étude des dotés de professionnels chevronnés de la sécurité, qui détectent les avancées en utilisant plusieurs moteurs à la pointe de la technologie en matière de, du sandboxing et des analyses comportementales, des règles de corrélation, des processus d apprentissage machine et d autres techniques sophistiquées. Résumé et implications commerciales Pour arrêter les cybercriminels, les hacktivistes et les pirates informatiques soutenus par l État, les entreprises doivent aller au-delà des défenses de sécurité traditionnelles basées signatures et les produits SIEM. Ces technologies restent essentielles dans une stratégie moderne de défense en profondeur, mais les agresseurs ont trouvé trop de façons de se soustraire à ces dernières, qui offrent un ensemble de données et d outils trop limités détecter de manière fiable les attaques en cours et identifier des modèles dans l historique des informations. La solution est d avancer vers une approche plus complète de la protection contre les avancées. Dans cette idée, un composant offre des données un blocage plus efficace et une meilleure analyse de l inconnu. Un composant Big Data Security Analytics identifie les inconnues et fournit des données et des outils de manière à ce que les analystes en sécurité puissent effectuer une analyse historique complète et remonter à l origine des vulnérabilités et des attaques. Un composant Detection and Threat Intelligence offre des outils supplémentaires comme le sandboxing afin d identifier les logiciels malveillants inconnus et d aider à l acquisition d informations en temps réel à partir de milliers de sources externes. Le blocage et la protection deviennent plus efficaces, car les outils de blocage sont dotés d informations mises à jour connues et inconnues. Lorsque ces technologies sont déployées créer une protection contre les avancées tout au long du cycle de vie, les entreprises maximisent leurs capacités à détecter et à bloquer les attaques connues, à analyser et contenir les non-répertoriées et à reconstruire et assainir leur environnement même après les attaques les plus élaborées. Il en résulte une meilleure défense contre les connues, une réduction de la durée des attaques réussies ainsi qu une nette diminution en termes de perte du chiffre d affaires, de la productivité ou de la fidélité client, des frais de notification d intrusion et des coûts de nettoyage. Pour plus d informations concepts et les produits évoqués dans ce livre blanc, et déterminer comment ces solutions peuvent vous aider dans votre environnement, veuillez visitez le site Web Blue Coat sur 9

10 Blue Coat Systems Inc. Siège social Sunnyvale, CA, États-Unis Siège social la région EMEA Hampshire, Royaume-Uni Blue Coat Systems, Inc. Tous droits réservés. Blue Coat, les logos Blue Coat, ProxySG, PacketShaper, CacheFlow, IntelligenceCenter, CacheEOS, CachePulse, Crossbeam, K9, le logo K9, DRTR, Mach5, Packetwise, Policycenter, ProxyAV, ProxyClient, SGOS, WebPulse, Solera Networks, les logos Solera Networks, DeepSee, «See Everything. Know Everything.» (Tout voir. Tout savoir), «Security Empowers Business» ( ) et BlueTouch sont des marques commerciales ou déposées de Blue Coat Systems, Inc. ou de ses filiales aux États-Unis et dans d autres pays. Cette liste peut être incomplète, et l absence d une marque commerciale dans cette liste ne signifie pas qu il ne s agit pas d une marque commerciale de Blue Coat ou que Blue Coat en ait abandonné l utilisation. Toutes les autres marques commerciales mentionnées dans le présent document détenues par des tiers appartiennent à leurs propriétaires respectifs. Ce document est proposé à titre d information uniquement. Blue Coat n offre aucune garantie explicite, implicite, ni statutaire quant aux informations contenues dans ce document. Les produits, services techniques et autres données techniques Blue Coat mentionnés dans ce document sont soumis aux contrôles à l export, aux sanctions pénales, réglementations et exigences en vigueur aux États-Unis et peuvent être soumis aux réglementations d importation et d exportation en vigueur dans les autres pays. Vous acceptez de vous conformer strictement à ces lois, réglementations et exigences et reconnaissez qu il est de votre responsabilité d obtenir tout permis, licence ou approbation susceptible d être requis exporter, réexporter, transférer dans un pays ou importer après la livraison. v.wp-revolutionizing-advanced-threat-protection-a4-env1b-0714 Siège social l Asie-Pacifique Singa