DÉTECTION ET NEUTRALISATION INTELLIGENTES DES MENACES

Transcription

1 DÉTECTION ET NEUTRALISATION INTELLIGENTES DES MENACES Livre blanc RSA PRÉSENTATION Les entreprises doivent aujourd hui apprendre à faire face à des infiltrations constantes. Il devient très difficile, voire impossible, de bloquer l accès des cyberpirates aux environnements informatiques des entreprises, car des attaques personnalisées peuvent facilement contourner les outils de détection traditionnels et exploiter les failles inhérentes aux réseaux modernes. Cependant, une infiltration ne doit pas nécessairement aboutir à un vol de données ou à d autres formes de dégâts pour les entreprises, surtout si elles passent maîtres dans la détection et la neutralisation précoces des intrusions. Pour détecter les attaques avant qu elles nuisent, les équipes de sécurité doivent réduire leur dépendance aux formes passives de détection des menaces, telles que les alertes des outils d analyse basés sur signature. Elles doivent plutôt rechercher activement les intrus en surveillant en permanence tout signe subtil d une activité malveillante ou suspecte dans leur environnement informatique. Le repérage de ces signes précoces de problème oblige les entreprises à cultiver de nouvelles capacités en matière d analyse des données et de résolution d incident. Le développement de nouvelles compétences peut cependant se révéler rédhibitoire pour des équipes de sécurité bloquées par leur manque d effectifs et débordées par l étendue des applications, infrastructures et menaces qui ne cessent de se multiplier. Le défi auquel la plupart des équipes de sécurité sont confrontées, compte tenu de leurs contraintes, consiste à classer par ordre de priorité les problèmes qu elles doivent traiter, c est-à-dire distinguer les menaces les plus graves de la myriade des simples nuisances. Ce défi trouve sa solution avec la sécurité intelligente, une stratégie de sécurité informatique fournissant la visibilité, la puissance d analyse et les mesures correctives nécessaires pour permettre aux entreprises de limiter le risque lié à l utilisation du canal numérique. La sécurité intelligente améliore la vitesse et l efficacité de la détection et de la neutralisation des cybermenaces : en assurant la visibilité de l activité numérique sur les logs, sur le réseau et aux points d accès ; en procédant à l analytique avancée de sources de données variées pour détecter les menaces cachées et orienter les décisions relatives aux meilleurs moyens de créer une réponse ciblée et efficace ; en recourant à une détection des malwares sans signature sur les réseaux et aux points d accès ; en aidant les équipes de sécurité à accroître leur efficacité par le biais de processus performants, de l automatisation des workflows, de renseignements sur les menaces et de formations. Pour mettre en place une sécurité intelligente en matière de détection et de neutralisation des menaces, les entreprises doivent renforcer leurs capacités dans quatre domaines : 1. une surveillance constante et complète du réseau et des points d accès, incluant des capacités telles que la capture de paquets complets et la détection de menaces sur les hôtes basée sur le comportement ; 2. des techniques d analytique avancées capables de parcourir de grandes quantités d information (trafic réseau, etc.) en temps presque réel afin de détecter les comportements suspects et d accélérer les enquêtes ; 3. une analyse des malwares à l aide de méthodes qui ne dépendent pas des signatures de fichier, mais étudient directement le comportement réel des exécutables collectés sur le réseau ou aux points d accès afin de détecter toute activité hostile ; 4. des pratiques de détection et de neutralisation des incidents qui alignent le personnel, les processus et les technologies de sécurité de façon à rationaliser et à accélérer le workflow, pour permettre aux équipes en charge des opérations de sécurité de passer moins de temps sur les tâches de routine et de se consacrer davantage à la protection des ressources prioritaires et à la neutralisation des menaces les plus dangereuses.

2 SOMMAIRE Présentation...1 Des failles permanentes... 3 Détection et neutralisation intelligentes des menaces... 3 Surveillance du réseau et des points d accès : l œil à tout... 4 Visibilité complète du réseau et des points d accès... 4 Collecte et analyse syntaxique des données en temps réel...5 Déploiement partout où une surveillance est nécessaire...5 Analytique avancée : à la découverte des menaces cachées...5 Une plate-forme intégrée unique assurant la surveillance et l analytique de la sécurité...5 Analyse sans délai du Big Data... 6 La détection basée sur les comportements plutôt que sur les signatures...7 L évolutivité sans dégradation des performances...7 Analyse des malwares : la confiance zéro...7 Détection des malwares adaptée au risque... 8 Corrélation centralisée de l activité suspecte des points d accès... 8 Des alertes hiérarchisées pour accélérer les procédures d enquête et de neutralisation des malwares... 8 Résolution des incidents : droit au but... 9 Pratiques et planification d une préparation efficace aux failles... 9 Résolution intelligente des incidents pour des résultats plus rapides et plus satisfaisants... 9 Contexte consolidé pour accélérer les enquêtes...10 Conclusion...10 Solutions de détection et de neutralisation intelligentes des menaces proposées par RSA page 2

3 DES FAILLES PERMANENTES La plupart des environnements informatiques d entreprise ont été infiltrés par des tiers. Souvent, les pirates ont établi une présence persistante. Il ne s agit pas là d un constat alarmiste, mais d une réalité créée par une catégorie différente de pirates qui tire parti des réseaux hyperconnectés modernes. Aujourd hui, les pirates les plus dangereux ne sont pas des militants à leurs heures perdues ni des fraudeurs cherchant à nuire ou à faire passer un message. Ce sont des professionnels en quête de profit ou des États-nations soucieux de faire avancer leur programme stratégique qui bénéficient de nombreux avantages. L interconnexion croissante des systèmes et des applications informatiques est une source d efficacité et de possibilités nouvelles pour les entreprises. Les réseaux s ouvrent à davantage de partenaires et de chaînes logistiques afin de faciliter des processus métiers tendant vers toujours plus de collaboration. Mais les pirates exploitent eux aussi cette ouverture en ciblant les vulnérabilités de la chaîne de valeur et en transformant les failles des participants moins protégés en faille collective. Entre-temps, les avantages qu offrent la virtualisation et l outsourcing des infrastructures et applications informatiques sont devenus incontournables. Pourtant, la migration vers le Cloud délocalise également des fonctions informatiques critiques, souvent vers plusieurs sites dont les politiques et les procédures en matière de sécurité de l information peuvent varier. Les environnements interconnectés modernes sont plus difficiles à protéger et fournissent aux intrus beaucoup plus de cachettes pour leurs activités. Si l on ajoute le fait que de nombreux pirates modifient les malwares pour échapper à la détection des outils d analyse traditionnels basés sur signature (logiciels antivirus, pare-feu, systèmes de détection d intrusion, etc.), l infiltration est visiblement devenue la règle. La question est de savoir comment les entreprises peuvent s adapter à cet état de faille permanente. Les équipes de sécurité surchargées ne peuvent plus se focaliser sur la seule prévention des infiltrations. Elles doivent concilier la prévention des attaques (une mission impossible) avec des compétences complémentaires en détection et en neutralisation des attaques. Les entreprises modernes sont peut-être vulnérables à l infiltration, mais cela ne signifie pas que le vol de données et les dommages sont inévitables. Elles doivent identifier et neutraliser de façon proactive les menaces présentes au sein de leur environnement informatique avant que les pirates atteignent leurs objectifs. Le meilleur moyen d y parvenir consiste à tirer parti de la sécurité intelligente, une stratégie permettant de relever les défis actuels les plus sérieux et les plus critiques en matière de sécurité. Détection et neutralisation intelligentes des menaces La sécurité intelligente aide les entreprises à neutraliser les cybermenaces avant qu elles posent de graves problèmes. Cette stratégie fournit les capacités suivantes : visibilité inédite des réseaux et de leurs points d accès, grâce à la capture et à l analyse syntaxique d énormes quantités de données relatives à la sécurité ; analytique sophistiquée permettant de parcourir les données, de repérer les anomalies et d avertir les entreprises des problèmes potentiels liés à leurs informations ; activation de processus de résolution des incidents qui améliorent sensiblement l efficacité des enquêtes et des mesures correctives. page 3

4 La sécurité intelligente arrête les cyberattaques avant qu il ne soit trop tard Mouvements libres Reclassement et exfiltration Persistance? Détection tardive Besoin d une sécurité intelligente pour la détection à ce niveau Point habituel de découverte ou de notification Chaîne de frappe Ciblage Première exposition Implantation réseau Exposition du domaine Pour appliquer la stratégie de sécurité intelligente à la détection et à la neutralisation des incidents, les entreprises doivent développer leurs capacités dans quatre domaines étroitement liés qui sont essentiels pour découvrir, analyser et neutraliser les attaques avancées : 1. surveillance du réseau et des points d accès ; 2. analyse avancée des données relatives à la sécurité ; 3. identification et analyse des malwares ; 4. résolution des incidents et neutralisation des failles. SURVEILLANCE DU RÉSEAU ET DES POINTS D ACCÈS : L ŒIL À TOUT Compte tenu des flux de données qui circulent en permanence sur le réseau, la tentation était grande de centrer les activités de collecte et d analyse des données sur certaines zones à risque. Récemment encore, il s agissait d ailleurs de la seule option disponible. Les équipes de sécurité collectent et analysent souvent les logs des systèmes stratégiques, mais cette méthode de détection des menaces laisse aux pirates chevronnés de nombreuses zones non couvertes à exploiter. La sécurité intelligente vise à supprimer ces zones en fournissant une visibilité complète du réseau et des points d accès tels que les serveurs et les ordinateurs des employés. Visibilité complète du réseau et des points d accès Les solutions de sécurité intelligente utilisent notamment les logs comme source de données, mais l intégration de fonctionnalités de capture des paquets réseau leur offre une bien meilleure visibilité. Une capture de paquets réseau complets comprend l enregistrement, l'analyse syntaxique, la normalisation, l analyse et le réassemblage de la totalité du trafic de données sur chaque couche de la pile réseau. Lorsque le trafic réseau est capturé, il est analysé et balisé pour faciliter l analyse et l examen ultérieurs des menaces. La capture et le balisage des données réseau permettent aux analystes de la sécurité de reconstituer les sessions et les activités des utilisateurs afin de connaître non seulement des détails élémentaires tels que l heure ou l adresse IP à laquelle des paquets de données spécifiques ont été transmis, mais également de comprendre exactement quelles informations sont entrées et sorties et les éventuels dommages qui en découlent. Grâce à la collecte de paquets complets et à la reconstitution de sessions, les entreprises peuvent détecter les anomalies de sécurité et simuler les incidents avec précision afin d enquêter sur les pertes et de résoudre plus rapidement et plus efficacement les problèmes. page 4

5 Les solutions de sécurité intelligente fournissent également une visibilité détaillée des activités réalisées sur les points d accès, y compris les serveurs et les ordinateurs portables. Pour détecter les activités suspectes sur les points d accès qui pourraient indiquer la présence d un malware ou d autres menaces, les solutions doivent analyser à la fois ce qu il se passe dans la mémoire de l ordinateur et ce qui est stocké sur le disque physique. En comparant les processus en cours d exécution et les fichiers présents sur le disque, sans passer par les systèmes d exploitation et les Hypervisors concernés qui peuvent eux-mêmes être manipulés par des malwares, les entreprises savent si les exécutables et les processus des points d accès sont légitimes ou s ils ont été infectés. Pour identifier et examiner plus rapidement les menaces, il est indispensable de disposer d une radiographie détaillée des points d accès et d une détection automatisée des activités suspectes. Collecte et analyse syntaxique des données en temps réel Des données de sécurité telles que les logs, les paquets réseau et les activités des points d accès sont collectées à diverses sources, puis décomposées et stockées de manière à faciliter la recherche et l analyse centralisées d informations. Par exemple, les systèmes efficaces de collecte des paquets réseau décomposent et balisent le trafic des données en vue de leur indexation, de leur stockage et de leur analyse ultérieurs. Les données sur la sécurité interne et la visibilité sont complétées par des renseignements sur les menaces provenant de sources externes. Les données extérieures sur les menaces permettent aux entreprises de tirer parti de l expérience de tiers pour améliorer leurs propres capacités de détection. Déploiement partout où une surveillance est nécessaire En cas de besoin urgent de visibilité, par exemple lorsqu une entreprise est en pleine enquête sur un incident, le déploiement doit impérativement être rapide et simple. Les outils de surveillance du réseau et des points d accès sont souvent opérationnels en quelques jours là où ils sont nécessaires. Pour y parvenir, il faut installer l équipement doté de fonctionnalités de capture des paquets complets sur les principaux points d entrée et de sortie du réseau de l entreprise, mais également capturer le trafic de données circulant sur les systèmes informatiques chargés de traiter les informations relevant de la propriété intellectuelle et les autres données de grande valeur. Les agents logiciels qui analysent l activité liée aux malwares sur les points d accès peuvent en général être envoyés en quelques heures, en fonction de l ampleur et de l échelle de l implémentation. ANALYTIQUE AVANCÉE : À LA DÉCOUVERTE DES MENACES CACHÉES La visibilité inédite offerte par une stratégie de sécurité intelligente va beaucoup plus loin qu une simple capture des données détaillées nécessaires pour reconstituer un scénario cybercriminel. Elle permet d améliorer considérablement la proactivité et la prévisibilité de la détection des menaces, afin que les entreprises puissent prévenir les violations graves et les dégâts pour leurs activités. Les systèmes de sécurité intelligente offrent de nouvelles méthodes d analyse et de reporting concernant les comportements des utilisateurs, des machines et des ressources. Elles apprennent les comportements normaux d un système, d un utilisateur ou d une ressource donnés, puis recherchent des signes subtils et donnent l alerte en cas d écart. Les systèmes de sécurité intelligente reposent sur les principes suivants : Une plate-forme intégrée unique assurant la surveillance et l analyse de la sécurité Les opérations de sécurité intelligente centralisent la surveillance, la détection, l analyse, les enquêtes et le reporting des anomalies et des incidents. Les analyses peuvent naviguer parmi des téraoctets de données des fichiers log, de métadonnées et de sessions réseau reconstituées en quelques clics. Les détails concernant les réseaux et les points d accès étant disponibles sur un système centralisé doté d une console unique, les analystes n ont pas besoin de jongler entre plusieurs outils et applications de sécurité. Les requêtes tirent profit de cette intégration et font gagner un temps considérable aux analystes. Autrement dit, il suffit de quelques minutes pour traiter des enquêtes qui prenaient plusieurs jours auparavant. page 5

6 Ce haut niveau d efficacité est rendu possible par l intégration des technologies. La plate-forme d analytique doit s associer à différents outils qui produisent des informations relatives à la sécurité des serveurs, des réseaux, des points d accès et des autres systèmes informatiques critiques. L'analyse syntaxique et la gestion des métadonnées consolident les événements, les logs et les données réseau de sources multiples pour qu ils soient tous accessibles dans un système centralisé d analyse, d alerte et de reporting. Cette intégration s étend au-delà des systèmes internes en exploitant les renseignements externes sur les menaces. Pour assurer la détection opportune des problèmes de sécurité, il est indispensable que les flux d informations s intègrent directement dans la plate-forme d analytique, qu il s agisse de renseignements émanant de la communauté open source, des domaines classés APT, des listes noires ou des proxys suspects. L analyse sans délai du Big Data Les systèmes de sécurité intelligente capturent et analysent de grandes quantités de données en perpétuelle évolution qui leur sont fournies par des sources diverses. Des téraoctets de données sont ainsi manipulés en temps réel. L analyse de la sécurité est stratifiée pour permettre différents types de détection. Par exemple, les données peuvent être capturées et analysées lorsqu elles circulent sur le réseau. Ce type d analyse au moment de la capture repère les activités suspectes en recherchant les outils, les services, les communications et les techniques fréquemment utilisés par les pirates, sans s appuyer sur les logs, les événements ou les signatures d autres systèmes de sécurité. La détection des logiciels extérieurs au navigateur utilisant le HTTP, des protocoles communiquant sur des ports inhabituels et des exécutables intégrés dans les fichiers PDF est un exemple de cette analyse au moment de la capture. De plus, ces outils sophistiqués peuvent détecter des signes subtils d attaque en reliant des événements qui semblent inoffensifs pris séparément, mais posent problème s ils sont associés. Les techniques d analyse combinent les données internes de différentes sources par le biais de métadonnées. Ces mécanismes de détection avancée constituent également des dispositifs d alerte permettant d être avertis au plus tôt d une infiltration potentielle. Les flux d information sont traités au fur et à mesure de leur production, c est-à-dire que les activités suspectes sont détectées quand les équipes de sécurité ont encore le temps d arrêter les attaques en cours. Grâce aux systèmes de sécurité intelligente, les équipes en charge des opérations de sécurité peuvent également analyser par lot de grandes quantités de données historiques sur la sécurité. Ces données sont nécessaires pour satisfaire les exigences de rétention des données et d audit de la plupart des entreprises, mais elles permettent également de découvrir des tactiques que les pirates ont pu mettre des mois à exécuter et qui sont peut-être même encore appliquées. L analyse par lot des archives de données de sécurité permet par exemple de découvrir des cyberattaques passées inaperçues qui sont fondées sur la transmission ponctuelle de données illicites pendant plusieurs semaines ou plusieurs mois sous la forme de flux furtifs de petit volume. Ces techniques lentes et discrètes sont difficiles à repérer lorsqu elles sont appliquées, car elles sont conçues pour paraître inoffensives sous couvert des processus et des flux de communication existants. Elles ne deviennent généralement suspectes que lorsqu elles sont exécutées selon un mode particulier pendant une période déterminée. Les analyses automatisées et détaillées des archives de données de sécurité peuvent mettre au jour des pirates en pleine implantation, mais aussi déceler des pertes d information dont les entreprises n étaient pas nécessairement conscientes. Souvent, les analyses par lot des données de sécurité peuvent révéler une mine d informations sur les techniques des pirates et sur les indicateurs de menaces dont les équipes de sécurité pourront se servir par la suite pour détecter des attaques semblables. Surtout, les techniques d analyse par lot permettent aux entreprises d apprendre les comportements «habituels» d un environnement informatique, afin que les écarts ultérieurs, souvent signes de problème, puissent être identifiés et analysés dès qu ils se produisent. page 6

7 LA DÉTECTION INTELLIGENTE DES MENACES EN ACTION Lorsque les infiltrations ne sont pas détectées, les pirates s approprient habituellement des privilèges supérieurs, se déplacent à l intérieur des systèmes informatiques et se font passer pour des utilisateurs légitimes après avoir obtenu l accès au domaine. À ce stade, ils ne peuvent plus être détectés et éliminés par les outils de sécurité conventionnels. Les équipes de sécurité doivent alors contrer la menace par des recherches proactives persistantes. Ces principes sont décrits dans un rapport de RSA sur la recherche des menaces qui évoque le recours de plus en plus fréquent à des Web shells par les cyberattaques. Parmi les Web shells falsifiés, on peut trouver des fichiers autonomes qui contiennent uniquement le code d un Web shell ou qui intègrent un code malveillant directement dans des pages Web légitimes. Étant donné que les Web shells défient les définitions traditionnelles des malwares, ils sont pratiquement invisibles pour les logiciels antivirus et les autres outils de sécurité traditionnels. Ces attaques comportent de nombreux avantages par rapport aux chevaux de Troie et aux autres formes conventionnelles de malware : Le taux de détection est faible en raison de la diversité et de la personnalisation des codes et parce que les pirates peuvent dissimuler leurs activités illicites derrière un trafic normal et des fichiers placés sur des serveurs Web. Les pirates peuvent conserver une persistance de faible niveau dans l environnement informatique en utilisant différentes méthodes pour mettre à jour et remplacer les portes dérobées malveillantes. L entrée initiale est obtenue en attaquant le framework des applications Web plutôt que par un hameçonnage ciblé, plus facile à identifier. La connectivité peut être lancée depuis n importe quelle adresse source, rendant inefficace le blocage des adresses IP. Aucune activité de balisage caractéristique n est nécessaire. Lisez le blog de RSA pour découvrir comment la détection intelligente des menaces a aidé un grand nombre de sociétés à repérer et à neutraliser les attaques par Web shell. La détection basée sur les comportements plutôt que sur les signatures Les systèmes de sécurité intelligente surveillent l environnement informatique en quête de signes d un comportement inhabituel (de la part des personnes, des applications, de l infrastructure ou des communications), sans se cantonner à des indicateurs explicites tels que les signatures de malware déjà identifiés ou les adresses IP et domaines mis sur liste noire. Les pirates chevronnés peuvent contourner ces approches statiques et caractéristiques de la surveillance en modifiant des lignes de code, en provisionnant une nouvelle machine virtuelle sur un Cloud public ou en consignant un nouveau domaine Internet comme centre de commande et de contrôle ou comme site de destination. Toutefois, il est beaucoup plus difficile pour un pirate de contourner des systèmes de surveillance de la sécurité qui recherchent les schémas et les comportements inhabituels. Tôt ou tard, les malwares ou les utilisateurs hostiles doivent réaliser une action inhabituelle, qui sort des normes du système, et c est à ce moment-là que les systèmes d analyse intelligente les repèrent. Par exemple, pour détecter un malware, les solutions de détection des menaces aux points d accès ne recherchent pas des fichiers à la nocivité connue, mais des comportements suspects. Parce qu ils comparent l activité qui se déroule en mémoire avec celle qui devrait s y dérouler d après les fichiers installés sur le disque local, les outils de détection de malware sont mieux à même de cerner les divergences et d établir de façon directe et fiable la présence d un code illégal. Les systèmes de sécurité intelligente déterminent les caractéristiques d un «bon» comportement sur un environnement informatique en surveillant et en intégrant diverses activités humaines ou mécaniques, qu il s agisse des ports de serveur généralement utilisés pour les communications extérieures ou des sites et des habitudes de connexion de chaque employé. Les activités observées qui sortent de l ordinaire sont signalées pour enquête aux analystes de la sécurité. Si les analystes écartent un événement à titre de faux positif, les outils de sécurité intègrent cette expérience et sont moins susceptibles de signaler les futures récurrences. L évolutivité sans dégradation des performances La collecte et l analyse des données ne sont pas gérées par une base de données monolithique et centralisée, mais par une architecture informatique distribuée. En répartissant la charge sur plusieurs nœuds, les entreprises obtiennent des résultats plus rapides ainsi qu un système évolutif et très modulaire. Pour activer la collecte et l analyse de données sur un nouveau segment de réseau ou dans une succursale, il suffit aux entreprises d ajouter un nœud. Ce système distribué modulaire peut évoluer de façon linéaire à mesure que les obligations de l entreprise en matière d analytique des données augmentent, sans dégradation des performances ni augmentation forte des coûts. ANALYSE DES MALWARES : LA CONFIANCE ZÉRO Les malwares utilisés à des fins de cyberattaques ciblées sont rarement des logiciels hostiles dont les spécialistes ont déjà signalé le caractère malveillant. Pourtant, certains outils de sécurité ont encore pour mission de protéger les entreprises en recherchant dans leur environnement informatique des signatures de malware faciles à modifier. Les systèmes de sécurité intelligente écartent les analyses basées sur signature en raison de leur inefficacité manifeste. Ils utilisent une approche de la détection fondée sur la «confiance zéro», qui présume systématiquement que les programmes sont hostiles, les communications suspectes, les ordinateurs infectés et les systèmes d exploitation corrompus. page 7

8 Détection des malwares adaptée au risque Les outils de détection avancée des menaces examinent le comportement des machines, des réseaux et des processus pour déterminer s ils ont été compromis par un malware. Ces outils ne se contentent pas de détecter les incidents ; ils évaluent les risques et classent les alertes par ordre de priorité en vue de leur résolution. Les fichiers jugés malveillants peuvent obtenir une faible priorité s il est établi qu ils relèvent des malwares «communs», sources de nuisance plus que d une réelle menace. À l inverse, des fichiers ne présentant aucun signe extérieur de falsification peuvent contenir un exécutable personnalisé, conçu pour n être exécuté que sur certains systèmes ou sur ordre d une commande masquée. Pour détecter ce type dangereux de malware personnalisé, les systèmes de détection avancée des menaces utilisent un ensemble de techniques d analyse permettant d évaluer le niveau de risque des fichiers suspects. Par exemple, une entreprise peut définir une règle exigeant que le système de sécurité analyse chaque nouvel exécutable qui accède à ses réseaux. Le système de détection des malwares place alors les nouveaux exécutables dans un sandbox : il les exécute dans un environnement de quarantaine, enregistre toutes leurs activités et réévalue à la hausse leur niveau de risque si des comportements suspects apparaissent (modification des paramètres de registre, changement des DLL du système d exploitation, etc.). Bien entendu, des logiciels légitimes peuvent également exécuter ces actions pour intégrer des fonctions dans un logiciel existant ou pour installer un correctif, par exemple, mais si le nouvel exécutable accompagne ce comportement du lancement de connexions réseau inhabituelles, son niveau de risque général grimpe en flèche. La détection intelligente des malwares corrèle plusieurs facteurs pour définir le niveau de risque selon les lois de la probabilité et présente des alertes classées par ordre de priorité aux analystes de la sécurité. C est à ces personnes qu il revient en fin de compte de décider de la gravité d une menace, mais leurs décisions sont largement accélérées et enrichies par le travail de fond effectué par leurs outils de sécurité intelligente. Corrélation centralisée de l activité suspecte des points d accès Les résultats des analyses aux points d accès sont envoyés à un serveur central sur lequel les fichiers connus et inconnus sont identifiés et toute activité suspecte est signalée. Les fichiers (processus, pilotes, DLL, etc.) sont analysés et les niveaux de suspicion sont attribués en fonction du comportement observé. Le comportement des fichiers peut être corrélé à l échelle globale de l entreprise pour déterminer si un malware potentiel actif sur une machine n est pas dormant sur une autre. Les entreprises sont également renseignées sur la prévalence d un fichier donné sur l ensemble de l environnement. Par exemple, si un fichier apparaît sur des milliers de machines de l entreprise, il peut s agir d une application standard que les analystes de la sécurité pourront ignorer lors de leur enquête. À l inverse, si un fichier malveillant est détecté, les entreprises peuvent rapidement évaluer le périmètre de l infection en affichant instantanément toutes les machines qui le contiennent. Des alertes hiérarchisées pour accélérer les procédures d enquête et de neutralisation des malwares Pour alléger la charge des analystes de la sécurité, une approche intelligente de la détection des malwares intègre les résultats des analyses précédentes et les fichiers de référence de l environnement pour signaler automatiquement les fichiers inconnus suspects. Avant leur présentation aux analystes, les résultats de l analyse sont comparés à un référentiel général des éléments que les analystes ont déjà examinés et confirmés, et qui sont donc des fichiers fiables. Ces derniers sont retirés des résultats pour faciliter la tâche des analystes de la sécurité. page 8

9 Les consoles de détection des menaces aux points d accès ne se contentent pas de présenter une liste des résultats de l analyse. Elles classent également les problèmes potentiels par ordre de priorité afin que les analystes sachent par où commencer leur enquête. Pour accélérer la procédure, la console fournit des détails précis sur les problèmes potentiels. Par exemple, elle relie les comportements suspects liés à un fichier (pilote, processus, DLL, etc.), puis affiche les informations connues sur celui-ci (taille, attributs, hachage fichier MD5) par le biais d une analyse statique et heuristique. Les analystes de la sécurité utilisent les outils et les informations fournis par la console pour déterminer si le fichier est malveillant et doit être mis sur liste noire, ou s il est sans danger et peut être mis sur liste blanche. Si un élément est jugé malveillant, toutes les occurrences du problème sur l ensemble de l environnement informatique peuvent instantanément être identifiées. Enfin, lorsqu une solution est trouvée, l équipe en charge des opérations de sécurité peut effectuer l analyse approfondie requise et/ou nettoyer tous les points d accès concernés. RÉSOLUTION DES INCIDENTS : DROIT AU BUT La taille et la complexité croissantes des environnements informatiques élargissent le champ des vulnérabilités, mais cela ne signifie pas que tous les points d entrée potentiels présentent un risque identique. En cas de suspicion d une attaque ou d un incident, les équipes de sécurité doivent intervenir rapidement pour couper l accès des pirates à leur environnement informatique et limiter les dégâts. Cela demande une planification, une formation du personnel et, parfois, une aide extérieure. Pratiques et planification d une préparation efficace aux failles Les équipes de sécurité préparées savent quelles sont les ressources d informations précieuses pour l entreprise et les systèmes, applications et utilisateurs qui y ont accès. La connaissance de ces paramètres aide les analystes de la sécurité à limiter leur champ d investigation lors d une violation, afin de résoudre les problèmes plus rapidement et de façon plus fiable. Les équipes en charge des opérations de sécurité doivent procéder à des évaluations du niveau de préparation aux failles et effectuer des exercices de neutralisation pour améliorer la vitesse et l efficacité de leurs réactions aux cyberattaques. Pendant ces évaluations, les équipes de sécurité répertorient les ressources informatiques de valeur qu il est impératif de protéger, passent en revue le workflow des procédures d enquête et de neutralisation des incidents et identifient les points à améliorer. La planification et les pratiques proactives obligent les entreprises à aligner leurs politiques de sécurité à leurs priorités métiers et à leurs obligations réglementaires. Cela leur permet d améliorer progressivement leurs capacités en matière de détection, de gestion et de neutralisation des menaces. Elles optimisent également les effectifs et les compétences de l équipe en charge des opérations de sécurité afin de déployer des ressources limitées ayant un impact maximal. Enfin, cela conduit à offrir des formations ciblées visant à améliorer les capacités de résolution des incidents du personnel de sécurité. Résolution intelligente des incidents pour des résultats plus rapides et plus satisfaisants Les équipes en charge des opérations de sécurité détectent souvent des signes possibles d infiltration ou de faille, mais elles doivent lancer une procédure d enquête pour en comprendre la cause. Or, les entreprises explorent souvent en vain les causes potentielles pendant des semaines, voire des mois. Dans ce cas, il est utile de faire appel à des personnes proposant une expertise et des outils spécialisés dans la résolution des incidents (IR). Ces spécialistes peuvent déployer des technologies qui capturent l activité des réseaux et des points d accès sur les segments clés de l environnement informatique. À partir des analyses et des informations complémentaires que fournissent ces technologies, les professionnels chevronnés peuvent généralement repérer l origine et le mode d exploitation des failles de sécurité, mais également bloquer les cyberattaques en cours beaucoup plus rapidement qu une entreprise livrée à elle-même. page 9

10 Contexte consolidé pour accélérer les enquêtes Les solutions de sécurité intelligente collectent une grande variété d informations de référence et de détails complémentaires pour faciliter la procédure d enquête sur un incident. Les alertes de plusieurs systèmes de surveillance de la sécurité sont compilées sur une même console de gestion, sur laquelle les analystes peuvent naviguer pour afficher en quelques clics les sources des données, les machines concernées et toutes autres informations relatives à l incident. La console de gestion de la sécurité s intègre également avec le logiciel de gestion des risques de l entreprise afin de fournir des informations contextuelles sur le caractère critique des incidents identifiés et des systèmes concernés. Des niveaux de priorité sont attribués à chaque incident en fonction des ressources d information en jeu, du risque encouru par l entreprise et de la gravité du problème de sécurité. Ensemble, ces informations complémentaires permettent aux analystes d enquêter sur les incidents de manière plus approfondie, plus précise et plus rapide. Par ailleurs, les systèmes de sécurité intelligente intègrent les informations de sources extérieures pour enrichir les données sur la sécurité interne de l entreprise. La plate-forme d analyse de la sécurité et le tableau de bord de gestion identifient, compilent et valorisent les meilleures sources de renseignements et de contextes provenant de l intérieur et de l extérieur de l entreprise pour accélérer le processus décisionnel et le workflow des analystes. CONCLUSION La détection et la neutralisation intelligentes des menaces permettent aux entreprises d atteindre un haut niveau de sécurité prévisible malgré l environnement des menaces actuel, imprévisible et en plein essor. La détection intelligente repose sur une visibilité totale des réseaux et des points d accès et sur l application de techniques avancées d analytique des données pour déceler les malwares sans utiliser uniquement le hachage ou les signatures. La neutralisation intelligente des menaces est dirigée par une équipe de sécurité expérimentée, aidée dans son travail par des outils avancés d analytique et de gestion de la sécurité. Ces outils améliorent sensiblement la vitesse et la précision des enquêtes de sécurité en fournissant un contexte complet sur les incidents, auquel on accède depuis une console de gestion unique, et en classant les problèmes potentiels par ordre de priorité en vue de leur évaluation. La sécurité intelligente offre un gain d efficacité sans précédent en matière de détection et de neutralisation des menaces, car elle optimise la coopération globale du personnel, des processus et des technologies de sécurité au sein d une entreprise. Les outils sont intégrés afin de renforcer la visibilité et la compréhension des analystes de la sécurité et de permettre la centralisation des analyses et du reporting. Ils orientent également les workflows d enquête et les processus de neutralisation en fonction de procédures éprouvées et des politiques de l entreprise. En apportant à leurs équipes de sécurité une panoplie harmonisée d outils et de processus, les entreprises peuvent libérer une partie du temps que les analystes de sécurité doivent consacrer aux procédures de routine pour leur permettre de se concentrer sur la neutralisation des menaces prioritaires. Au final, les entreprises bénéficient d une sécurité plus solide et plus agile qui les aide non seulement à neutraliser les principales menaces pour leur sécurité, mais également à exploiter le canal numérique en toute confiance. page 10

11 SOLUTIONS DE DÉTECTION ET DE NEUTRALISATION INTELLIGENTES DES MENACES PROPOSÉES PAR RSA RSA Advanced Cyber Defense Practice fournit une gamme complète de solutions permettant aux clients de protéger la mission de leur entreprise, d améliorer leur efficacité opérationnelle et d évoluer dans un environnement de menaces dynamiques. Les attaques ciblées visent fréquemment à voler des ressources et des données critiques à l aide de techniques contournant les moyens de défense traditionnels. RSA aide les entreprises à renforcer leurs capacités existantes en matière de sécurité et à mettre en œuvre des contre-mesures destinées à empêcher les pirates d atteindre leurs objectifs. Les services proposés par RSA comprennent l analyse des écarts, la modélisation de la maturité, la recherche de renseignements sur les cybermenaces, le renforcement des infrastructures ainsi que le développement et l automatisation des opérations de sécurité. Ces services sont conçus pour aider les entreprises à faire converger leurs capacités techniques et opérationnelles dans un programme de sécurité unifié conforme aux priorités de la gestion des risques et aux objectifs métiers. RSA met en lumière les mesures de prévention nécessaires pour protéger l entreprise et fournit également des services de neutralisation et de résolution des incidents afin de réduire le temps d exposition aux failles de sécurité et de limiter les attaques. RSA Education Services propose des formations sur la sécurité de l information s adressant aux informaticiens, aux développeurs de logiciels, aux professionnels de la sécurité et aux employés des différents services d une entreprise. Les cours, dispensés par des experts en sécurité de RSA Advanced Cyber Defense Practice, combinent théorie, technologie et exercices basés sur des scénarios pour permettre l apprentissage actif des participants. Le programme de formation actuel couvre des thèmes tels que l analyse des malwares et les renseignements sur les cybermenaces. RSA Education Services propose également un atelier sur la lutte contre des menaces avancées telles que les APT. Les formations sont conçues pour offrir un maximum d informations en un minimum de temps afin de limiter la durée de l indisponibilité du personnel. RSA Enterprise Compromise Assessment Tool (ECAT) est une solution de détection et de neutralisation des menaces pour entreprises conçue pour surveiller et protéger les environnements informatiques contre les logiciels indésirables et les malwares les plus furtifs, y compris les rootkits enfouis profondément, les menaces persistantes avancées (APT) et les virus non identifiés. RSA ECAT automatise la détection des anomalies touchant les applications et la mémoire des ordinateurs sans passer par des signatures de virus. Au lieu d analyser des échantillons de malware pour créer des signatures, RSA ECAT définit une base de référence des anomalies à partir d applications de confiance connues, dont il filtre le bruit pour détecter les activités malveillantes sur les machines infectées. La console RSA ECAT offre une vue centralisée des activités se déroulant dans la mémoire d un ordinateur, ce qui permet d identifier rapidement les malwares, qu il en existe une signature ou non et que le malware soit connu ou non. Dès qu une anomalie malveillante est décelée, RSA ECAT peut analyser des milliers de machines pour identifier les autres points d accès qui ont été infectés ou qui présentent un risque. page 11

12 Mise en œuvre d une sécurité intelligente La solution RSA Security Analytics est conçue pour fournir aux départements chargés de la sécurité la connaissance de la situation dont ils ont besoin pour faire face aux problèmes de sécurité les plus urgents. En analysant le trafic réseau et les données d événements contenues dans les logs, la solution RSA Security Analytics aide les entreprises à obtenir une vue complète de leur environnement informatique, permettant aux analystes de la sécurité de détecter rapidement les menaces, de mener les investigations nécessaires, de classer les menaces par ordre de priorité, de prendre des mesures correctives, d effectuer les actions nécessaires et de générer automatiquement des rapports. L architecture de données distribuée de la solution RSA Security Analytics collecte, analyse et archive à très haut débit d énormes quantités d informations (plusieurs centaines de téraoctets et plus) à l aide d une multitude de méthodes d analyse. La solution intègre également des renseignements sur les menaces grâce à RSA Live, qui l informe des derniers outils, techniques et procédures employés par les pirates afin d avertir les entreprises des menaces potentielles qu elles courent. RSA Security Operations Management aide les analystes à détecter et à résoudre les incidents de sécurité et les violations de données de façon plus efficace en fournissant une couche d orchestration centralisée pour les enquêtes de sécurité qui intègre les personnes, les processus et les technologies. La solution regroupe et relie les systèmes et les processus de sécurité de manière à fournir un contexte intégré pour la réponse aux incidents. Elle permet également aux équipes de sécurité d analyser et de présenter des rapports sur leurs indicateurs de performance clés. Le framework de RSA Security Operations Management est fondé sur les bonnes pratiques du secteur en matière de résolution des incidents et de gestion des failles. À PROPOS DE RSA RSA, la division Sécurité d EMC, est le premier fournisseur de solutions de sécurité intelligente. Elle aide les plus grandes entreprises leaders dans le monde à relever leurs défis les plus complexes et les plus critiques en matière de sécurité : gestion des risques opérationnels, protection des accès mobiles et de la collaboration, lutte contre la fraude en ligne et protection contre les menaces avancées. RSA fournit des contrôles agiles pour la sécurisation des identités, la détection des fraudes et la protection des données. Elle propose également des fonctions robustes d analytique de sécurité (Security Analytics) et de gestion de la gouvernance, du risque et de la conformité leaders sur le marché, ainsi que des services de conseils prodigués par des experts. Pour plus d informations, visitez le site EMC 2, EMC, le logo EMC, RSA, Archer, FraudAction, NetWitness et le logo RSA sont des marques déposées ou des marques commerciales d EMC Corporation aux États-Unis et dans d autres pays. Microsoft et Outlook sont des marques déposées de Microsoft. Tous les autres produits ou services mentionnés sont la propriété de leurs détenteurs respectifs. Copyright 2014 EMC Corporation. Tous droits réservés. H13402