LIVRE BLANC. Vaincre les menaces persistantes avancées (APT)



Documents pareils
Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Webroot SecureAnywhere. Foire aux questions

Symantec MessageLabs Web Security.cloud

Fiche Technique. Cisco Security Agent

Symantec Endpoint Protection Fiche technique

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Solutions de sécurité des données Websense. Sécurité des données

Découvrez Kaspersky. Small Office Security TPE PME GUIDE DE LA SÉCURITÉ INFORMATIQUE

SOLUTIONS TRITON DE WEBSENSE

Sécurité sur le web : protégez vos données dans le cloud

Sécuriser l entreprise étendue. La solution TRITON de Websense

La Gestion des Applications la plus efficace du marché

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Trusteer Pour la prévention de la fraude bancaire en ligne

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

Aperçu de l'activité virale : Janvier 2011

Attention, menace : le Trojan Bancaire Trojan.Carberp!

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Protection pour site web Sucuri d HostPapa

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

LIVRE BLANC. Vaincre les attaques DoS/DDoS en temps réel

Les botnets: Le côté obscur de l'informatique dans le cloud

Club des Responsables d Infrastructures et de la Production

Meilleures pratiques de l authentification:

La sécurité informatique

Aperçu technique Projet «Internet à l école» (SAI)

Présenté par : Mlle A.DIB

LIVRE BLANC COMBATTRE LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab. Janvier

Sécuriser une infrastructure de postes virtuels avec Citrix NetScaler.

Dans la jungle des malwares : protégez votre entreprise

Les vols via les mobiles

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Une nouvelle approche globale de la sécurité des réseaux d entreprises

KASPERSKY SECURITY FOR BUSINESS

RECOMMANDATIONS ET MISES EN GARDE DE McAFEE EN MATIÈRE d achats en ligne

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

z Fiche d identité produit

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Solutions McAfee pour la sécurité des serveurs

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

E-réputation : protection des données en ligne. Ghislain NYAMFIT Consultant en

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC)

Attaques ciblées : quelles évolutions dans la gestion de la crise?

Découvrir les vulnérabilités au sein des applications Web

Sécurité des réseaux Les attaques

Progressons vers l internet de demain

NETTOYER ET SECURISER SON PC

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

La protection des systèmes Mac et Linux : un besoin réel?

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Le BYOD (apporter son propre périphérique au bureau) et les dangers qui lui sont associés

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Pourquoi choisir ESET Business Solutions?

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Mail-SeCure sur une plateforme VMware

Guide d administration de Microsoft Exchange ActiveSync

Vers un nouveau modèle de sécurisation

Sécurité des Postes Clients

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Contrat de Niveau de Service pour les Services en Ligne Microsoft

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Document de présentation technique. Blocage du comportement

La prévention contre la perte de données (DLP) de Websense offre à votre entreprise les outils dont elle a besoin. Websense TRITON AP-DATA

Guide de l'utm et des pare-feu de nouvelle génération

Entensys Corporation UserGate Proxy & Firewall Guide du revendeur

NETTOYER ET SECURISER SON PC

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

Découvrir et bien régler Avast! 7

Découverte et investigation des menaces avancées PRÉSENTATION

Sophos Computer Security Scan Guide de démarrage

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Sécurité. Tendance technologique

Symantec Endpoint Protection

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

L expertise en sécurité pour toutes les entreprises! Passez à la vitesse supérieure. Kaspersky. avec. Open Space Security

The Path to Optimized Security Management - is your Security connected?.

ENDPOINT SECURITY FOR MAC BY BITDEFENDER

Les attaques APT Advanced Persistent Threats

le paradoxe de l Opérateur mondial

Module de sécurité Antivirus, anti-spam, anti-phishing,

Solutions pour petites entreprises

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Appliances et logiciels Security

Livre blanc. Office 365 à l épreuve des balles avec MAX Mail

Menaces et sécurité préventive

FORMATION PROFESSIONNELLE AU HACKING

Le nouvel espace de travail : Prise en charge du modèle BYOD («Bring your own device»)

5 éléments qu une solution de gestion de mobilité pour l entreprise (EMM) doit avoir

WHITEPAPER. Quatre indices pour identifier une intégration ERP inefficace

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

Transcription:

LIVRE BLANC Vaincre les menaces persistantes avancées (APT)

Table des matières 1. Les logiciels malveillants sont omniprésents 2 1.1. Les attaques peuvent frapper de tous côtés 2 1.2. Les logiciels malveillants : statistiques surprenantes 3 1.3. Tous les logiciels malveillants ne se ressemblent pas 4 1.4. Les attaques APT coûtent cher 5 2. La nécessité d une nouvelle approche pour lutter contre les APT 7 2.1. Les APT exploitent le protocole DNS 7 2.2. Brèche de sécurité du DNS 7 2.3. Une solution aux APT : le pare-feu DNS 8 3. Réflexions autour de la conception d un pare-feu DNS 9 3.1. Les normes internationales relatives à la sécurité informatique 9 (et aux logiciels malveillants) 3.2. Les normes relatives aux logiciels malveillants aux États-Unis 9 3.3. La sécurité multiniveau du DNS 10 4. Vaincre les APT 11 4.1. Une méthode digne d intérêt : Infoblox DNS Firewall 11 4.2. Comment fonctionne le dispositif? 12 4.3. Répondre aux normes de sécurité relatives aux logiciels malveillants 13 4.4. Répondre aux exigences en matière de sécurité multiniveau 13 4.5. En quoi ce dispositif est-il unique? 14 4.6. En savoir plus 14 1 LIVRE BLANC Vaincre les menaces persistantes avancées (APT)

1. Les logiciels malveillants sont omniprésents 1.1. Les attaques peuvent frapper de tous côtés Les journaux regorgent d articles sur des attaques de logiciels malveillants. Les attaques de logiciels malveillants, autrefois réservés à des amateurs qui y recouraient principalement pour se divertir, sont aujourd hui lancées par diverses entités. De nos jours, de telles attaques peuvent réellement surgir de partout dans le monde et peuvent toucher même les organisations les plus importantes. Des groupes gouvernementaux prenant part à des «cyberguerres» : les gouvernements sont soupçonnés d attaquer d autres entités gouvernementales ou des sociétés privées 1. Des hacktivistes : les hackers (pirates informatiques) activistes (appelés «hacktivistes») recourent aux attaques de logiciels malveillants pour protester contre les sites Web gouvernementaux, commerciaux et même privés 2. Des organismes gouvernementaux de censure : certains gouvernements sont soupçonnés d utiliser les attaques de logiciels malveillants comme une sorte de censure. Par exemple, certains sites Web seraient bloqués afin d empêcher l utilisation des médias sociaux pour organiser des protestations ou pour rallier l opinion publique contre le gouvernement 3. Des groupes criminels : à travers le monde entier, des groupes criminels lancent des attaques de logiciels malveillants contre des banques ou des personnes privées 4. Des individus isolés : des logiciels malveillants à la carte et à bas prix ou même gratuits étant disponibles sur Internet 5, quasiment n importe qui peut prévoir et lancer une attaque de logiciels malveillants. «Les logiciels malveillants rapportent de l argent : ils ne sont plus simplement un jeu pour des adolescents mordus de programmation ou un sujet réservé aux équipes de recherche. Aujourd hui, c est un véritable marché et une source de revenus importante pour des personnes malveillantes et des criminels disséminés aux quatre coins du monde. Les logiciels malveillants, associés à d autres outils et technologies informatiques, fournissent une méthode bon marché et réutilisable pour perpétrer des cybercrimes extrêmement lucratifs.» 6 Organisation de coopération et de développement économiques (OCDE) 1 Winter, Michael, USA Today, «NBC : Iran reportedly behind cyber attacks on U.S. banks», le 20 septembre 2012. 2 Dunn, John E., Computerworld, «Hacktivists DDoS UK, US and Swedish Government websites», le 7 septembre 2012. 3 Wikipedia, «http://en.wikipedia.org/wiki/internet_censorship_in_the_people%27s_republic_of_china». 4 Wikipedia, «http://en.wikipedia.org/wiki/botnet» 5 Wikipedia, «http://en.wikipedia.org/wiki/webattacker» 6 OCDE, Lignes directrices de l OCDE régissant la sécurité des systèmes et réseaux d information, http://www.oecd.org/sti/interneteconomy/15582260.pdf, 2002. 2

1.2. Les logiciels malveillants : statistiques surprenantes Les statistiques concernant les attaques de logiciels malveillants sont vraiment surprenantes en raison du nombre d attaques, du nombre d attaques réussies et du temps nécessaire pour détecter la présence du logiciel malveillant. Pour les neuf premiers mois de 2012, la quantité moyenne de nouveaux logiciels malveillants est d environ 7,8 millions par trimestre, ce qui représente une nouvelle menace chaque seconde! Au cours de la même période, le nombre de logiciels malveillants ayant pour cible les appareils mobiles a été multiplié par plus de 10, selon McAfee 7. En outre, les attaques de logiciels malveillants sont très efficaces. En 2012, une étude de Verizon portant sur la sécurité 8 démontre que pendant la seule année 2011 : environ 855 attaques contre des entités commerciales ou gouvernementales ont réussi et ont mis en danger 174 millions de données. parmi les attaques ayant réussi, 69 % ont utilisé un logiciel malveillant. Source : McAfee, 2012. 7 McAfee, «McAfee Threats Report : Third Quarter 2012», (http://www.mcafee.com/us/about/news/2012/q3/20120910-01.aspx?cid=110907) 8 Verizon, «Verizon Security Study 2012», (http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf, 2012) 3 LIVRE BLANC Vaincre les menaces persistantes avancées (APT)

Source : McAfee, 2012. 1.3. Tous les logiciels malveillants ne se ressemblent pas Il existe un grand nombre de familles, de catégories, de sous-catégories et de variantes de logiciels malveillants. Selon les sources, la façon de les classifier diffère. La tâche est d autant plus difficile que de nombreux logiciels malveillants présentent des caractéristiques propres à plusieurs familles et catégories et sont ainsi qualifiés «d hybrides». Afin de disposer d une référence pour ce livre blanc, Infoblox a établi un système de classification des logiciels malveillants. Source : Infoblox, 2013 4

Selon Infoblox, il existe trois grandes familles de logiciels malveillants qui sont illustrées dans le schéma : les virus, les vers et les chevaux de Troie. Parmi les chevaux de Troie, on distingue : une première catégorie qui exploite le protocole Internet (IP) pour communiquer. une autre catégorie qui se sert du DNS (Domain Name Service : service de noms de domaine) pour établir une communication entre l appareil infecté et l unité de contrôle du réseau d appareils infectés (appelé un «réseau d ordinateurs zombies»). Les logiciels malveillants exploitant le DNS sont tout spécialement développés pour ne pas être détectés sur les serveurs ou les appareils privés pendant de longues périodes. Selon les commandes reçues de l unité de contrôle par le biais d une «porte dérobée», les appareils infectés captureront des données (grâce à un logiciel espion) ou exécuteront d autres actions, telles que celles d envoyer des spams ou de prendre part à une attaque de type DDoS (Distributed Denial of Service : déni de service distribué). Ces logiciels malveillants étant particulièrement sophistiqués et conçus pour durer dans le temps, ils sont généralement appelés «menaces persistantes avancées» ou APT (Advanced Persistent Threat). Dans ce livre blanc, nous allons utiliser le terme APT pour garantir la cohérence entre diverses sources d information. 1.4. Les attaques APT coûtent cher Une étude menée par le Ponemon Institute évalue les coûts générés par les logiciels malveillants 9. Par entreprise, les chiffres représentant les dépenses imputées aux logiciels malveillants sont : pour 2011, un coût médian de 5,9 millions de dollars par an et un coût moyen de 8,4 millions de dollars par an, en considérant toutes les entreprises et tous les secteurs étudiés. Source : Ponemon Institute, 2012. 5 LIVRE BLANC Vaincre les menaces persistantes avancées (APT)

bien que l étude précise que les chiffres ne sont peut-être pas totalement fiables étant donné la petite taille de l échantillon, le coût par secteur est estimé, pour 2011, entre presque 20 millions par an pour la défense et 3 millions par an pour le commerce de détail. Les APT (qui entrent dans la catégorie «malicious code», code malveillant, dans le diagramme ci-dessous) sont les logiciels malveillants les plus coûteux et représentent entre 23 et 26 % du coût annuel total. Le coût si élevé des APT s explique en partie par la durée pendant laquelle ils restent non détectés, en particulier par le personnel interne. L étude de Verizon 10 estime que : 54 % des logiciels malveillants sont passés inaperçus pendant des mois 29 % des logiciels malveillants sont passés inaperçus pendant des semaines 92 % des logiciels malveillants ont été détectés par une tierce partie. Ponemon Institute, 2012 En recoupant les données ci-dessus, il semble que la plupart des sociétés ne détectent jamais les logiciels malveillants, et lorsqu elles réussissent à les identifier, il est déjà trop tard. 9 Ponemon Institute, «Second Annual Cost of Cyber Crime Study», (http://www.hpenterprisesecurity.com/collateral/report/2011_cost_of_cyber_crime_study_august.pdf), août 2011. 10 Verizon, «Verizon Security Study 2012», (http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf, 2012). 6

2. La nécessité d une nouvelle approche pour lutter contre les APT 2.1. Les APT exploitent le protocole DNS Afin que le protocole de serveur de noms de domaine (DNS) fonctionne correctement, les communications DNS doivent circuler librement entrent tous les appareils et toutes les applications. De plus, puisque le DNS fait partie intégrante de l établissement et du maintien des communications avec un serveur Web, des applications de type messagerie instantanée et des applications d appareils mobiles, tout retard dans le traitement ou toute diminution potentielle de la disponibilité pourrait rapidement avoir de sérieuses répercussions. Par conséquent, les commandes DNS ne sont en principe ni interceptées, ni inspectées par les systèmes de sécurité existants. En exploitant le DNS, les développeurs de logiciels malveillants peuvent contourner les méthodes de sécurité existantes : par exemple, étant donné que les pare-feu de réseau établissent généralement les listes noires avec les adresses IP, les unités de contrôle des logiciels malveillants changeraient d adresse IP toutes les heures. Pour ce faire, elles utilisent un système de rotation dans une liste ou une technique telle que le «fast flux» pour se cacher derrière divers proxys changeant constamment 11. de plus, les filtres Web utilisant généralement uniquement l URL exacte, les logiciels malveillants peuvent les contourner en changeant d URL au sein d un domaine. Le DNS représente un moyen efficace de localiser l unité de contrôle du réseau d ordinateurs zombies et de transmettre des instructions aux appareils infectés. Par exemple, le DNS permet de localiser l unité de contrôle du réseau d ordinateurs zombies, même s il change d adresse IP et/ou d URL régulièrement. En outre, le DNS sert à transmettre des instructions aux appareils infectés en utilisant des méthodes appelées «DNS tunneling» ou «détournement de DNS» 12. 2.2. Brèche de sécurité du DNS De nombreuses organisations se fient au concept de «sécurité multicouche» (layered security). La page Wikipedia (en anglais) du terme «layered security» (sécurité multicouche) définit ce principe de la manière suivante : «pour chaque catégorie de menace, un moyen de contrôle efficace devrait être déployé pour limiter la menace» 13 (le secteur de la sécurité utilise également le terme de «défense en profondeur» pour décrire ce concept 14 ). En résumé, chaque couche de réseau présente des faiblesses particulières que les attaquants s efforcent d exploiter. D ailleurs, diverses attaques peuvent avoir la même couche pour cible. Ainsi, en principe, chaque couche de réseau devrait disposer de ses propres mécanismes de sécurité pour compenser ses faiblesses et se protéger contre les attaques pertinentes. 11 Wikipedia, «http://en.wikipedia.org/wiki/botnet» 12 Wikipedia, «http://en.wikipedia.org/wiki/dns_hijacking» 13 Wikipedia, «http://en.wikipedia.org/wiki/layered_security» 14 Wikipedia, «http://en.wikipedia.org/wiki/defense_in_depth_(computing)» 7 LIVRE BLANC Vaincre les menaces persistantes avancées (APT)

Par exemple, le diagramme ci-après illustre toutes sortes de menaces provenant de logiciels malveillants et les manières appropriées de les neutraliser. Notamment, de nombreux virus et vers sont traités efficacement par une analyse antivirus. De plus, les attaques DDoS peuvent être neutralisées au sein du DNS et/ou de l architecture générale du réseau. Les logiciels de surveillance d appareils permettent d intercepter les téléchargements de fichiers suspects. Types de logiciels malveillants Menaces Virus, vers et chevaux de Troie : utilisation de l'adresse IP (logiciels publicitaires) Chevaux de Troie : utilisation de l'adresse IP (injecteurs) Durcissement Périmètre Surveillance Chevaux de Troie : utilisation de l'adresse IP (injecteurs) Utilisation de l'adresse IP Menaces persistantes avancées : exploitation du DNS (chevaux de Troie espions et portes dérobées) Menaces Menaces Appliances renforcées, interconnexions sécurisées, couverture uniforme du cœur à la périphérie Classique : pare-feu, VPN, scans de virus et chevaux de Troie, protection contre le DDoS, etc. Outils de vérification d'ordinateur : examine chaque commande, fonctionnalité et paramètre Flux de données sûrs/filtres Web Brèche dans les défenses de la sécurité du DNS Menaces Menaces Mesures de prévention Inefficace puisque les logiciels malveillants exploitent l'ensemble de l'infrastructure opérationnelle Certains logiciels malveillants passent outre les pare-feu et sont conçus pour modifier l'adresse IP, le comportement et les caractéristiques de fichier Certains logiciels malveillants exploitent des commandes valables sans être détectés par les outils de vérification d'ordinateur Les filtres Web et les flux de données permettent d'éviter les injecteurs, mais ne réussissent pas à détecter les logiciels malveillants exploitant le DNS Sécurité par couches pour vaincre les logiciels malveillants Cependant, les APT exploitant le DNS pour communiquer ne peuvent pas être correctement prises en charge par les méthodes existantes : bien que cette capacité ne repose pas sur le DNS, les APT mettent en échec les approches qui utilisent la signature et qui sont intégrées dans des antivirus à l aide de techniques telles que le «repacking» 15. les filtres Web se contentent en principe d agir au niveau de l URL puisqu ils servent à bloquer des objets au contenu précis les pare-feu, quant à eux, agissent au niveau de l IP puisque leur rôle est de bloquer des serveurs spécifiques la prévention de la perte de données nécessiterait de nombreux et gênants capteurs placés au sein du réseau afin de permettre le «reniflage» (sniffing) de tout le flux du DNS. Les méthodes existantes, bien que très efficaces contre certaines attaques, ne suffisant pas à lutter contre les APT, il convient de développer et de mettre en place un nouveau système de défense. 15 Caballero, Juan, et.al., Measuring Pay-per-Install : The Commoditization of Malware Distribution, USENIX White Paper, http://static.usenix.org/events/sec11/tech/full_papers/caballero.pdf, août 2011. 8

2.3. Une solution aux APT : le pare-feu DNS Étant donné que le cœur des communications pour les APT est le protocole DNS, il vaut la peine d explorer une méthode intégrée au DNS. En effet, l idée d un système de sécurité intégré anti-logiciels malveillants pour DNS, appelé «pare-feu DNS», a été proposée dans un article paru récemment dans Security Week 16. Contrairement aux pare-feu traditionnels pour réseaux qui protègent, du bas vers le haut, c est-à-dire de la couche matérielle jusqu à la couche d application parfois incluse, un pare-feu DNS doit impérativement inclure les couches d application, puisque la qualité des données DNS elles-mêmes doit être préservée. En d autres termes, il existe un véritable besoin de «pare-feu DNS de niveau application». «[...] les pare-feu DNS auraient probablement pu empêcher la réussite de plus de 80 pour cent de ces attaques.» Security Week 3. Réflexions autour de la conception d un pare-feu DNS 3.1. Les normes internationales relatives à la sécurité informatique (et aux logiciels malveillants) L organisation de coopération et de développement économiques (OCDE) rassemble 34 pays (notamment le Royaume-Uni, Israël, le Japon, la Corée et les États-Unis) qui agissent ensemble pour la croissance économique. Les lignes directrices de l OCDE régissant la sécurité des systèmes et réseaux d information, publiées en 2002, fournissent une liste de principes généraux en matière de sécurité de l information qui sont tous applicables à la lutte contre les logiciels malveillants. Les neuf principes sont : sensibilisation, responsabilité, réaction, éthique, démocratie, évaluation des risques, conception et mise en œuvre de la sécurité, gestion de la sécurité et réévaluation 17. 3.2. Les normes relatives aux logiciels malveillants aux États-Unis Le National Institute of Standards and Technology (NIST) fait partie du département du Commerce des États-Unis. Dans une publication intitulée «Guide to Malware Incident Prevention and Handling» (Guide de prévention et de gestion d incidents liés aux logiciels malveillants), le NIST fournit des recommandations précises et ciblées concernant les logiciels malveillants. Ces recommandations sont résumées ci-dessous 18 : les organisations doivent élaborer et instaurer une méthode de prévention des incidents liés aux logiciels malveillants. les organisations doivent veiller à ce que leurs politiques favorisent la prévention d incidents liés aux logiciels malveillants. 9 LIVRE BLANC Vaincre les menaces persistantes avancées (APT)

les organisations doivent intégrer la prévention et la gestion d incidents liés aux logiciels malveillants dans leurs programmes de sensibilisation. 16 Rasmussen, Rod, Security Week blog, «Why DNS Firewalls Should Become the Next Hot Thing in Enterprise Security», (http://www.securityweek.com/why-dns-firewalls-should-become-next-hot-thing-enterprise-security, octobre 2011). les organisations doivent être capables de réduire la vulnérabilité en vue de prévenir les incidents liés aux logiciels malveillants. les organisations doivent être capables d atténuer la menace afin de contribuer à la maîtrise des incidents liés aux logiciels malveillants. en cas d incident, les organisations doivent disposer d un système d intervention solide adapté à la gestion des incidents liés aux logiciels malveillants. 3.3. La sécurité multiniveau du DNS Un dispositif de défense contre les APT ne peut pas être autonome, car il doit également résister aux attaques provenant de hackers (pirates informatiques) ou d autres types de logiciels malveillants. Afin de représenter toutes les défenses nécessaires à l intérieur des couches du DNS, elles sont organisées en niveaux de défenses auxquels correspondent des attaques. Côté réseau Appliance DNS Côté entreprise Infection par des logiciels malveillants Niveau d'application du pare-feu DNS Commande et contrôle des réseaux d'ordinateurs zombies DDoS Pare-feu DNS à états DDoS protégeant des ordinateurs zombies internes Intercepteur Protocole DNSSEC, ports aléatoires et plus encore Intercepteur par le biais du phénomène BYOD Attaque de dispositif Authentification de l'administrateur Attaque de dispositif Attaque matérielle Durcissement du matériel/ du système d'exploitation Attaque matérielle La sécurité du DNS doit résister aux attaques à la fois externes et internes 17 OECD, OECD Guidelines for the Security of Information Systems and Networks, http://www.oecd.org/sti/interneteconomy/15582260.pdf, 2002. 18 National Institute of Standards and Technology, U.S. Dept. of Commerce, Guide to Malware Incident Prevention and Handling, http://csrc.nist.gov/publications/nistpubs/800-83/sp800-83.pdf, November 2005. 10

Un système de sécurité du DNS doit s appuyer sur des bases robustes en matière de sécurité. En commençant en bas à gauche de l illustration : une appliance DNS doit être capable de résister à des attaques matérielles à la fois internes et externes grâce au durcissement du matériel et du système d exploitation. les attaques d appareils doivent être contrées grâce à des méthodes d authentification avancées de l administrateur (c.-à-d. TACACS : Terminal Access Controller Access-Control System). les attaques de réseau provenant d appareils hostiles se trouvant dans le réseau ou d appareils infectés importés par le biais du système BYOD («Bring Your Own Devices», soit «Amenez vos appareils personnels») peuvent être contrées de différentes manières, notamment grâce au protocole DNSSEC (Domain Name System Security Extensions). les attaques DDoS, qui comprennent les tentatives de surcharge de sessions, peuvent être parées grâce à des méthodes DDoS et à l utilisation de l état pour clarifier quelles demandes de création de session sont authentiques. Cette approche est similaire au fonctionnement d un pare-feu de réseau «à états» et est décrite comme un niveau de défense par «pare-feu DNS à états». en ce qui concerne la couche supérieure, il faut activement prévenir les infections de logiciels malveillants ; en outre, les instructions de commande et de contrôle des réseaux d ordinateurs zombies, provenant probablement d appareils BYOD infectés, doivent être interrompues. Étant donné que ces commandes peuvent provenir d applications, le fonctionnement est similaire à celui d un pare-feu de réseau pour applications. Ainsi, la capacité à combattre les APT est celle d un niveau de défense par «pare-feu DNS de niveau application». 4. Vaincre les APT 4.1. Une méthode digne d intérêt : Infoblox DNS Firewall Infoblox a créé un dispositif de sécurité pour DNS, appelé Infoblox DNS Firewall, qui s appuie sur sa famille de produits leader du marché Trinzic DDI TM. Infoblox estime que cette méthode représente le premier véritable dispositif de sécurité pour DNS du marché. Infoblox DNS Firewall comprend : la licence du produit : les dernières mises à jour du système d exploitation Trinzic DDI d Infoblox sont préinstallées sur le dispositif et il suffit d une clé pour activer le système. le flux de données des logiciels malveillants d Infoblox (inscription annuelle facultative) : la licence du produit admet plusieurs flux de données. Le client a la possibilité de s inscrire au flux de données sûr appartenant à Infoblox et spécialement adapté aux logiciels malveillants. Infoblox Grid TM : le dispositif nécessite l installation de Infoblox Grid, car il optimise les fonctionnalités des grilles informatiques, telles que la mise à jour automatique des fichiers, la sécurité, etc. 11 LIVRE BLANC Vaincre les menaces persistantes avancées (APT)

4.2. Comment fonctionne le dispositif? Le dispositif fonctionne tel qu illustré à la figure suivante : Page de renvoi/ jardin fermé 4 Rediriger Lien malveillant vers www.badsite.com 3 5 Client infecté Contacter le réseau d'ordinateurs zombies Infoblox DNS Firewall/ serveur DNS récursif Transmission dynamique Appliquer de la politique à l'ensemble la politique du réseau 2 Bloquer/refuser la session 1 Mise à jour dynamique de la politique 6 Infoblox DNS Firewall/ serveur DNS récursif Flux de données Infoblox relatives aux logiciels malveillants Infoblox DNS Firewall/ serveur DNS récursif Fonctionnement de Infoblox DNS Firewall Écrire à Syslog et envoyer à Trinzic Reporting 1 lorsque les experts Infoblox détectent un nouveau logiciel malveillant, le flux de données relatives aux logiciels malveillants Infoblox envoie immédiatement une mise à jour à nos clients. 2 de manière directe ou en optimisant Infoblox Grid TM, la donnée mise à jour est envoyée quasiment en temps réel à tous les serveurs DNS récursifs d Infoblox. 3 si un utilisateur final clique sur un lien malveillant ou tente d accéder à un site Web connu comme étant malveillant, la tentative sera interrompue au niveau du DNS. 4 la session peut être redirigée vers une page de renvoi ou un jardin fermé défini par l administrateur de la société. 5 les clients déjà infectés, en général par le biais d appareils appartenant aux utilisateurs, essaieront d utiliser des commandes DNS pour communiquer avec l unité de contrôle du réseau d ordinateurs zombies. Infoblox DNS Firewall empêchera l exécution de ces commandes et paralysera ainsi efficacement le réseau de zombies. 6 toutes les actions sont écrites dans le format normalisé Syslog afin que les équipes informatiques puissent chercher la source des liens malveillants ou effectuer le nettoyage du client infecté. Les données sont également envoyées au système Trinzic Reporting qui les analyse et les rapporte par la suite. 12

4.3. Répondre aux normes de sécurité relatives aux logiciels malveillants Les dispositifs Infoblox respectent non seulement les normes de l OCDE, mais suivent également les normes du NIST, tel que le démontre le tableau récapitulatif ci-dessous : Norme NIST Les organisations doivent élaborer et instaurer une méthode de prévention des incidents liés aux logiciels malveillants. Les organisations doivent veiller à ce que leurs politiques favorisent la prévention d incidents liés aux logiciels malveillants. Les organisations doivent intégrer la prévention et la gestion d incidents liés aux logiciels malveillants dans leurs programmes de sensibilisation. Les organisations doivent être capables de réduire la vulnérabilité en vue de prévenir les incidents liés aux logiciels malveillants. Les organisations doivent être capables d atténuer la menace afin de contribuer à la maîtrise des incidents liés aux logiciels malveillants. En cas d incident, les organisations doivent disposer d un système d intervention solide adapté à la gestion des incidents liés aux logiciels malveillants. Infoblox DNS Firewall Fournit une méthode complète qui prévient en amont l infection de logiciels malveillants et leur exécution, ce qui diminue, voire élimine, les incidents liés aux logiciels malveillants. Les politiques concernant les logiciels malveillants sont automatiquement mises à jour par le biais du flux de données relatives aux logiciels malveillants d Infoblox. Les politiques peuvent également être paramétrées ou modifiées par le responsable de la sécurité. La fonctionnalité «page de renvoi/jardin fermé» est conçue spécialement pour être intégrée dans les programmes de sensibilisation. La réduction de la vulnérabilité est intégrée grâce à la redirection de clients infectés et à l interruption des communications avec le réseau d ordinateurs zombies. Puisque les communications avec le réseau d ordinateurs zombies et les sessions sont interrompues, les logiciels malveillants sont maîtrisés. Toutes les activités liées aux logiciels malveillants sont enregistrées. En utilisant Infoblox Reporting Server, les rapports concernant les logiciels malveillants peuvent être exportés dans des listes de tâches informatiques pour la gestion d incidents liés aux logiciels malveillants, telles que le nettoyage des appareils infectés. 4.4. Répondre aux exigences en matière de sécurité multiniveau Étant donné qu Infoblox DNS Firewall optimise l architecture de sécurité d Infoblox Grid TM et des appliances Infoblox, les exigences en matière de sécurité multiniveau détaillées dans le chapitre précédent sont toutes satisfaites. De plus, comme toutes les commandes DNS effectives émises par les applications et les appareils sont surveillées, le dispositif agit surtout comme un pare-feu DNS du niveau de l application. 13 LIVRE BLANC Vaincre les menaces persistantes avancées (APT)

4.5. En quoi ce dispositif est-il unique? Infoblox DNS Firewall fournit des fonctionnalités de différenciation aux organisations chargées de la sécurité et du réseau en faisant à la fois preuve d anticipation, d opportunité et d adaptation. 4.5.1. Anticipation Infoblox DNS Firewall empêche l infection des clients qui se rendent sur des sites malveillants ou qui cliquent sur des liens malveillants. De plus, les demandes de commande et de contrôle DNS détournées ne sont pas exécutées afin d empêcher les réseaux d ordinateurs zombies d agir. Enfin, toutes les activités des logiciels malveillants sont enregistrées et font l objet d un rapport afin de localiser précisément les clients infectés et les attaques. 4.5.2. Opportunité Infoblox DNS Firewall optimise les données détaillées, précises et actuelles relatives aux logiciels malveillants. Il détecte et élimine les logiciels malveillants plus rapidement qu en ayant recours aux moyens classiques, c est-à-dire des semaines, voire des mois plus tôt. Les données robustes fournies par Infoblox sont détaillées car elles comprennent toutes les attaques connues ; elles sont aussi très précises car elles présentent un taux très faible de faux positifs. La distribution automatique maximise l opportunité de la réponse d Infoblox grâce à la grille informatique du client quasiment en temps réel. 4.5.3. Adaptation Le dispositif peut être adapté de sorte que toutes les menaces puissent être repoussées en fonction de l environnement particulier du client. Le dispositif permet de définir une structure DNS hiérarchique, la redirection du NXDOMAIN et les politiques en matière de logiciels malveillants afin de garantir une flexibilité maximale. L administrateur contrôle totalement les politiques devant être renforcées par chaque serveur DNS récursif. Le flux de données relatives aux logiciels malveillants d Infoblox comprend plusieurs options qui permettent de spécifier les données correspondantes, notamment d ordre géographique, aux menaces rencontrées. De plus, le flux de données d Infoblox peut également être combiné à divers flux de données sûrs internes et externes. 4.6. Pour plus d informations Pour plus d informations, veuillez vous rendre sur le site www.infoblox.com/dnsfirewall ou écrire à l adresse sales@infoblox.com. 14

SIÈGE SOCIAL : 3111 Coronado Drive Santa Clara California 95054 USA +1.408.986.4000 +1.866.463.6256 SIÈGE EMEA : Regus Business Center 168 avenue charles de Gaulle 92522 Neuilly sur Seine France +33.1.70.37.53.05 emea-seur@infoblox.com (sans frais pour les États-Unis et le Canada) info@infoblox.com www.infoblox.com 2013 Infoblox Inc. Tous droits réservés. infoblox-livre-blanc-apt-janvier-2013

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back