Outils APT, nouvel eldorado des solutions de sécurité ?

Régulièrement, une famille de produits apparait et devient l’outil indispensable pour assurer la sécurité complète du système d’information. Ainsi, nous sommes passés par les firewalls, les IPS, les firewalls filtrants pour arriver à l’arme ultime censée assurer la protection la plus efficace de nos réseaux. Il est évident que ces solutions répondent à des besoins de sécurisation mais doit-on pour autant se considérer comme impénétrable ?

Partager
Outils APT, nouvel eldorado des solutions de sécurité ?

Les IPS sont connus pour permettre un filtrage des flux réseaux non pas uniquement en se basant sur la notion d’adresse IP et de port TCP / UDP, mais aussi en fonction de signatures permettant d’identifier les flux malveillants. L’utilisation d’une base de signatures implique que celle-ci soit maintenue, généralement par l’éditeur de la solution.

L’IPS permet de réaliser un filtrage sur la majorité des menaces identifiées par son SOC (Security Operation Center : division en charge de la gestion des systèmes de sécurité d’une organisation et d’en assurer l’exploitation au quotidien). En revanche, ces dernières années, il est apparu un nouveau type de menaces non plus orientées sur l’infection de masse, mais sur une contamination et une propagation ciblées.

Ainsi, on a pu entendre parler des exploits de STUXNET et de sa capacité à infiltrer des systèmes précis pour reprogrammer des automates industriels. Cet exemple illustre bien la problématique des infections zero-day. Il s’agit de produire un code malicieux visant à ne pas être reconnu par les moteurs de signatures des antivirus et des IPS.

Dans ce cas précis, les premières traces d’infections datent de 2008 alors que l’annonce de ce code date de 2010. La solution de protection zero-day, quant à elle, exécute le code dans une sandbox (mécanisme d’exécution de logiciel dans un espace confiné permettant de limiter les impacts des tests sur les environnements de production), observe le comportement de celui-ci et permet ainsi de définir si les appels systèmes et réseaux sont malicieux ou non.

STUXNET n’est évidemment pas le seul exemple. Parmi les plus connus, on retrouve l’opération Aurora visant des entreprises américaines, Poison Ivy utilisé notamment dans la compromission de RSA ou encore NetTraveler utilisé dans la compromission de poste de dirigeants d’industries. Le problème n’est pas tant le nombre d’outils que leur capacité à être utilisés dans des attaques ciblées sans être détectés.

L’avantage dans ce cas est de ne plus se baser sur une base de signatures et donc sur l’analyse potentielle d’un code observé par ailleurs mais de valider réellement s’il est malveillant pour ensuite l’identifier et le bloquer au sein de son réseau sans être dépendant d’une base externe. La réponse apportée par ces solutions semble donc idyllique.

Cependant, le positionnement est le point vital de la solution car il définira quel trafic est inspecté et lequel ne l’est pas. Ces solutions s’orientent vers l’analyse des flux Web des collaborateurs ainsi que des plateformes de messagerie, il est donc nécessaire de le positionner au plus près des flux utilisateurs. Cela permet d’analyser une infection par un surf collaborateur ou des attaques ciblées par mail. Mais en aucun cas les applicatifs non Web ou les flux serveurs ne seront protégés par ce genre de solution.

Autre point important : le comportement de la solution en fonction des volumes de trafic du système d’information. En effet, qui dit analyse par exécution des binaires, dit temps de calcul et volume de traitement fixe. Il existe donc une fenêtre de temps durant laquelle le code malicieux peut infecter la cible avant qu’une alerte ne soit donnée. De même, l’ensemble des fichiers et l’ensemble des versions logicielles ne sont pas forcément disponibles dans les Sandbox. Ces environnements de tests embarquent un certain nombre de systèmes d’exploitation mais il est à parier que certains OS ne soient pas packagés. Sans forcément prendre des OS exotiques. Il est courant de continuer à trouver des serveurs Windows 2003.

Il existe donc des points à prendre en compte pour le déploiement de ces solutions et il s’avère que l’offre Advanced Protection Threats permet de répondre à une partie du périmètre de la sécurité mais reste inopérante vis-à-vis de certains périmètres tels que les serveurs, les connexions de partenaires, la sécurisation de l’accès aux données… Il est important de mettre en perspective la solution APT pour se rendre compte de son rôle réel dans la sécurité de son SI. L’objectif d’une protection zero-day permet d’identifier les menaces d’infections sur un périmètre utilisateur. Cet outil ne permettra pas de garantir une protection à 100 % contre les infections, mais vise à limiter le nombre de postes infectés tout en bloquant ceux qui pourraient l’être.

Ainsi de la même manière que l’IPS n’était pas l’outil ultime de sécurisation des flux ou le firewall applicatif ne permet pas de se prémunir de toutes les attaques sur les serveurs, les solutions de protection contre les APT apportent une réponse générique pour se protéger contre des codes malveillants. Mais elles ne peuvent en aucun cas assurer à elles seules la sécurisation des flux et se posent donc en complément des outils de sécurité en place dans le système d’information pour apporter un niveau de sécurité complémentaire.

Un des adages les plus connus, et sûrement un des plus vrais, du monde de la sécurité est de dire que "la sécurité n’est pas un produit mais un concept". Dans le cas présent des outils APT, on ne peut assurer la sécurité et l’intégrité de notre SI uniquement via l’utilisation d’un tel outil. Mais celui-ci vient répondre à une problématique précise dans la politique de sécurisation du système d’information. Ainsi positionné dans une architecture de sécurité globale et superviser par un SOC ayant une vision complète de la sécurité de l’entreprise, les outils de Threat Prevention apportent une réelle valeur ajoutée pour améliorer le niveau de sécurité du SI.

Thomas Grimonet, consultant Sécurité Réseaux chez Nomios

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS