Votre réseau a-t-il besoin d’un sentinelle ?

/0 Commentaires/dans /par

Ça y est, vous avez décidé d’ouvrir un bar. Vous faites appel au meilleur décorateur, vous sélectionnez les meilleures bouteilles imaginables et embauchez le meilleur barman que vous puissiez trouver. A son ouverture, les critiques ne tarissent pas d’éloges et votre établissement devient immédiatement l’endroit le plus branché de la ville.

Mais il ferme en moins d’un mois. Il s’avère que laisser entrer (et sortir) à peu près n’importe qui n’est pas une bonne pratique commerciale.

C’est d’autant plus vrai en matière de cybersécurité : imaginez ce qui arriverait si votre entreprise se satisfaisait de n’avoir aucune visibilité sur une source courante de problèmes et de non-conformité. Malheureusement, c’est peut-être déjà le cas puisque l’inspection du trafic chiffré ne fait toujours pas partie des priorités pour bon nombre d’entreprises.

Tout d’abord, commençons par définir les menaces chiffrées : pour faire simple, le protocole SSL (Secure Sockets Layer) peut créer un tunnel chiffré pour sécuriser les données dans le cadre d’une connexion Internet. Le protocole TLS (Transport Layer Security) est une version plus récente et plus sécurisée du protocole SSL.

Bien que les protocoles TLS et SSL fournissent des avantages légitimes en matière de sécurité lors de sessions sur le Web et de connexions à Internet, les cybercriminels utilisent de plus en plus ces normes de chiffrement pour cacher des malwares ou des ransomwares, préparer une attaque zero-day et autres. A l’heure actuelle, on estime que 35 % des menaces sont chiffrées, et ce taux est à la hausse (source : Gartner).

Malheureusement, il existe une peur de la complexité et une méconnaissance de la nécessité d’inspecter de manière responsable le trafic SSL et TLS à la recherche de cyberattaques, notamment en réalisant une inspection approfondie des paquets (DPI de l’anglais Deep packet Inspection). Un tel comportement s’avère particulièrement dangereux, car les contrôles de sécurité traditionnels n’ont pas la capacité ni la puissance de traitement nécessaires pour détecter, inspecter et déjouer les cyberattaques envoyées via le trafic HTTPS.

Dans le cas de notre bar théorique, employer un sentinelle aurait fait toute la différence en vous permettant de continuer vos affaires florissantes plutôt que d’avoir à fermer (volontairement ou non) à cause d’un contrôle insuffisant, voire inexistant de la clientèle.

De même, le nombre de menaces chiffrées n’ayant de cesse d’augmenter, examiner les échanges chiffrés pourrait faire la différence entre une menace détectée et bloquée d’une part, et devoir ramasser les pots cassés à la suite d’une cyberattaque réussie d’autre part.

Imaginez que votre bar exige une tenue correcte. Peu importe que vous exigiez une tenue de soirée à la mode ou un costume avec cravate, sans gardien ni sentinelle, vous n’avez aucun moyen de faire appliquer cette règle. Pire encore, si personne ne contrôle les vestes, vous ne savez pas qui peut porter un maillot de hockey ou un t-shirt scandaleux à caractère politique sous son imperméable kaki.

L’interaction entre les solutions de filtrage de contenu et le trafic chiffré est comparable. Etant donné que 80 à 90 % des échanges proviennent maintenant de connexions chiffrées qui utilisent le protocole HTTPS, vos solutions de filtrage de contenu sont totalement inappropriées (source : rapport sur la transparence de Google). Leur efficacité est limitée lorsqu’il s’agit d’identifier la page Web de destination et de décider comment gérer les menaces potentielles. Sans la capacité à voir ce qu’il se passe sous la surface, des menaces pourraient se concrétiser sournoisement.

De même, les solutions de sandboxing ont une utilité limitée face aux menaces chiffrées. Si un cybercriminel réussit à établir une connexion chiffrée entre le contrôleur de l’acteur de la menace et un terminal, il pourrait transférer des fichiers dans un sens comme dans l’autre, y compris des malwares supplémentaires. La plupart du temps, les entreprises disposent d’une seule solution de sandboxing qui est en mesure d’analyser tous les fichiers et de garantir qu’ils ne sont pas malveillants avant de les autoriser.

Mais si la communication est chiffrée, alors la solution de sandboxing devient inutile, parce que vous n’êtes pas capable de capturer les fichiers transmis entre un serveur CC et le terminal. La solution voit que des échanges chiffrés ont lieu entre deux adresses IP, mais elle n’a aucune visibilité sur ce qu’il se passe à l’intérieur.

Reprenons l’exemple de notre sentinelle et imaginez que vous ayez affaire à un professionnel chevronné. Grâce à ses vingt années d’expérience, il a en tête une liste de fauteurs de troubles et peut en repérer un à des kilomètres à la ronde. Mais sans personne à la porte pour reconnaître ceux qui deviendront une menace pour eux-mêmes et pour autrui, ces personnes peuvent entrer sans problème. Pour quelqu’un dont ce n’est pas le métier, il s’agit simplement d’un client comme les autres jusqu’à ce qu’il soit trop tard.

Néanmoins, le problème n’entre pas toujours dans le bar (ou sur votre réseau) : il peut parfois en sortir. De nombreuses solutions de sécurité sont conçues pour prévenir la perte de données, mais le chiffrement permet de masquer complètement cette partie. Cette faculté permet aux acteurs malveillants (situés à l’intérieur comme à l’extérieur de l’entreprise) de voler des données personnelles ou confidentielles sans que personne ne s’en aperçoive. Quand ils en savent suffisamment pour vous faire du chantage, ils déploient généralement des ransomwares.

Malheureusement, si le matériel de passerelle standard ne dispose d’aucun système de déchiffrement activé, il ne voit pas du tout ces échanges. Les risques s’étendent au-delà des chevaux de Troie, ransomwares et malwares : vous pourriez aussi perdre votre conformité à des réglementations telles que la loi américaine HIPAA, la norme PCI ou le règlement européen RGPD suite à l’exfiltration de données, et être amené à payer de lourdes amendes.

Votre bar a-t-il fermé à cause de clients qui partaient avec des verres à la main ou à cause d’employés qui faisaient sortir des bouteilles en douce dans un sac à main ? Ils sont en infraction avec la loi, et vous plongent avec eux dans l’illégalité. Qu’il s’agisse d’arrêtés locaux pour les bars ou de règles de conformité nationales applicables aux grandes entreprises, les sanctions pour non-conformité peuvent parfois menacer des entreprises, voire entraîner leur fermeture.

Dans les deux cas de figure, la réponse est la même : un protecteur courageux et efficace, suffisamment intelligent pour savoir qui laisser entrer et qui refouler, mais aussi suffisamment musclé pour se faire respecter sans créer de goulot d’étranglement à la porte.

Pour en savoir plus sur ce dont vous avez besoin pour inspecter le trafic chiffré de votre entreprise, cliquez ici afin de vous inscrire au tout dernier webinaire Mindhunter : « Votre réseau a-t-il besoin d’un sentinelle ? » le 22 avril 2021, à 10h00 CET

Point critique : Le nouveau rapport SonicWall révèle des niveaux de menace qui grimpent en flèche et des changements de rapport de force historique

/0 Commentaires/dans /par

La cybersécurité est un domaine dynamique : chaque année, de nouveaux vecteurs d’attaque apparaissent, les cibles visées changent et les techniques des cybercriminels se perfectionnent.

Bien peu d’autres années nous ont amené à observer la nature des changements qui se sont produits en 2020.

Cette année a été marquée par deux événements historiques : la pandémie de COVID-19 et l’attaque de la chaîne logistique SolarWinds. Le premier a provoqué des perturbations si profondes qu’il a réussi à transformer une chose fondamentale : notre façon de travailler. Le second a frappé de plein fouet le monde de l’informatique, déclenchant une réaction en chaîne qui allait avoir un impact sur des milliers d’entreprises et dévoilant un type de faille hermétique à pratiquement toutes les protections existantes.

Entretemps, les cybercriminels ont mis les bouchées doubles en transformant en armes des outils basés sur le cloud et en renforçant la portée de nombreux vecteurs de menace. Trop souvent, leurs victimes étaient les personnes les moins bien équipées pour pouvoir encaisser l’attaque : télétravailleurs ignorant les risques qui existent en dehors du périmètre de l’entreprise, établissements de santé surchargés, écoles et universités ayant du mal à faire face à la complexité de l’apprentissage à distance.

L’équipe de recherche sur les menaces de SonicWall Capture Labs a suivi ces secousses sismiques en temps réel et nous avons compilé leurs observations dans le Rapport SonicWall 2021 sur les cybermenaces. Voici un aperçu de ce qu’ils ont découvert :

Les ransomwares battent un nouveau record

Avec la hausse record du prix du bitcoin, les attaques par ransomware ont atteint de nouveaux sommets : SonicWall a enregistré une augmentation de 62 % du nombre de tentatives d’attaque de ce type par rapport à l’année précédente.

Le nombre de tentatives impliquant Ryuk, une famille de ransomwares plus récente mais en pleine expansion et qui développe sans cesse de nouvelles capacités, est particulièrement préoccupant, de même que la forte augmentation du nombre d’attaques visant le secteur de la santé.

La technologie RTDMI brevetée plus formidable que jamais

En 2020, la technologie RTDMI (Real-Time Deep Memory InspectionTM) de SonicWall a permis de détecter 268 362 versions de programmes malveillants totalement nouveaux, soit une augmentation de 74 % par rapport à l’année précédente. Si la capacité à bloquer en temps réel les logiciels malveillants inconnus du grand public est essentielle, la technologie RTDMI permet également de réduire le nombre d’attaques dévastatrices par canal auxiliaire, comme l’attaque récemment découverte visant les puces Apple M1.

Le nombre de malwares IoT grimpe de 66 %

Le nombre d’appareils IoT ne cesse d’augmenter depuis des années, mais la pandémie de COVID-19 est venue accélérer cette tendance, faisant grimper le nombre d’attaques à 56,9 millions, soit une hausse de 66 % par rapport à 2019. En Amérique du Nord, ce pic a été encore plus marqué : les attaques y ont connu une hausse spectaculaire de 152 %.

Le cryptojacking continue sans Coinhive

Parmi les cryptomonnaies, le bitcoin n’a pas été le seul à monter en flèche en 2020 : le cours du Monero a également augmenté, ce qui a propulsé le cryptojacking à son niveau le plus haut depuis trois ans. Les prédictions de disparition du cryptojacking n’étaient cependant pas complètement fausses : les attaques par navigateur ont connu une baisse significative, mais le nombre de tentatives par fichier a largement compensé cette baisse.

Les tentatives d’intrusion augmentent, les schémas d’attaque changent

En 2020, les tentatives d’intrusion malveillantes ont globalement fait un bond de 112 %, mais la nature de ces attaques a également changé. Les tentatives de type Directory Traversal sont passées de 21 % à 34 % du total des tentatives d’attaques malveillantes, tandis que les tentatives RCE ont perdu du terrain, passant de 21 % à 16 %.