Une approche multicouche de la cybersécurité

Plus tôt cette semaine, il a été révélé que les moteurs antivirus utilisés par les produits Symantec présentaient une vulnérabilité critique, très facilement exploitable, offrant aux pirates un point d’entrée dans les systems. Ceci est la dernière en date d’une troublante série de découverte de faille dans les produits conventionels de sécurité informatique. De plus en plus d’entreprises et d’utilisateurs se rendent compte qu‘il est temps de se diriger vers une approche différente s’ils veulent rester en jeu.

Découverte par des chercheurs de Google, la vulnérabilité Symantec aurait pu être facilement exploitée à distance par de potentiels attaquants, leur permettant d’exécuter un code malveillant sur les postes des utilisateurs. Après avoir préparé son attaque, tout ce qu’un pirate aurait eu à faire aurait été d’envoyer à n’importe quelle personne un e-mail avec un fichier contenant le code malveillant en question. Les données d’entrée du virus sont immédiatement captées par l’AVE (Antivirus Engine). Le fichier n’a même pas besoin d’être exécuté, car l’AVE emploie un moteur qui intercepte toutes les opérations entrantes et sortantes.

 

Espérer pour le meilleur et se préparer au pire

Cette vulnérabilité, classé 9.1 / 10 dans le CVSS de Symantec, fait principalement des dégâts sur Windows OS, puisque le moteur d’analyse de l’antivirus est chargé directement dans le noyau du système d’exploitation. Mai comment cela est-il possible ? L’AVE va automatiquement détecter cette pièce jointe comme un fichier exécutable portable, avec des en-têtes malicieuse. Ainsi, l’AVE va scanner le fichier à l’intérieur de la région la plus privilégié de l’OS, appelé le kernel. Qu’est-ce que cela veut dire ? Eh bien, évidemment, trier des fichiers exécutables avec des en-têtes malformés ne peut qu’apporter de mauvaises nouvelles. En effet, vous êtes probablement confronté à une vulnérabilité de sécurité de la mémoire et vous êtes sur le point de vous confronter avec un écran bleu (regardez cette vidéo pour une courte histoire de la BSoD). Bref, votre système a planté.

Un patch pour corriger la faille a été publié presque immédiatement après sa découverte. Tout est bien qui finit bien. Ou pas ? Cette « solution » rapide ne change pas la réalité des choses. Le grand public continue à vivre sous l’impression que le paysage de cyber-menaces est immobile, sans aucun effet immédiat. Il est fort probable que de nouvelles vulnérabilités apparaissent avant même que la majorité des utilisateurs aient fini de mettre à jour de leur antivirus.

Attendez-vous à du changement. Avec le temps toute solution, aussi bonne soit elle, devient obsolète et, afin de lutter contre ces cotes défavorables, nous devons nous assurer d’avoir un cyber-écosystème cohérent autour des environnements informatiques. Mettre à jour ses outils antivirus ne suffit plus contre les attaques sophistiquées (comme nous l’avons déjà couvert dans notre précédent article sur « Comment gérer les effets secondaires des antivirus »). Voilà pourquoi les fournisseurs de l’industrie devraient en faire leur responsabilité en aidant leur client à adapter leur stratégie à une approche de multicouche en cybersécurité.

Passer au niveau supérieur

Supposons un instant que la vulnérabilité Symantec n’ait jamais été découverte. Supposons également que les personnes ciblées disposaient uniquement des outils de base en cybersécurité. Il ne serait pas un pari risqué de supposer que les actualités soient infestées par un nombre incalculable de récits d’attaques.

Maintenant, imaginons le même scénario, mais cette fois, la cible a le bon sens de s’appuyer sur l'analyse comportementale. Un pirate peut infiltrer le système par cette faille de sécurité, et lancer un malware. Le résultat est-il le même ? Définitivement pas. Cette couche de protection supplémentaire va couvrir le décalage d’intelligence auquel les antivirus sont confrontés et identifier la menace avant qu'elle ait atteint la fin de la kill-chain (au moment où elle tente de contacter son serveur C & C).

L'un des principaux problèmes rencontrés dans la protection traditionnelle des réseaux est le faux sens de sécurité que les outils, tels que les antivirus et les pare-feu, créent. Le but est d'attraper le pirate dans l’acte, et non pas de seulement réagir à la suite d'une cyber-attaque, une fois que les dégâts sont faits. En mettant en œuvre plusieurs couches de sécurité, sur la base d'une surveillance continue des vulnérabilités du système et des anomalies de comportement, les entreprises de toutes tailles peuvent améliorer leur temps de réponse en détection et obtenir un aperçu plus large de la situation.

Liens :

https://www.itrust.fr/une-approche-multicouche-de-la-cybersecurite/

https://www.reveelium.com/fr/call-for-multilayer-cybersecurity/