Tenable et la détection des logiciels malveillants

DATA BLANC
SHEET
| |LIVRE
Tenable et la détection des
logiciels malveillants :
Maîtriser un environnement de menaces
hypersophistiqué
| LIVRE BLANC
Sommaire
Introduction
Le problème Lacunes actuelles d’un antivirus à base de signatures
3
3
3
Déplacement du périmètre organisationnel
4
Tenable et la détection des logiciels malveillants
Audit de l’efficacité des outils de sécurité déployés
5
5
Détection directe et indirecte de logiciels malveillants 6
Analyse, écoute et corrélation combinée de journaux
6
Utilisation d’une veille basée sur des listes blanches, noires et grises
7
Résumé
À propos de Tenable Network Security
7
7
2
| LIVRE BLANC
Introduction
Dans un contexte de renforcement constant des cyber menaces, les produits antivirus (AV) et antimalware (AM) classiques s’avèrent incapables
de détecter correctement les nouvelles menaces auxquelles sont confrontées à présent les entreprises. En outre, l’essor de la mobilité et
l’adoption de pratiques BYOD engendrent un nouveau niveau de risque avec les ordinateurs portables, les smartphones et les appareils mobiles
inconnus et non gérés qui accèdent à des ressources informatiques sensibles. Ces évolutions font peser sur les entreprises, les administrations
et le grand public un risque issu d’un large éventail d’activités malveillantes.
Se fier uniquement à un antivirus classique à base de signatures ne suffit simplement plus pour prévenir les assauts actuels des nouvelles
menaces sophistiquées. Ce livre blanc décrit en détail certaines tendances et statistiques sur la détection des logiciels malveillants. Il présente
ensuite une méthode multi vectorielle pour détecter précisément les menaces dans l’environnement informatique, et vérifier que les logiciels
antimalware déjà déployés fonctionnent de manière optimale.
•
•
•
•
Audit de présence, de configuration et d’actualisation des produits AV
Exploitation de la détection directe et indirecte de logiciels malveillants
Combinaison d’analyses d’évaluation, d’écoute réseau et d’examen de journaux
Utilisation d’une veille sur les bonnes et mauvaises pratiques connues
Le problème
Chaque année, les entreprises dépensent des fortunes en produits antivirus. Il existe plusieurs techniques différentes que les produits antivirus
(AV) et antimalware (AM) utilisent pour détecter des logiciels malveillants qui tentent de s’auto-installer, et pour identifier et éliminer ceux déjà
présents sur l’ordinateur d’un utilisateur. Une technique clé consiste à utiliser des signatures, que l’éditeur du logiciel distribue régulièrement.
Plus récemment, l’analyse heuristique s’est répandue, elle tente de s’appuyer sur des signatures plus génériques pour identifier des variantes de
malware. D’autres techniques comprennent la détection d’activités malveillantes (OS, noyau, registre et réseau) et le « sandboxing ». Toutefois,
ces techniques traditionnelles posent de graves problèmes.
Lacunes actuelles d’un antivirus à base de signatures
Les produits antivirus à base de signatures ne sont efficaces que contre les risques connus, qui ont été étudiés par les laboratoires de recherche
de l’éditeur et dont la signature AV a été créée. Le problème de cette méthode est que le nombre des nouveaux logiciels malveillants créés
chaque jour submerge aisément ces laboratoires.
Les estimations varient sur la proportion exacte des nouveaux logiciels malveillants. Par exemple, McAfee indique environ 100 000 nouveaux
échantillons de malware différents par jour et Kaspersky Labs plus de 200 000.
25,000,000
20,000,000
15,000,000
10,000,000
5,000,000
0
Q1
2011
Q2
2011
Q3
2011
Q4
2011
Q1
2012
Q2
2012
Q3
2012
Q4
2012
Q1
2013
Q2
2013
Q3
2013
Rapport sur les menaces
McAfeeThird
: troisième
trimestre
McAfee des
Labslaboratoires
Threats Report:
Quarter
20132013
Compte tenu de ces chiffres, les éditeurs d’antivirus ne peuvent pas maintenir à jour leurs bases de données de signatures avec le volume des
logiciels malveillants créés. En fait, l’efficacité des principaux logiciels antivirus a été soulignée comme très faible, notamment pour les nouveaux
échantillons de malware. En 2010, un test réalisé par Cyveillance a déterminé des taux de détection AV d’environ 25 à 30 % pour le nouveau
malware, et une étude plus récente d’Imperva (décembre 2012) a révélé des taux de seulement 5 %.
3
| LIVRE BLANC
Trend Micro
Sophos
McAfee
Kaspersky
F-Secure
Dr. Web
AVG
Nod32
F-Prot
VirusBuster
Norman
eTrust-Vet
Symantec
0%
5.0%
10.0%
15.0%
20.0% 25.0% 30.0% 35.0% 40.0%
Taux de détection des solutions antivirus
AV Solution Detection Rates
Les éditeurs d’antivirus sont incapables de générer des signatures assez rapidement pour maintenir les entreprises protégées contre les
nouveaux logiciels malveillants et à autoréplication/mutation. Il faut souvent des semaines pour que l’éditeur publie des signatures pour une
nouvelle menace. Les chiffres varient également, mais des délais de 2 à 8 semaines ne sont pas rares, laissant les entreprises vulnérables aux
attaques bien après l’identification de la menace.
Kaspersky
Trend Micro
Symantec
Avast
McAfee
0
.5
1
1.5
2
2.5
3
3.5
4
4.5
Nombre
semaines
nécessaires
identifier
un fichier
infecté
détecté initialement
Number
ofdeWeeks
Required
to pour
Identify
Infected
File
not non
identified
in First Run
En outre, les produits antivirus à base de signatures perdent en efficacité car ils sont facilement disponibles. Les hackers et créateurs de logiciels
malveillants testent en général leurs programmes contre la plupart des produits antivirus disponibles, et les conçoivent spécifiquement pour
déjouer ces produits.
Déplacement du périmètre organisationnel
Jusqu’à tout récemment, les entreprises pouvaient gouverner le poste de travail des utilisateurs, en délivrant souvent les machines elles-mêmes,
en contrôlant strictement les logiciels installés, voire en confinant physiquement ces machines au sein de leurs sites, et donc à l’intérieur du
pare-feu. Toutefois, la donne a changé car les utilisateurs et les entreprises adoptent le concept du BYOD. En outre, les applications connaissent
un transfert rapide du Datacenter traditionnel vers le cloud. Les professionnels utilisent des applications et services de cloud en complément des
outils informatiques habituels pour réaliser leurs tâches quotidiennes.
Cette tendance se reflète aussi dans la création de malware, les hackers évoluant vite pour exploiter les failles des appareils mobiles, des
tablettes, des navigateurs Web et des applications. McAfee a signalé une forte hausse du malware mobile, notamment pour Android mais
également pour iOS dans son récent rapport trimestriel sur les menaces.
4
| LIVRE BLANC
Nouveau malware Android
New Android Malware
1,000,000
900,000
800,000
700,000
600,000
500,000
400,000
300,000
200,000
100,000
0
Q2
2011
Q3
2011
Q4
2011
Q1
2012
Q2
2012
Q3
2012
Q4
2012
Q1
2013
Q2
2013
Q3
2013
Rapport surMcAfee
les menaces
laboratoires
McAfee
troisième2013
trimestre 2013
Labsdes
Threats
Report:
Third: Quarter
Outre le malware mobile, on a observé une forte hausse des réseaux de bots (botnets), de l’injection SQL, des attaques XSS (éléments
dynamiques) et des sites Web/domaines infectés pour les visiteurs peu méfiants. Aite Group a estimé qu’en 2012 plus de 10 000 nouveaux
domaines malveillants étaient déployés chaque jour.
Tenable et la détection des logiciels malveillants
Tenable offre une solution originale et multiforme pour détecter le malware dans votre entreprise grâce à sa plate-forme de sécurité
SecurityCenter Continuous View (SCCV). Combinant des fonctions d’analyse active, d’écoute réseau et de corrélation de journaux, SCCV détecte
le malware sophistiqué que d’autres produits antivirus et antimalware ne dépistent pas. Seul à allier ces technologies, Tenable peut identifier des
logiciels potentiellement malveillants qui s’exécutent dans votre environnement et dont le risque n’a pas été classifié, ainsi que des chevaux de
Troie, des botnets et des menaces persistantes avancées. Tenable SCCV gère les composants mobiles, virtuels et cloud/SaaS d’un Datacenter
hybride et dynamique.
Audit de l’efficacité des outils de sécurité déployés
La capacité de vérifier l’efficacité de vos produits de sécurité actuels, notamment pour la protection AV et AM, devient primordiale du fait des
deux tendances décrites précédemment. Tenable SCCV permet d’auditer les hôtes et les serveurs en termes de défaut de logiciel antivirus ou de
mauvaise configuration.
Les vulnérabilités sont exploitées rapidement dans les entreprises qui n’appliquent pas les mises à jour logicielles que fournissent les
éditeurs, en particulier les vulnérabilités OS des applications orientées Web. SCCV analyse l’état des correctifs sur les hôtes et peut avertir les
administrateurs si des systèmes dans l’environnement présentent des failles de sécurité suite à des correctifs obsolètes. Grâce aux rapports
SCCV, les analystes en sécurité peuvent suivre l’efficacité de leurs pratiques en termes de correctifs, de suivi et de traitement des incidents.
5
| LIVRE BLANC
Détection directe et indirecte de logiciels malveillants
Tenable SCCV tire parti de ses analyses d’évaluation directe (Nessus) et indirecte (PVS) pour détecter le malware sur des systèmes Windows.
À l’aide d’un agent temporaire, Tenable SCCV analyse les processus en cours d’exécution sur la machine et les compare à des signatures de
malware, générant un rapport de tout processus infecté qui est détecté.
En outre, Tenable SCCV permet de dépister des signatures identifiées par votre propre équipe de recherche et de vous en avertir à des fins de
contrôle. Vous pouvez élargir ce mécanisme à d’autres sources d’analyse tierces pour compléter la liste de détection des menaces connues.
Cette fonctionnalité intègre les logiciels malveillants définis par le rapport de Mandiant sur la détection des menaces et identifie une gamme
de malware connue sous le nom commun d’APT1. La détection APT1 s’enrichit également de la capacité à déceler la manipulation de certificats
SSL. En dernier lieu, Tenable SCCV permet de détecter un large éventail de logiciels pouvant ne pas figurer clairement dans les définitions des
menaces connues, mais susceptibles d’enfreindre les politiques d’entreprise et donc interdits dans les réseaux professionnels.
Les botnets posent un problème majeur et consistent en des millions d’hôtes a priori inoffensifs dans des entreprises et d’autres organisations.
Tenable SCCV peut identifier des machines appartenant à un botnet en évaluant l’hôte lui-même, en vérifiant ses communications externes pour
déterminer s’il envoie ou reçoit du trafic à destination ou en provenance d’un botnet connu et en comparant les entrées DNS à des URL et des
adresses IP malveillantes. Tenable SCCV permet de détecter des hôtes et des activités de botnet de manière autonome, indépendamment de
tout produit AV ou IDS.
Analyse, écoute et corrélation combinée de journaux
L’utilisation d’une méthode multi vectorielle rend Tenable SCCV bien plus efficace pour détecter le malware dans votre environnement,
notamment celui créé récemment et non répertorié par les produits de sécurité classiques. SCCV combine une analyse directe de vulnérabilités,
une surveillance passive du réseau et une collecte/corrélation de journaux pour dépister les attaques sophistiquées.
L’évaluation des hôtes détecte les processus malveillants s’exécutant sur l’hôte. L’évaluation directe identifie également les portes dérobées, les
comptes par défaut non sécurisés, les rootkits, le malware en mémoire, les exploits BIOS et plusieurs autres types de failles de sécurité.
L’écoute réseau dépiste une autre forme de menaces, par une analyse passive du trafic réseau et la recherche d’activités suspectes :
explorations de fichiers non autorisés, manipulations d’entrées DNS, demandes d’accès à une base de données, attaques ciblant des
applications Web et communications Internet suspectes. En outre, l’écoute réseau est très utile pour déceler une infiltration de botnet et analyser
les activités menées par les bots dans votre environnement.
Pour faciliter la gestion des incidents et l’analyse formelle des activités malveillantes, SCCV peut collecter des données de journaux à travers
l’entreprise, puis les corréler dans les journaux eux-mêmes, ainsi qu’avec l’analyse d’évaluation et l’écoute réseau afin de fournir un contexte de
sécurité enrichi.
Par exemple, si une analyse récente a découvert un nouveau processus malveillant sur un hôte particulier, la fonction de surveillance réseau
de SCCV permet de déterminer toutes les communications impliquant cet hôte, et la fonction de corrélation de journaux de trouver d’autres
instances de ce processus malveillant dans le réseau. Vous pouvez combiner les données d’analyse et d’écoute pour rechercher des services
masqués exécutant des applications non autorisées, ou pire encore recueillant et communiquant des données sensibles à des serveurs de
contrôle externes.
6
| LIVRE BLANC
Utilisation d’une veille basée sur des listes blanches, noires et grises
Chaque entreprise utilise de nombreux composants logiciels qui ne sont classifiés ni comme des applications convenables ni comme
malveillantes. Ceci vaut notamment pour les entreprises qui autorisent les machines en libre-service et l’accès d’appareils mobiles à des services
clés. Cette liste grise d’inconnus peut consister en des milliers de logiciels, d’applications et de services différents, et offre une base très vaste
que des attaques risquent de cibler.
Pour atténuer la menace, SCCV identifie les logiciels connus comme bons et mauvais, et effectue un suivi des autres logiciels inconnus sous
forme de liste grise. Les analystes de sécurité peuvent distinguer et isoler les processus inconnus, les analyser plus en profondeur et, le cas
échéant, prendre des mesures correctives s’ils déterminent que les processus présentent un comportement anormal, lancent des actions
malveillantes ou dilatoires, voire non conformes aux règles de l’entreprise.
Résumé
Les menaces connaissent une croissance exponentielle. Les produits de sécurité classiques, comme les solutions antivirus et antimalware, jouent
un rôle crucial dans une bonne stratégie de sécurité multiniveau, mais il faut vérifier leur efficacité et les compléter par des techniques avancées
de détection de malware. Tenable SCCV fournit le niveau additionnel de vérification et de détection sophistiquée nécessaire pour dépister et
traiter le malware qui a déjà infiltré votre entreprise. En alliant ses fonctions d’analyse d’évaluation, d’écoute réseau et de collecte/corrélation de
journaux, SCCV peut garantir aux analystes de sécurité que le malware ne va pas toucher leur entreprise.
À propos de Tenable Network Security
Tenable Network Security offre des solutions de surveillance réseau continue pour identifier les vulnérabilités, réduire les risques et assurer la
conformité. Notre gamme de produits comprend SecurityCenter Continuous View™, qui procure la supervision la plus complète et intégrée de
l’état du réseau, et Nessus®, la référence mondiale en termes de détection et d’évaluation des données réseau. Plus de 24 000 organisations,
dont le Département américain de la Défense et un nombre important de grandes entreprises et d’administrations à travers le monde, font
confiance à Tenable Network Security. Pour plus d’informations, visitez le site tenable.com.
For More Information: Please visit tenable.com
Contact Us: Please email us at [email protected] or visit tenable.com/contact
Copyright © 2014. Tenable Network Security, Inc. All rights reserved. Tenable Network Security and Nessus are registered
trademarks of Tenable Network Security, Inc. SecurityCenter and Passive Vulnerability Scanner are trademarks of Tenable Network
Security, Inc. All other products or services are trademarks of their respective owners. FR-08292014-V4
7