Tenable et la détection des logiciels malveillants
Transcription
Tenable et la détection des logiciels malveillants
DATA BLANC SHEET | |LIVRE Tenable et la détection des logiciels malveillants : Maîtriser un environnement de menaces hypersophistiqué | LIVRE BLANC Sommaire Introduction Le problème Lacunes actuelles d’un antivirus à base de signatures 3 3 3 Déplacement du périmètre organisationnel 4 Tenable et la détection des logiciels malveillants Audit de l’efficacité des outils de sécurité déployés 5 5 Détection directe et indirecte de logiciels malveillants 6 Analyse, écoute et corrélation combinée de journaux 6 Utilisation d’une veille basée sur des listes blanches, noires et grises 7 Résumé À propos de Tenable Network Security 7 7 2 | LIVRE BLANC Introduction Dans un contexte de renforcement constant des cyber menaces, les produits antivirus (AV) et antimalware (AM) classiques s’avèrent incapables de détecter correctement les nouvelles menaces auxquelles sont confrontées à présent les entreprises. En outre, l’essor de la mobilité et l’adoption de pratiques BYOD engendrent un nouveau niveau de risque avec les ordinateurs portables, les smartphones et les appareils mobiles inconnus et non gérés qui accèdent à des ressources informatiques sensibles. Ces évolutions font peser sur les entreprises, les administrations et le grand public un risque issu d’un large éventail d’activités malveillantes. Se fier uniquement à un antivirus classique à base de signatures ne suffit simplement plus pour prévenir les assauts actuels des nouvelles menaces sophistiquées. Ce livre blanc décrit en détail certaines tendances et statistiques sur la détection des logiciels malveillants. Il présente ensuite une méthode multi vectorielle pour détecter précisément les menaces dans l’environnement informatique, et vérifier que les logiciels antimalware déjà déployés fonctionnent de manière optimale. • • • • Audit de présence, de configuration et d’actualisation des produits AV Exploitation de la détection directe et indirecte de logiciels malveillants Combinaison d’analyses d’évaluation, d’écoute réseau et d’examen de journaux Utilisation d’une veille sur les bonnes et mauvaises pratiques connues Le problème Chaque année, les entreprises dépensent des fortunes en produits antivirus. Il existe plusieurs techniques différentes que les produits antivirus (AV) et antimalware (AM) utilisent pour détecter des logiciels malveillants qui tentent de s’auto-installer, et pour identifier et éliminer ceux déjà présents sur l’ordinateur d’un utilisateur. Une technique clé consiste à utiliser des signatures, que l’éditeur du logiciel distribue régulièrement. Plus récemment, l’analyse heuristique s’est répandue, elle tente de s’appuyer sur des signatures plus génériques pour identifier des variantes de malware. D’autres techniques comprennent la détection d’activités malveillantes (OS, noyau, registre et réseau) et le « sandboxing ». Toutefois, ces techniques traditionnelles posent de graves problèmes. Lacunes actuelles d’un antivirus à base de signatures Les produits antivirus à base de signatures ne sont efficaces que contre les risques connus, qui ont été étudiés par les laboratoires de recherche de l’éditeur et dont la signature AV a été créée. Le problème de cette méthode est que le nombre des nouveaux logiciels malveillants créés chaque jour submerge aisément ces laboratoires. Les estimations varient sur la proportion exacte des nouveaux logiciels malveillants. Par exemple, McAfee indique environ 100 000 nouveaux échantillons de malware différents par jour et Kaspersky Labs plus de 200 000. 25,000,000 20,000,000 15,000,000 10,000,000 5,000,000 0 Q1 2011 Q2 2011 Q3 2011 Q4 2011 Q1 2012 Q2 2012 Q3 2012 Q4 2012 Q1 2013 Q2 2013 Q3 2013 Rapport sur les menaces McAfeeThird : troisième trimestre McAfee des Labslaboratoires Threats Report: Quarter 20132013 Compte tenu de ces chiffres, les éditeurs d’antivirus ne peuvent pas maintenir à jour leurs bases de données de signatures avec le volume des logiciels malveillants créés. En fait, l’efficacité des principaux logiciels antivirus a été soulignée comme très faible, notamment pour les nouveaux échantillons de malware. En 2010, un test réalisé par Cyveillance a déterminé des taux de détection AV d’environ 25 à 30 % pour le nouveau malware, et une étude plus récente d’Imperva (décembre 2012) a révélé des taux de seulement 5 %. 3 | LIVRE BLANC Trend Micro Sophos McAfee Kaspersky F-Secure Dr. Web AVG Nod32 F-Prot VirusBuster Norman eTrust-Vet Symantec 0% 5.0% 10.0% 15.0% 20.0% 25.0% 30.0% 35.0% 40.0% Taux de détection des solutions antivirus AV Solution Detection Rates Les éditeurs d’antivirus sont incapables de générer des signatures assez rapidement pour maintenir les entreprises protégées contre les nouveaux logiciels malveillants et à autoréplication/mutation. Il faut souvent des semaines pour que l’éditeur publie des signatures pour une nouvelle menace. Les chiffres varient également, mais des délais de 2 à 8 semaines ne sont pas rares, laissant les entreprises vulnérables aux attaques bien après l’identification de la menace. Kaspersky Trend Micro Symantec Avast McAfee 0 .5 1 1.5 2 2.5 3 3.5 4 4.5 Nombre semaines nécessaires identifier un fichier infecté détecté initialement Number ofdeWeeks Required to pour Identify Infected File not non identified in First Run En outre, les produits antivirus à base de signatures perdent en efficacité car ils sont facilement disponibles. Les hackers et créateurs de logiciels malveillants testent en général leurs programmes contre la plupart des produits antivirus disponibles, et les conçoivent spécifiquement pour déjouer ces produits. Déplacement du périmètre organisationnel Jusqu’à tout récemment, les entreprises pouvaient gouverner le poste de travail des utilisateurs, en délivrant souvent les machines elles-mêmes, en contrôlant strictement les logiciels installés, voire en confinant physiquement ces machines au sein de leurs sites, et donc à l’intérieur du pare-feu. Toutefois, la donne a changé car les utilisateurs et les entreprises adoptent le concept du BYOD. En outre, les applications connaissent un transfert rapide du Datacenter traditionnel vers le cloud. Les professionnels utilisent des applications et services de cloud en complément des outils informatiques habituels pour réaliser leurs tâches quotidiennes. Cette tendance se reflète aussi dans la création de malware, les hackers évoluant vite pour exploiter les failles des appareils mobiles, des tablettes, des navigateurs Web et des applications. McAfee a signalé une forte hausse du malware mobile, notamment pour Android mais également pour iOS dans son récent rapport trimestriel sur les menaces. 4 | LIVRE BLANC Nouveau malware Android New Android Malware 1,000,000 900,000 800,000 700,000 600,000 500,000 400,000 300,000 200,000 100,000 0 Q2 2011 Q3 2011 Q4 2011 Q1 2012 Q2 2012 Q3 2012 Q4 2012 Q1 2013 Q2 2013 Q3 2013 Rapport surMcAfee les menaces laboratoires McAfee troisième2013 trimestre 2013 Labsdes Threats Report: Third: Quarter Outre le malware mobile, on a observé une forte hausse des réseaux de bots (botnets), de l’injection SQL, des attaques XSS (éléments dynamiques) et des sites Web/domaines infectés pour les visiteurs peu méfiants. Aite Group a estimé qu’en 2012 plus de 10 000 nouveaux domaines malveillants étaient déployés chaque jour. Tenable et la détection des logiciels malveillants Tenable offre une solution originale et multiforme pour détecter le malware dans votre entreprise grâce à sa plate-forme de sécurité SecurityCenter Continuous View (SCCV). Combinant des fonctions d’analyse active, d’écoute réseau et de corrélation de journaux, SCCV détecte le malware sophistiqué que d’autres produits antivirus et antimalware ne dépistent pas. Seul à allier ces technologies, Tenable peut identifier des logiciels potentiellement malveillants qui s’exécutent dans votre environnement et dont le risque n’a pas été classifié, ainsi que des chevaux de Troie, des botnets et des menaces persistantes avancées. Tenable SCCV gère les composants mobiles, virtuels et cloud/SaaS d’un Datacenter hybride et dynamique. Audit de l’efficacité des outils de sécurité déployés La capacité de vérifier l’efficacité de vos produits de sécurité actuels, notamment pour la protection AV et AM, devient primordiale du fait des deux tendances décrites précédemment. Tenable SCCV permet d’auditer les hôtes et les serveurs en termes de défaut de logiciel antivirus ou de mauvaise configuration. Les vulnérabilités sont exploitées rapidement dans les entreprises qui n’appliquent pas les mises à jour logicielles que fournissent les éditeurs, en particulier les vulnérabilités OS des applications orientées Web. SCCV analyse l’état des correctifs sur les hôtes et peut avertir les administrateurs si des systèmes dans l’environnement présentent des failles de sécurité suite à des correctifs obsolètes. Grâce aux rapports SCCV, les analystes en sécurité peuvent suivre l’efficacité de leurs pratiques en termes de correctifs, de suivi et de traitement des incidents. 5 | LIVRE BLANC Détection directe et indirecte de logiciels malveillants Tenable SCCV tire parti de ses analyses d’évaluation directe (Nessus) et indirecte (PVS) pour détecter le malware sur des systèmes Windows. À l’aide d’un agent temporaire, Tenable SCCV analyse les processus en cours d’exécution sur la machine et les compare à des signatures de malware, générant un rapport de tout processus infecté qui est détecté. En outre, Tenable SCCV permet de dépister des signatures identifiées par votre propre équipe de recherche et de vous en avertir à des fins de contrôle. Vous pouvez élargir ce mécanisme à d’autres sources d’analyse tierces pour compléter la liste de détection des menaces connues. Cette fonctionnalité intègre les logiciels malveillants définis par le rapport de Mandiant sur la détection des menaces et identifie une gamme de malware connue sous le nom commun d’APT1. La détection APT1 s’enrichit également de la capacité à déceler la manipulation de certificats SSL. En dernier lieu, Tenable SCCV permet de détecter un large éventail de logiciels pouvant ne pas figurer clairement dans les définitions des menaces connues, mais susceptibles d’enfreindre les politiques d’entreprise et donc interdits dans les réseaux professionnels. Les botnets posent un problème majeur et consistent en des millions d’hôtes a priori inoffensifs dans des entreprises et d’autres organisations. Tenable SCCV peut identifier des machines appartenant à un botnet en évaluant l’hôte lui-même, en vérifiant ses communications externes pour déterminer s’il envoie ou reçoit du trafic à destination ou en provenance d’un botnet connu et en comparant les entrées DNS à des URL et des adresses IP malveillantes. Tenable SCCV permet de détecter des hôtes et des activités de botnet de manière autonome, indépendamment de tout produit AV ou IDS. Analyse, écoute et corrélation combinée de journaux L’utilisation d’une méthode multi vectorielle rend Tenable SCCV bien plus efficace pour détecter le malware dans votre environnement, notamment celui créé récemment et non répertorié par les produits de sécurité classiques. SCCV combine une analyse directe de vulnérabilités, une surveillance passive du réseau et une collecte/corrélation de journaux pour dépister les attaques sophistiquées. L’évaluation des hôtes détecte les processus malveillants s’exécutant sur l’hôte. L’évaluation directe identifie également les portes dérobées, les comptes par défaut non sécurisés, les rootkits, le malware en mémoire, les exploits BIOS et plusieurs autres types de failles de sécurité. L’écoute réseau dépiste une autre forme de menaces, par une analyse passive du trafic réseau et la recherche d’activités suspectes : explorations de fichiers non autorisés, manipulations d’entrées DNS, demandes d’accès à une base de données, attaques ciblant des applications Web et communications Internet suspectes. En outre, l’écoute réseau est très utile pour déceler une infiltration de botnet et analyser les activités menées par les bots dans votre environnement. Pour faciliter la gestion des incidents et l’analyse formelle des activités malveillantes, SCCV peut collecter des données de journaux à travers l’entreprise, puis les corréler dans les journaux eux-mêmes, ainsi qu’avec l’analyse d’évaluation et l’écoute réseau afin de fournir un contexte de sécurité enrichi. Par exemple, si une analyse récente a découvert un nouveau processus malveillant sur un hôte particulier, la fonction de surveillance réseau de SCCV permet de déterminer toutes les communications impliquant cet hôte, et la fonction de corrélation de journaux de trouver d’autres instances de ce processus malveillant dans le réseau. Vous pouvez combiner les données d’analyse et d’écoute pour rechercher des services masqués exécutant des applications non autorisées, ou pire encore recueillant et communiquant des données sensibles à des serveurs de contrôle externes. 6 | LIVRE BLANC Utilisation d’une veille basée sur des listes blanches, noires et grises Chaque entreprise utilise de nombreux composants logiciels qui ne sont classifiés ni comme des applications convenables ni comme malveillantes. Ceci vaut notamment pour les entreprises qui autorisent les machines en libre-service et l’accès d’appareils mobiles à des services clés. Cette liste grise d’inconnus peut consister en des milliers de logiciels, d’applications et de services différents, et offre une base très vaste que des attaques risquent de cibler. Pour atténuer la menace, SCCV identifie les logiciels connus comme bons et mauvais, et effectue un suivi des autres logiciels inconnus sous forme de liste grise. Les analystes de sécurité peuvent distinguer et isoler les processus inconnus, les analyser plus en profondeur et, le cas échéant, prendre des mesures correctives s’ils déterminent que les processus présentent un comportement anormal, lancent des actions malveillantes ou dilatoires, voire non conformes aux règles de l’entreprise. Résumé Les menaces connaissent une croissance exponentielle. Les produits de sécurité classiques, comme les solutions antivirus et antimalware, jouent un rôle crucial dans une bonne stratégie de sécurité multiniveau, mais il faut vérifier leur efficacité et les compléter par des techniques avancées de détection de malware. Tenable SCCV fournit le niveau additionnel de vérification et de détection sophistiquée nécessaire pour dépister et traiter le malware qui a déjà infiltré votre entreprise. En alliant ses fonctions d’analyse d’évaluation, d’écoute réseau et de collecte/corrélation de journaux, SCCV peut garantir aux analystes de sécurité que le malware ne va pas toucher leur entreprise. À propos de Tenable Network Security Tenable Network Security offre des solutions de surveillance réseau continue pour identifier les vulnérabilités, réduire les risques et assurer la conformité. Notre gamme de produits comprend SecurityCenter Continuous View™, qui procure la supervision la plus complète et intégrée de l’état du réseau, et Nessus®, la référence mondiale en termes de détection et d’évaluation des données réseau. Plus de 24 000 organisations, dont le Département américain de la Défense et un nombre important de grandes entreprises et d’administrations à travers le monde, font confiance à Tenable Network Security. Pour plus d’informations, visitez le site tenable.com. For More Information: Please visit tenable.com Contact Us: Please email us at [email protected] or visit tenable.com/contact Copyright © 2014. Tenable Network Security, Inc. All rights reserved. Tenable Network Security and Nessus are registered trademarks of Tenable Network Security, Inc. SecurityCenter and Passive Vulnerability Scanner are trademarks of Tenable Network Security, Inc. All other products or services are trademarks of their respective owners. FR-08292014-V4 7