le système De Défense collaboratif Webpulse

La sécurité :
un monde de
possibilités
pour
l'entreprise
LIVRE BLANC
Le système de défense
collaboratif WebPulse
Défendre de manière pro-active votre réseau contre les logiciels malveillants
Aujourd'hui, la facilité avec laquelle nous pouvons partager et accéder aux informations dans ce monde constamment connecté
change complètement la donne, elle influe sur la manière dont nous menons notre vie personnelle, interagissons avec les
gouvernements et gérons nos activités professionnelles. Elle documente nos interactions, nous aide à établir de solides relations, nous
permet de prendre des décisions avisées et esquisse notre compréhension du monde qui nous entoure. Mais nous ne sommes pas les
seuls à profiter de ces échanges quotidiens inestimables. Ceux-ci sont également une manne sans pareil pour les attaquants potentiels.
L'ensemble de ces informations et de ces nouveaux modes de communication et d'interaction représentent une formidable opportunité
en termes de gains financiers pour une communauté de cybercriminels extrêmement motivés et organisés.
Le nouvel environnement menaçant
Le système de défense
collaboratiF WebPulse
©
BLUE COAT SYSTEMS, INC
Les spam, les canulars, les logiciels espions et les logiciels malveillants
n'ont tous qu'un seul but : s'approprier les biens de vos utilisateurs ou
de votre entreprise. Ce nouvel environnement menaçant est composé
d'un réseau sophistiqué de pirates à la solde de cercles professionnels
spécialisés dans le cybercrime organisé. Dans son rapport de 2011
sur les menaces pour la sécurité, Sophos indiquait une augmentation
annuelle de 60 % des logiciels malveillants, soit 150 000 nouveaux
logiciels de ce type chaque jour ou un fichier presque toutes les
30 secondes, et 19 000 nouvelles URL malveillantes chaque jour.
Qui plus est, ces menaces sont de plus en plus sophistiquées. Pour
éviter d'être arrêtés, les cybercriminels modifient constamment leur
organisation. Comme tout expert chevronné en sécurité peut l'attester,
lorsque vous pensez savoir à quoi vous attendre, les attaques évoluent
rapidement vers quelque chose de nouveau.
Les attaquants sentent rapidement venir une technologie de blocage ou de
restriction entre eux et leurs cibles et mettent tout en œuvre pour contourner
ces restrictions. Cependant, ils savent également comment les internautes
utilisent actuellement le Web et s'appuient sur ce nouveau comportement
utilisateur pour commettre des cybercrimes.
De nos jours, une session standard de navigation Internet débute sur
un site Web populaire et considéré de confiance ou sur un moteur de
recherche habituellement autorisé par la politique de sécurité de l'entreprise.
Dans son rapport sur la sécurité de 2011, Sophos révèle que plus de
80 % des URL malveillantes détectées étaient des sites Web légitimes
piratés par des cybercriminels. Les recherches réalisées en 2011 par les
Security Labs de Blue Coat indiquent que la méthode SEP (Search Engine
Poisoning – Empoisonnement de moteurs de recherche) constitue la menace
Web numéro 1.
Lors des dernières recherches menées par Blue Coat Security Labs, nous constatons que,
de loin, le plus grand risque provient des résultats de moteurs de recherche empoisonnés.
Parmi les autres menaces, les réseaux sociaux sont en passe d'égaler les sources de
logiciels malveillants traditionnels comme la pornographie et la messagerie électronique.
Et bien entendu, tout comme les pickpockets dans une rue bondée, les
cybercriminels opèrent là où il y a le plus de monde. Une récente enquête
menée par Blue Coat révèle que les leurres les plus utilisés sur le Web sont
placés dans les applications de réseaux sociaux tels que Facebook et les flux
Twitter. Outre les problèmes de productivité qu'ils engendrent, les réseaux
sociaux et leur écosystème constituent une cible de choix pour les fraudeurs
et les cybercriminels.
De manière générale, l'efficacité de ces menaces repose sur des leurres
ou des pièges provenant de sites légitimes, de résultats de recherche ou
de sites consultés sur les conseils d'amis, qui dirigent l'utilisateur confiant
vers un réseau complexe et en mutation constante de relais et de liens
dynamiques, un réseau de diffusion des logiciels malveillants.
1
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l'entreprise
Le système de défense
collaboratiF WebPulse
©
BLUE COAT SYSTEMS, INC
Pourquoi la sécurité traditionnelle échoue-t-elle ?
Pour vous défendre contre ce nouvel environnement de menaces, vous
avez besoin d'une solution qui repose sur une connaissance approfondie
et actuelle du nouvel Internet, capable d'identifier les nombreux vecteurs
potentiels d'une attaque sophistiquée. Elle doit également pouvoir s'adapter
aux menaces Web en constante évolution.
À l'origine, la croyance traditionnelle en matière de sécurité voulait que
l'on construise un véritable bouclier autour du réseau, en protégeant les
points d'entrée et de sortie à l'aide de pare-feux. Depuis, se sont ajoutés les
antivirus et le filtrage du Web, mais la sécurité contre les menaces Internet
s'en trouve réduite à deux principes : la protection du réseau comme
défense principale et la prévention auprès des utilisateurs, en les empêchant
de visiter les zones dangereuses du Web. Avec ce modèle de défense
limité, les organisations sont souvent contraintes d'appliquer un système
d'URL statiques basées sur la réputation ou des politiques de filtrage de
contenu qui tentent de catégoriser le Web en séries de sites ou de contenus
sécurisés ou suspects, et qui utilisent ensuite le filtrage pour accorder ou
refuser l'accès d'après cette classification.
Mais dans le contexte actuel de menaces, ces défenses traditionnelles sont
insuffisantes pour les raisons suivantes :
• Elles se fient trop à la réputation : Un site fiable peut tout à fait avoir été
contaminé par un piège qui transfère automatiquement le visiteur par le
biais d'un relais silencieux en arrière-plan vers un téléchargeur malveillant,
et ce sans aucune action de l'utilisateur. Des résultats de recherche
peuvent avoir été corrompus par un cybercriminel utilisant des appâts qui
peuvent mener l'utilisateur vers une charge virale masquée, chiffrée ou ne
correspondant à aucun modèle d'attaque connu (« signature »), de telle
sorte que son exécution est autorisée.
• Elles ne sont pas à jour : Elles sont trop axées sur la tentative, qui
semble vaine, de catégorisation des sites Web et des contenus comme
étant sécurisés ou non, en se basant sur la réputation passée et les
risques connus. Ces catégorisations tendent à être statiques, ne
changeant que rarement, à l'occasion de téléchargements de bases
de données ou de cycles de mise à jour, sur une base hebdomadaire,
quotidienne ou même horaire. Dans un contexte d'évolution permanente,
tout ce qui ne relève pas de la visibilité en temps réel est susceptible
d'arriver trop tard.
Ces points faibles sont accentués par la réalité actuelle et par le concept de
réseau, mais également par toutes les menaces qui ne sont plus contrées
par les modèles de sécurité traditionnels. Comme nous le décrivons dans ce
livre blanc, le contexte actuel nécessite un système qui prend en compte le
nouvel environnement de menaces et qui peut réagir en temps réel afin de
les supprimer.
Le besoin : de nouveaux contrôles pour de nouveaux
comportements sur le Web
L’empoisonnement des moteurs de recherche est la première méthode de
propagation des menaces sur le Web. Pour être plus précis, les recherches
d'images ont dépassé les recherches de texte et sont maintenant le vecteur
principal de diffusion de logiciels malveillants. Cela fait des utilisateurs à la
recherche de supports piratés une préoccupation majeure et une cible de
choix pour la cybercriminalité.
La plupart des employés s'attendent à pouvoir utiliser les réseaux sociaux
au travail. D'ailleurs, certaines fonctions et certains postes l'exigent. Par
conséquent, les équipes informatiques comprennent aujourd'hui, qu'il ne
convient pas de simplement bloquer Facebook. Toutefois, les services
informatiques se débattent, essayant de trouver des compromis entre
la sécurité et la nécessité de communiquer et de partager l'information.
Les cybercriminels le savent et exploitent cette faiblesse. Sur les réseaux
sociaux, les cybercriminels s'infiltrent dans un environnement fiable où nous
baissons la garde car nous sommes entre amis.
Les politiques de contrôle du Web et les défenses par filtrage
traditionnelles protègent difficilement contre les risques liés à ces nouveaux
comportements, et ce pour plusieurs raisons.
• Elles ne savent pas où les résultats de recherche peuvent mener :
Lorsque les chercheurs de Blue Coat Security Labs ont observé les
catégories hébergeant des logiciels malveillants, ils ont constaté que
quatre des cinq premières catégories étaient considérées comme
étant d'utilisation acceptable et autorisées par la plupart des politiques
informatiques. N'oubliez pas que la cybercriminalité a activement
empoisonné les résultats de recherche et les utilisera comme points
d'entrée vers les hôtes de logiciels malveillants, via une série de liens et
de relais dynamiques en constante évolution.
• Elles ne peuvent pas voir à l'intérieur des réseaux sociaux : Un
message sur un réseau social de la part d'amis peut se révéler être
l'invitation d'un cercle de cybercriminalité où vos données personnelles
pourront être dérobées et où les cybercriminels pourront tenter de
contaminer votre compte et transmettre l'infection à vos amis.
Les points d'entrée vers les réseaux de diffusion de logiciels malveillants
et les comportements jugés à risque se retrouvent souvent dans des
catégories d'utilisation fiables que les utilisateurs sont autorisés à visiter.
Par conséquent, nos nouvelles défenses doivent aller au-delà des points
d'entrée, à travers les liens et des nœuds éphémères et en permutation
constante des réseaux de diffusion de logiciels malveillants. Il nous faut
également comprendre le fonctionnement interne de l'écosystème de
communication des réseaux sociaux et établir des politiques de contrôle
qui tiennent compte des activités et des applications propres aux différents
domaines des réseaux sociaux.
2
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l'entreprise
Défense collaborative WebPulse de Blue Coat
Blue Coat WebPulse™ est un service d'analyse en temps réel basé sur
le cloud et alimenté par une communauté, qui fournit aux utilisateurs des
évaluations en temps réel par le biais de leurs produits de sécurité Web Blue
Coat. Lancé en 2004, WebPulse est l'un des services de sécurité de ce type
les plus évolués du monde. Il s'appuie sur une communauté mondiale de
75 millions d'utilisateurs qui recensent les sites et les pages non reconnus
dans WebPulse, comme base de ce service d'analyse et d'évaluation. La
communauté WebPulse est à la fois mondiale et diversifiée, comprenant
des consommateurs individuels comme des utilisateurs d'entreprise. Ceci
permet de fournir un éventail de données d'entrée solides qui dévoile à la
fois différentes formes de menaces et différents mécanismes d'accès aux
réseaux de diffusion de logiciels malveillants.
Architecture cloud WebPulse
Le système de défense
collaboratiF WebPulse
©
BLUE COAT SYSTEMS, INC
WebPulse repose sur des principes de conception de système d'analyse
très solides.
• Entrée : De toute évidence, dans un système d'analyse, plus l'échantillon
est important plus l'analyse est précise. Cette base de données mondiale,
massive et diversifiée est un atout majeur du système WebPulse, qui gère
plus de 500 millions de requêtes Web par jour.
• Traitement : Comme pour tout système d'analyse, l'exactitude est
importante. Des tests indépendants ont montré que WebPulse améliore
d'environ 45 % l'exactitude
dans la détection des logiciels
malveillants par rapport au
fournisseur suivant le plus
précis. En outre, étant donné
que ce système a pour
but d'éliminer les risques,
la rapidité est tout aussi
importante. Par conséquent,
WebPulse comprend une série
de systèmes automatisés,
fonctionnant en temps réel
pour la plupart, ainsi qu'une
analyse approfondie en arrièreplan.
• Sortie : Une fois l'entrée constatée et analysée (surtout s'il s'agit d'une
menace ou d'un danger), nous voulons que l'alarme soit envoyée aussi
vite que possible. WebPulse délivre plus de 1,2 milliard dévaluations
dynamiques par semaine en moyenne.
Avec WebPulse, nous disposons d'un puissant mécanisme permettant de
partager les connaissances apportées anonymement via le cloud et de
fournir rapidement des évaluations précises, offrant ainsi en retour une
protection aux produits de sécurité Web Blue Coat et à leurs utilisateurs
associés.
À l'intérieur du cloud WebPulse
La technologie exclusive Blue Coat propose une large gamme d'outils,
d'analyses, de contrôleurs en arrière-plan, ainsi que des mécanismes
de notification en temps réel, conçus pour analyser automatiquement
les données soumises par la communauté d'utilisateurs et identifier les
comportements potentiellement malveillants. En termes de détection
des menaces : seize techniques d'analyse comprenant des programmes
antimalware, des antivirus, des analyseurs de script, de la corrélation Web,
des techniques de sandboxing et de l'analyse automatisée de jetons Web,
travaillent conjointement en temps réel. La fonctionnalité la plus efficace de
ce système de détection de menaces est certainement l'analyse des liens
dynamiques. Non seulement elle observe le point d'entrée, qui peut être un
site Web infecté, un résultat de recherche empoisonné ou un lien de réseau
social corrompu, mais elle suit également les requêtes tout au long du
parcours à travers les liens et les relais en mutation qui constituent le réseau
de diffusion des logiciels malveillants.
Blue Coat a développé plus de 300 bases de données d'évaluations en
temps réel par langue, le plus vaste ensemble de technologies d'évaluation
Web du secteur. Les évaluations sont fournies pour plus de 80 catégories
proposant jusqu'à quatre évaluations par requête Web (exemple :
messageries instantanées/chat sur les réseaux sociaux). Ceci est un point
important car cette granularité est la base des systèmes Blue Coat et
permet les contrôles inhérents à la technologie de filtrage du Web sur les
sites clients. Les évaluations sont fournies en 55 langues, en temps réel pour
19 d'entre elles. Enfin et surtout, les systèmes automatisés de Blue Coat
sont soutenus et alimentés par l'expertise des professionnels de Blue Coat
Security Labs à travers le monde. Ils fournissent des analyses en profondeur
des comportements suspects sur le Web et possèdent une connaissance
approfondie des rouages des réseaux de diffusion de logiciels malveillants,
et pas seulement des charges virales malveillantes qu'ils diffusent.
Pourquoi WebPulse est efficace
Les principes fondamentaux du système, le volume et l'immédiateté des
données d'entrée, la vitesse et la précision de l'analyse dans le cadre
d'une offre de services cloud fournissent des avantages évidents pour les
personnes utilisant les produits de sécurité Web Blue Coat soutenus par le
service WebPulse :
• Visibilité sur le cloud. Dans une communauté sur le cloud, une multitude
de personnes visitant de nombreuses pages Web et cliquant sur nombre
3
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l'entreprise
de liens fournissent un aperçu plus détaillé d'Internet et dévoilent un
nombre bien plus important de résultats corrompus que n'importe quelle
autre méthode.
• Intelligence d'une défense à 16 niveaux. Lorsqu'une telle échelle
de visibilité est disponible, les meilleures technologies d'analyse et de
détection des menaces, comprenant 16 couches d'analyse avancée des
menaces et une analyse des liens dynamiques des réseaux de diffusion
de logiciels malveillants, fournissent une protection immédiate et continue
contre les menaces sur le Web, connues et inconnues.
• Disponibilité à la demande. WebPulse maintient sa base de données
maîtresse sur le cloud constamment à jour avec intelligence et
précision car il est essentiel que les résultats soient immédiatement
mis à disposition de la communauté. Un service cloud représente un
avantage en la matière car il fournit un service qui ne nécessite pas de
téléchargements ou autres cycles de mises à jour.
De toute évidence, WebPulse est bien placé pour fournir une analyse des
menaces et des évaluations plus précises et plus rapides que celles des
solutions concurrentes. Les résultats des tests indépendants suivants le
montrent :
% par rapport à Blue Coat
Logiciels
malveillants
Hameçonnage
Cisco/IronPort
41 %
39 %
McAfee WG
30 %
26 %
17 %
Websense
44 %
Barracuda
7 %
0,08 %
Fortinet
5 %
8 %
Palo Alto Networks
22 %
3 %
Dans un test comparatif des défenses cloud en temps réel, BroadbandTesting1 a analysé plus de 12 milliards de requêtes Web. Pour les
12 000 qui ont été identifiées comme des sources de logiciels malveillants
et des attaques d'hameçonnage par WebPulse, l'organisme a comparé le
système de Blue Coat à des solutions de fournisseurs leaders sur le marché
des passerelles Web sécurisée et dans les catégories UTM/pare-feu.
Mettre WebPulse en œuvre
Le système de défense
collaboratiF WebPulse
©
BLUE COAT SYSTEMS, INC
Les défenses Blue Coat, déployées au sein d'une appliance, sur le cloud
ou en tant que système hybride combiné, utilisent WebPulse pour arrêter
les logiciels malveillants avant qu'ils n'atteignent le réseau du client. Avec
WebPulse, les nouvelles défenses ou les adaptations aux défenses actuelles
peuvent être mises en place immédiatement via le cloud WebPulse, sans
avoir besoin de correctifs, de téléchargements ou de mises à jour au niveau
1
« Blue Coat Security Report » (Rapport sur la sécurité Blue Coat), Broadband-Testing, octobre 2010
des passerelles Web ou des utilisateurs de solutions SaaS de sécurité Web.
WebPulse s'adapte au rythme de la cybercriminalité et est géré par Blue
Coat Security Labs.
WebPulse représente la première couche d'une stratégie de défense à
plusieurs niveaux, en offrant une défense contre les logiciels malveillants
basée sur le cloud et alimentée par une communauté qui analyse les
liens dynamiques et le contenu qu'ils délivrent. Les organisations utilisent
Blue Coat WebFilter, épaulé par WebPulse, pour offrir une protection contre
les menaces, un contrôle de la navigation et permettre la conformité.
Une solution complète de défense hybride de Blue Coat inclut des couches
supplémentaires, déployées au sein des appliances, en tant que service
cloud ou sous forme d'une combinaison hybride des deux :
Détection des menaces
En nous appuyant sur les évaluations de WebPulse, sur les moteurs de
détection proactive de menaces à l'intérieur des appliances de passerelle
sécurisée sur le Web ou sur notre service de sécurité Web sur le cloud, nous
pouvons analyser tous les objets Web entrant (et accessoirement les objets
sortants) à la recherche de logiciels malveillants, de logiciels espions et de
codes mobiles malveillants. Les filtres de contenus observent tous les types
de fichiers en s'appuyant sur les vérifications des types de fichiers réels et
la détection des incohérences de conteneurs, afin de supprimer toute pièce
jointe ou tout type de fichiers suspect. Comme mentionné précédemment,
il faut adopter la bonne pratique consistant à bloquer les téléchargements
de fichiers exécutables à partir de sites Web suspects ou non classés.
Des filtres de contenus/scripts actifs peuvent être appliqués au contenu
Web puisque Blue Coat ProxySG fournit une visibilité aux en-têtes et aux
réponses des requêtes Web. WebPulse dispose d'outils complets d'analyse
des scripts actifs en arrière-plan et en temps réel, qui sont mis à jour par
les experts de Security Lab afin d'éviter les problèmes de faux positifs.
La détection de menaces intégrées fournit une protection supplémentaire
contre les logiciels malveillants et les menaces contenues dans les pièces
jointes de messages électroniques ou les téléchargements de logiciels, ou
encore cryptées dans le trafic SSL. Les passerelles de sécurité Web ou
les services cloud de sécurité Web proposant une détection des menaces
intégrées fournissent une défense avant que le contenu Web n'arrive sur
l'ordinateur.
Stratégies définies
Les appliances Secure Web Gateway et le module de sécurité Web
de Blue Coat Cloud Service permettent une interruption totale de
protocole pour tous les types de trafic Internet, afin de fournir un contrôle
total (visibilité et contexte), sur toutes les transactions Web mises en
correspondance avec des utilisateurs ou des groupes. Vous pouvez
4
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l'entreprise
appliquer une politique granulaire pour les applications, les contenus et les
utilisateurs en intégrant l'ensemble des 11 méthodes d'authentification.
Contrôle du contenu Web et des applications Web
Le filtrage du Web de Blue Coat utilisé sur une appliance ou comme service
cloud fournit jusqu'à quatre évaluations de catégories par requête Web.
Ces catégories sont utilisées pour appliquer un contrôle et une protection
granulaires, grâce à des politiques définies et liées aux personnes ou aux
groupes à l'aide d'une méthodologie d'authentification. Pour les réseaux
sociaux, nous fournissons plus de 45 évaluations secondaires au sein
de la catégorie. Cela permet une politique de contrôle sur les jeux, les
messageries instantanées/chats, les courriels et d'autres catégories au sein
des réseaux sociaux ou dans des domaines spécifiques aux réseaux sociaux
comme Facebook.com. Les nouvelles applications Web et les opérations de
contrôle ont franchi un pas de plus et autorisent une politique de contrôle
spécifique aux noms et opérations Web. Les exemples d'applications
sont les téléchargements de vidéos ou d'images, le chargement ou
téléchargement de pièces jointes, l'envoi de messages ou de courriels.
Prévention de la perte de données intégrée
Attaques orientées piège et appât
Les attaques axées sur un piège se produisent lorsqu'un site légitime a été
infecté avec un lien dynamique ou lorsque le compte de réseau social d'un
utilisateur innocent demande à un visiteur d'envoyer une recommandation
contenant un lien dynamique. Les pièges infecteront alors toute personne
visitant la page ou suivant le lien, redirigeant silencieusement le visiteur, qui
l'ignore, à travers un réseau de diffusion de logiciels malveillants jusqu'à des
hôtes malveillants à quelques liens de là.
Les attaques axées sur l'appât apparaissent habituellement comme
des résultats bien placés suite à une recherche valide sur un moteur de
recherche populaire ou suite à la recommandation d'un ami sur un réseau
social. Les cybercriminels sèment des résultats de recherche bien placés
sur des sujets populaires, offrent de faux logiciels antivirus gratuits pour
nettoyer votre ordinateur (ils ont le sens de l'ironie) ou vous permettent de
visualiser une image ou une vidéo recommandée par l'un de vos amis sur un
réseau social.
Les deux types d'attaques tentent de mener l'utilisateur vers un réseau de
diffusion des logiciels malveillants afin d'injecter un logiciel malveillant sur
son ordinateur ou d'y collecter des informations personnelles.
L'intelligence et le contrôle de Blue Coat sur le contenu et les utilisateurs
peuvent être appliqués en sortie afin de prévenir la fuite de données
confidentielles. L'appliance de prévention de la perte de données de
Blue Coat permet aux organisations de détecter et de bloquer rapidement et
avec précision toute fuite de données éventuelle, atténuant ainsi rapidement
les risques tout en assurant la conformité réglementaire et en matière de
secteur de votre système.
Utilisateurs distants
Les utilisateurs individuels distants et les travailleurs itinérants peuvent
bénéficier du même niveau de protection que leurs collègues sédentaires
grâce aux appliances proxy, avec ProxyClient ou par le biais du module
de sécurité Web SaaS. ProxyClient et la solution SaaS de sécurité Web de
Blue Coat s'appuient tous deux sur le service cloud WebPulse pour fournir
une couche de protection accrue en complément des défenses existantes
de l'ordinateur portable.
WebPulse en action
Le système de défense
collaboratiF WebPulse
©
BLUE COAT SYSTEMS, INC
Étudions brièvement quelques techniques et mécanismes utilisés par
la nouvelle génération de menaces Web dynamiques et la manière dont
WebPulse vous permet de protéger votre réseau.
Les défenses traditionnelles qui tentent de mettre en œuvre des politiques
de protection basées sur la réputation des sites ne fonctionneront pas. En
revanche, grâce à une visibilité massive en temps réel, alimentée par une
communauté forte de 75 millions d'utilisateurs, non seulement WebPulse
fournit aux systèmes de défense une visibilité sur les pièges et appâts, mais
il dévoile également les relais et les hôtes malveillants et offre une vision
intelligente des réseaux de diffusion des logiciels malveillants eux-mêmes.
5
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l'entreprise
Sur une représentation visuelle de Shnakule,
le plus vaste réseau de diffusion de logiciels
malveillants, on voit clairement comment de
multiples liens dynamiques sont destinés à
attirer les utilisateurs vers le serveur de charge
utile de logiciels malveillants au centre.
Réseaux de diffusion de logiciels malveillants
Le système de défense
collaboratiF WebPulse
©
BLUE COAT SYSTEMS, INC
Les réseaux de diffusion de logiciels malveillants sont conçus par les
cybercriminels pour rediriger des utilisateurs confiants vers des logiciels
malveillants, via des serveurs de relais, d'intrusion ou de charges virales qui
circulent en continu sur de nouveaux domaines et emplacements.
En 2011, on comptait en moyenne 50 réseaux de diffusion de logiciels
malveillants actifs. Le nombre moyen de noms d'hôtes individuels par
jour pour les 10 premiers réseaux de diffusion de logiciels malveillants
s'élevait à environ 4 000 et Blue Coat Security Labs a pu voir passer plus de
40 000 requêtes d'utilisateurs par jour, destinées à entrer dans ces réseaux.
La charge virale du logiciel malveillant changeait régulièrement sur une
même journée afin de se soustraire à la vigilance des systèmes antivirus.
Grâce à la visibilité offerte par une vaste communauté connectée sur
le cloud, les systèmes intelligents en temps réel tel que WebPulse sont
les seuls à pouvoir contrer la nature changeante et l'important volume
des nouveaux domaines inhérents aux réseaux de diffusion de logiciels
malveillants. Parce qu'il inclut une technologie de protection contre les
menaces en temps réel, parmi les plus performantes du secteur, le cloud
WebPulse comprend le fonctionnement des réseaux de diffusion de logiciels
malveillants et connaît la structure des domaines, des serveurs relais et
des logiciels malveillants à tout moment. D'ailleurs, les experts en sécurité
Blue Coat peuvent désormais les visualiser et suivre les changements subtils
dans les interconnexions et les routes qui se préparent pour une attaque.
Voici un exemple qui illustre la différence et la valeur de WebPulse. Une
attaque basée sur un appât, offrant aux utilisateurs un faux service antivirus
a débuté le 29 juin 2011, menant les utilisateurs vers le plus grand réseau
de diffusion de logiciels malveillants, Shnakule. L'attaque menait à plusieurs
liens dynamiques, mais la menace venait des logiciels malveillants et des
serveurs d'intrusion qui avaient déjà été identifiés par WebPulse comme
faisant partie du réseau de diffusion de logiciels malveillants Shnakule.
Au moment de l'attaque, VirusTotal, un site Web proposant des services de
vérification des fichiers à l'aide de 43 produits antivirus différents, annonçait
que seuls deux moteurs sur les 43 reconnaissaient l'attaque. Mais grâce
à sa connaissance du réseau Shnakule, WebPulse avait déjà bloqué la
charge virale du logiciel malveillant, avant même le lancement de l'attaque,
protégeant ainsi les 75 millions de membres de la communauté WebPulse.
Publicité malveillante
Presque tous les services Web que nous utilisons régulièrement, des
moteurs de recherche aux courriels, en passant par les cartes ou les réseaux
sociaux et même les jeux d'argent et les sites de vidéos, sont gratuits
uniquement parce qu'ils sont financés par la publicité en ligne. La publicité
en ligne représente plusieurs milliards de dollars de chiffre d'affaires et est
prise en charge par une infrastructure de réseau d'annonces publicitaires
multicouche. Et cela s'avère efficace non seulement pour les annonceurs
légitimes, mais aussi pour les cybercriminels. En effet, en 2011, sur les dix
premières utilisées par les cybercriminels dans une attaque Web, Blue Coat
Security Labs a identifié la publicité malveillante comme étant la troisième.
Les cybercriminels créent une nouvelle annonce ou un domaine publicitaire
inoffensif qui, une fois reconnu, réputé et autorisé par la plupart des
défenses, se transforme en objet malfaisant ou infecte la publicité saine
d'un site Web de confiance, en utilisant les mêmes méthodes d'injection
ou d'empoisonnement employées pour contaminer un site réputé et de
confiance.
Une campagne de publicité malveillante est conduite comme n'importe
quelle campagne d'annonce publicitaire réelle, mais dans les deux cas, elle
6
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l'entreprise
consiste à détourner silencieusement et soudainement l'annonce publicitaire
elle-même ou ses clics afin de diffuser la charge virale d'un logiciel
malveillant. L'objectif est que le virus infecte l'ordinateur de l'utilisateur,
usurpe les noms d'utilisateur et les mots de passe ou vole de l'argent ou
des données à son employeur. Mais dès son apparition, ce détournement
sera probablement identifié par un membre de la communauté, qui avertira
WebPulse. WebPulse identifiera alors immédiatement le relais et les hôtes
malveillants dans la configuration du nouveau lien dynamique et préviendra
aussitôt le reste de la communauté.
Attaques par fausses analyses
Dans les attaques par fausses analyses, les cybercriminels construisent
un faux antivirus qui ressemble à une page de blocage d'un navigateur.
Ces attaques sont de plus en plus sophistiquées. Certaines n'ont même
pas besoin de s'appuyer sur l'empoisonnement des moteurs de recherche,
des réseaux sociaux, de la publicité malveillante ou des spams pour se
propager. Au lieu de cela, elles utilisent une approche plus directe pour
attirer un grand nombre de victimes potentielles depuis un réseau de sites
corrompus, souvent des sites de pornographie ou de films illégaux qui ont
été soit corrompus directement ou via un serveur de contenu partagé.
Le système de défense
collaboratiF WebPulse
©
BLUE COAT SYSTEMS, INC
Bien que la maîtrise de la langue y soit parfois approximative, il est facile
d'imaginer qu'une personne lisant rapidement la fenêtre contextuelle puisse
tomber dans le piège. Une fois que l'utilisateur a cliqué sur la boîte de
dialogue ou l'a fermée, l'attaque injecte le logiciel malveillant sur l'ordinateur.
Comme souvent pour les attaques de logiciels malveillants professionnelles,
la charge virale (un programme d'installation exécutable) est très bien
chiffrée. Là encore, cependant, en ayant connaissance des éléments qui
composent les relais et les serveurs de charge virale du réseau de diffusion
de logiciels malveillants, les utilisateurs de WebPulse ont bien plus de
chances d'être protégés contre ce type d'attaque.
Conclusion
Dans ce nouveau contexte de menaces, le volume des menaces n'est égalé
que par la sophistication des attaques et l'environnement en constante
évolution. Les sites Web réputés mais infectés, les résultats de recherche
empoisonnés, l'augmentation des environnements de réseaux sociaux
de confiance et le nouveau comportement des utilisateurs contribuent à
ébranler les approches de sécurité Web traditionnelles. Aujourd'hui, il est
nécessaire de disposer d'un système qui prend en compte le nouveau
contexte d'apparition des menaces et qui peut réagir en temps réel afin de
les supprimer.
Nos nouvelles défenses doivent voir au-delà des points d'entrée, à travers
les liens et les nœuds éphémères et en constante mutation des réseaux
de diffusion de logiciels malveillants, et nos politiques de contrôle du Web
doivent intégrer l'utilisation acceptable autorisée. Il nous faut également
comprendre le fonctionnement interne de l'écosystème des réseaux sociaux
et établir des politiques de contrôle qui tiennent compte des activités et des
applications propres aux différents domaines des réseaux sociaux.
Avec WebPulse, nous disposons d'un puissant mécanisme permettant de
partager les connaissances apportées anonymement via le cloud et de
fournir rapidement des évaluations plus précises, offrant ainsi en retour une
protection plus rapide à la communauté qui utilise les produits de sécurité
Web Blue Coat alimentés par WebPulse.
Les principes fondamentaux du système, le volume et l'immédiateté des
données d'entrée, la vitesse et la précision de l'analyse dans le cadre d'une
offre de services cloud en temps réel fournissent des avantages évidents
pour les personnes utilisant les produits alimentés par WebPulse :
• Visibilité sur le cloud
• Intelligence d'une défense à 16 niveaux
• Disponibilité à la demande
Avec son architecture unique, sa visibilité et sa granularité, WebPulse
s'associe aux défenses Web de Blue Coat pour fournir une analyse des
menaces et des évaluations plus précises, plus rapidement que ses
concurrents. Grâce aux solutions de sécurité Web Blue Coat alimentées par
WebPulse, vous disposerez d'une sécurité et d'un contrôle plus efficaces
que toutes les approches de sécurité Web traditionnelles.
7
LIVRE BLANC
La sécurité :
un monde de
possibilités
pour
l'entreprise
Blue Coat Systems Inc.
www.bluecoat.com
Siège social
Sunnyvale, CA, États-Unis
+1 408 220 2200
Siège social pour la
région EMEA
Hampshire, Royaume-Uni
+44 1252 554600
Siège social pour
la France
Montigny Le Bretonneux
+33130577417
© 2013 Blue Coat Systems, Inc. Tous droits réservés. Aucune partie de
ce document ne doit être reproduite par quelque moyen, ni transférée
sur quelque support électronique que ce soit sans l'accord écrit de
Blue Coat Systems, Inc. Les informations contenues dans ce document sont
considérées comme exactes et fiables lors de la publication ; cependant,
elles ne représentent en aucun cas un engagement de la part de Blue Coat.
Blue Coat ne peut pas garantir l'exactitude des informations présentées
après la date de publication. Ce document est proposé à titre d'information
uniquement. Blue Coat n'offre aucune garantie explicite, implicite, ni statutaire
quant aux informations contenues dans ce document. Les informations
contenues dans ce document ont été rédigées pour les produits et services
proposés aux États-Unis. Il se peut que Blue Coat ne propose pas les
fonctionnalités, produits ou services décrits dans le présent document
dans d'autres pays. Pour obtenir des renseignements sur les produits et
services actuellement disponibles dans votre région, veuillez contacter
votre représentant Blue Coat. Les produits, services techniques et autres
données techniques Blue Coat mentionnés dans ce document sont soumis
aux contrôles à l'export, aux sanctions pénales, réglementations et exigences
en vigueur aux États-Unis et peuvent être soumis aux réglementations
importation et d'exportation en vigueur dans les autres pays. Vous acceptez
de vous conformer strictement à ces lois, réglementations et exigences et
reconnaissez qu'il est de votre responsabilité d'obtenir tout permis, licence
ou approbation susceptible d'être requis pour exporter, réexporter, transférer
dans un pays ou importer après la livraison. Blue Coat peut détenir des
brevets ou des demandes de brevet couvrant les produits mentionnés dans
le présent document. La remise du présent document ne vous accorde
aucune licence relative auxdits brevets. Blue Coat, ProxySG, PacketShaper,
CacheFlow, IntelligenceCenter et BlueTouch sont des marques déposées de
Blue Coat Systems, Inc. aux États-Unis et dans le monde. Toutes les autres
marques déposées mentionnées dans le présent document appartiennent à
leurs propriétaires respectifs.
v.WP-WEBPULSE-A4-EN-v2a-0413
8