Sécurité des terminaux : comment répondre aux menaces de plus en plus complexes
Les menaces inconnues sont quant à elles le plus souvent détectées en utilisant la technologie de machine learning qui permet de les reconnaître en se basant sur des volumes d’échantillons massifs et des caractéristiques importantes, tel que la taille du fichier, la compression, etc., et déterminer ainsi la probabilité pour un fichier d’être bénigne ou maligne.
Enfin, nous pouvons également utiliser les détections comportementales pour détecter les menaces en nous basant sur le comportement d’un programme plutôt que sur son apparence. Tout cela est nécessaire pour bloquer les menaces avancées.
Un outil efficace mais loin d’être suffisant
Toutefois, bien que les systèmes de sécurité des terminaux semblent être optimisés, ils n’en demeurent pas moins vulnérables. Pour détourner ces technologies, les cybercriminels passent ainsi par ce qui est appelé l’obfuscation ou l’utilisation de chemins erronés, pratique visant à cacher la nature du fichier au moteur de détection.
Ce procédé est rendu possible en chiffrant ou en encodant le programme, donnant ainsi la possibilité à certains malwares d’utiliser les multiples couches d’obfuscation pour empêcher une analyse. Les mauvaises consignes sont utilisées pour tromper le système qui croit avoir affaire à un programme bénin, ce qu’il est à l’origine, au lieu de quelque chose d’ouvertement malicieux.
Cette technique, déjà avancée, n’est pas la seule. Les criminels vont par exemple passer par une attaque de phishing pour obtenir des identifiants et tout simplement désactiver un système de sécurité. Certaines solutions existent bien entendu pour faire face à ces modèles, mais cela montre toutefois une fragilité dans les systèmes Endpoint.
Des cyber-attaquants non détectables ?
Dans le cadre de cyberattaques, très souvent le cyber-attaquant était présent pendant un temps plus ou moins long dans un réseau avant de se faire démasquer en raison du manque de visibilité.
Trop souvent, le système lui-même est laissé sans protection. Sans la présence d’un logiciel de détection installé au préalable, l’intrus reste invisible alors qu’il est effectivement présent dans le réseau.
Mais le concept inverse est tout aussi risqué. Une activité intense dans le réseau peut amener un manque de détection et de perception entre ce qui semble bénin et ce qui ne l’est pas, et entraîne une difficulté de filtrage. Ce phénomène est d’autant plus présent dans de grands réseaux ouverts où tout peut communiquer avec tout et sur n’importe quel protocole.
Les attaquants les plus expérimentés profitent de la connaissance de votre environnement pour se déplacer sans être détecté. Ils vont utiliser vos identifiants, les applications existantes et les systèmes approuvés pour infiltrer votre réseau et récupérer vos données.
Prévenir, détecter et corriger
Tout d’abord, la prévention est essentielle. Pensez à la prévention non seulement en termes technologiques, mais aussi en termes de processus organisationnels. Comment se protéger tout en permettant aux entreprises de poursuivre leurs activités quotidiennes ?
Dans le cas de business email compromise, un simple appel téléphonique – un changement de processus – peut faire la différence entre attraper un criminel ou faire faillite.
Une autre possibilité est de réduire sa surface d’attaque, c’est-à-dire diminuer le nombre de services exposés, de systèmes et d’applications non protégés ou non […..]
Source:: Sécurité des terminaux : comment répondre aux menaces de plus en plus complexes
