Go to content

Protéger ses Endpoint

Introduction

Avec l’augmentation drastique des attaques informatiques au cours des dernières années et plus particulièrement ces derniers mois dues à la crise sanitaire, les terminaux ou Endpoint sont devenus des cibles privilégiées par les pirates informatiques car ils constituent un point d’entrée idéal au sein des réseaux d’entreprises.

Un terminal est un dispositif informatique à distance qui communique avec un réseau auquel il est connecté. Les terminaux les plus courants sont les ordinateurs de bureau, les ordinateurs portables, les smartphones ou tablettes ainsi que les serveurs et les IoT.

La protection de tous les terminaux est donc plus que jamais critique au sein des entreprises et de nombreuses nouvelles solutions (Next-Gen AV, EDR, XDR …) sont maintenant disponibles pour les protéger intégralement.

 

Source : kaspersky.org

Les limites de l’antivirus traditionnel

Un antivirus traditionnel repose sur l’analyse par signature virale d’un fichier. L’antivirus va comparer la signature d’un fichier avec celles de sa base de données afin de déterminer si un fichier est malicieux ou non. A cette analyse par signature s’ajoute l’analyse heuristique qui permet à l’antivirus d’essayer d’interpréter le comportement d’un fichier et les actions qu’il réalise.

L’évolution des attaques informatiques est telle que désormais plus d’un tiers des attaques informatiques recensées en 2019 étaient de type « Fileless ». C’est-à-dire des attaques informatiques n’impliquant pas l’installation de programmes malicieux sur le terminal ciblé mais simplement le détournement d’un programme licite.

Selon Symantec, entre le premier semestre 2017 et le premier semestre 2018, l’usage malveillant de PowerShell avait augmenté de 661%. Si ce type d’attaque est devenu si populaire, c’est principalement car ces attaques permettent de contourner la protection des terminaux ne possédant qu’un Antivirus traditionnel. Effectivement le déclenchement d’un scan antivirus se produit lors de l’écriture d’un nouveau fichier sur le disque.

Or, ces attaques ne nécessitent pas l’installation de logiciels ou de fichiers et exploitent seulement des applications légitimes. C’est pourquoi ces attaques ne déclenchent aucun scan de la part des antivirus traditionnels. S’ajoute à cela les difficultés que rencontrent les éditeurs antivirus pour générer de nouvelles signatures face aux nouvelles souches toujours plus nombreuses. Chaque jour, l’Institut AV-TEST enregistre plus de 350 000 nouveaux programmes malveillants (malware) et applications potentiellement indésirables (PUA – Potentially Unwanted Application). Effectivement le temps qu’une signature soit créée, il faut que la menace soit reconnue, analysée puis transmise à tous les éditeurs d’antivirus pour être ajoutée à leur base de données.

Les antivirus traditionnels manquent également d’une fonctionnalité cruciale dans l’analyse et le traitement d’incidents de sécurité, celui de la corrélation. Les attaques sont analysées localement poste par poste et non globalement. Ainsi revenir sur les origines de l’attaque demande beaucoup trop de temps aux analystes. De plus, ces analyses et alertes induites par l’antivirus ne fournissent pas de contexte, il est alors difficile de remonter à la source des incidents, d’en identifier la cause et de réagir suffisamment rapidement.

Prenons l’exemple d’une infection par un programme malveillant dont la signature est connue des bases de données. Le scan antivirus se déclenchera alors que le fichier malicieux est déjà sur le pc, l’antivirus ne fera aucun lien entre les évènements précédents ou suivants l’apparition de ce fichier et ainsi il sera difficile de déterminer l’origine de l’attaque ainsi que les impacts sans avoir à analyser tous les logs du poste concernés. De plus si l’attaque se trouve être généralisée, il faudra investiguer chaque poste individuellement puisque l’antivirus ne fournira pas de corrélation entre les différents postes infectés.

L’antivirus traditionnel semble, de prime abord, être devenu complétement obsolète comme seul système de protection des terminaux. Il conserve cependant une utilité certaine puisqu’il n’est pas rare de constater des utilisations de programmes malveillants ou de failles datant de plusieurs années. Il permet néanmoins de bénéficier d’une première ligne de défense sur les terminaux mais reste insuffisant pour se protéger des nouveaux types d’attaques.

Les Nouvelles Solutions de Détection

Comme vu précédemment, les antivirus classiques ne suffisent plus à garantir une protection efficace contre les menaces informatiques d’aujourd’hui. De quelles solutions disposent les entreprises permettant une sécurisation efficace des terminaux dans leur SI ?

Next Generation Antivirus

Les Next-Generation Antivirus (NGAV), voués à remplacer les Antivirus traditionnels, se basent sur une approche totalement différente. Les NGAV, en plus d’intégrer les mêmes fonctionnalités qu’un antivirus classique, détectent et bloquent les menaces de manière pro-active avant même leur exécution sur le terminal ciblé. Ils se doivent également d’être faciles à déployer sur un large parc informatique, de consommer peu de ressources et de protéger les terminaux non connectés à Internet.

Une des évolutions majeures ce cette technologie est l’apport d’algorithmes de Machine Learning. Ces algorithmes permettent de détecter toute activité suspecte avant leur exécution. Basés sur les comportements habituels de l’utilisateur ainsi que sur plusieurs bases de données de TTP (Tactics, Techniques & Procedures), ces algorithmes sont capables de détecter les comportements malicieux ou inhabituels et d’agir en conséquence. De plus ne se basant plus uniquement sur les signatures des fichiers, ces antivirus sont capables de détecter les attaques dites « fileless » en se basant sur l’analyse comportementale liés aux programmes légitimes (PowerShell, Windows RDP…), mais également toute les variantes de malware déjà connus.

Ensuite, la protection offerte par ces antivirus fonctionnant aussi bien connectés que déconnectés puisqu’il n’y pas besoin, contrairement à un antivirus classique, de connexion à Internet pour mettre à jour la base de données de menaces. De plus les algorithmes de Machine Learning vont s’adapter aux comportements de chaque terminal et ainsi offrir une protection personnalisée selon les terminaux. Cette amélioration permet à la fois de palier à l’inertie induite par le temps d’ajout d’une signature malicieuse à la base de données des AV classiques, d’offrir une protection efficace pour tous les agents installés hors ligne et enfin de pouvoir automatiser toutes les actions de whitelistage et de blacklistage d’applications.

Cependant en dépit toutes ces nouvelles fonctionnalités, il serait utopiste de penser que les Next-Generation Antivirus peuvent bloquer 100% des menaces de manière automatique et sans intervention humaine. C’est pourquoi le NGAV n’est en général pas utilisé seul pour assurer la sécurité des terminaux. De plus le NGAV ne pallie pas à l’un des problèmes de ces prédécesseurs à savoir d’offrir une vue d’ensemble sur les menaces communes à plusieurs terminaux.

Endpoint Detection and Response

Les Endpoint Detection and Response ou EDR, sont devenus en moins d’une dizaine d’année les solutions phares de nombreux éditeurs de logiciels de sécurité. Ces solutions, souvent combinées avec un NGAV, permettent une analyse approfondie des menaces sur les terminaux.

Contrairement aux antivirus, les EDR facilitent les investigations des analystes. En effet, ils fournissent le contexte d’une attaque notamment via l’enrichissement des évènements (chronologie des évènements, contexte d’entreprise – service, utilisateur, localisation, processus exécuté, …). De plus les EDR centralisent l’ensemble des informations relatives aux menaces ayant lieu sur le périmètre. Cette centralisation permet notamment de corréler de manière transverse les évènements relatifs à l’ensemble des terminaux du parc informatique.

L’EDR s’inscrit donc plus dans une logique de Threat Hunting, embarquant souvent un NGAV en son sein. Il permet d’investiguer plus finement sur toutes les menaces qui n’auraient pas étés supprimées et/ou détectée par l’antivirus. En plus de ces capacités de Threat Hunting, l’EDR permet d’agir à distance directement sur les terminaux concernés en bloquant un processus, en investiguant (capture de la mémoire volatile, recherche d’IOC, …) ou bien en les isolants du système d’information si la menace le requière.

Selon plusieurs éditeurs de logiciels de sécurité, la solution la plus efficace pour protéger ses terminaux est de combiner un NGAV ainsi qu’un EDR. Le NGAV assurerait la partie préventive en supprimant un maximum de menaces. Quant ’à l’EDR, il dote les analystes de capacités d’investigation avancées sur les terminaux apportant de la visibilité sur un des maillons les plus faibles d’une entreprise, portes d’entrée de nombreuses attaques.

Conclusion

Les attaques informatiques de plus en plus nombreuses et de plus en plus sophistiquées nécessitent une attention grandissante de la part de quiconque souhaitant protéger son Système d’informations. Les Antivirus semblent à première vue être devenus obsolètes tant ils permettent seulement la détection des menaces connues présentes dans la base de données de l’éditeur. De plus ne fournissant aucun contexte quant à l’origine de l’infection, ils ne permettent pas de faciliter les investigations des analystes.

De ce constat sont nées plusieurs nouvelles solutions innovantes comme les NGAV et les EDR permettant de détecter les menaces nouvelles et dites « fileless ». Ces solutions fournissent également beaucoup d’informations facilitant la suppression complète des menaces par les analystes. Cependant les EDR et les NGAV ne sont pas les seules options viables pour protéger un SI, plus récemment les XDR (eXtended Detection and Response) ont vu le jour. Comme une version 2.0 des EDR, les XDR ne protègent pas seulement les endpoints mais se servent de plusieurs sources (serveurs mails, trafic réseau, cloud) afin d’opérer une détection plus efficace et plus fiable.