SecurityInsider
Le blog des experts sécurité Wavestone

Détection d’APT : mythe ou réalité ?



Aujourd’hui les grands comptes éprouvent encore de réelles difficultés à détecter et qualifier leurs incidents de sécurité. Dans ce contexte, est-il réaliste de vouloir détecter les APT (Advanced Persistent Threats) ? Le marché fournit-il des solutions crédibles ?


Les solutions existantes dépassées ?

Commençons par tuer un mythe : non, les antivirus actuels ne font pas de détection uniquement basée sur les signatures ! Toutes les solutions modernes effectuent également, de l’analyse statique de binaires, du blocage de menace basée sur du monitoring applicatif ou encore de l’échantillonnage afin de détecter des malwares de familles pré-identifiées. Certes cela n’est pas suffisant pour détecter une APT mais les discours commerciaux qui ventent les mérites d’une solution qui va plus loin que de l’analyse de signature doivent être raisonnés au regard des réelles possibilités des antivirus d’aujourd’hui.

Pour autant, ces solutions classiques ne sont pas capables de corréler les événements individuellement suspects afin de détecter ces attaques avancées.
Une nouvelle approche de détection est donc nécessaire et de nombreux éditeurs se sont positionnés sur le marché des solutions anti-APT. Il convient alors de distinguer deux types de solutions :
  • Celles qui insistent sur les « buzz word » bac à sable et virtualisation
  • Celles qui prétendent faire de la corrélation avancée

Si l’une comme l’autre représentent de réelles avancées, le chemin est encore long avant de lutter efficacement contre les APT.

 Des solutions d’avenir… pas encore totalement efficaces

La virtualisation ou le principe du bac à sable utilise généralement une copie virtualisée du système d’exploitation afin d’y exécuter le fichier potentiellement malveillant et d’étudier toutes les modifications apportées au système. Cette approche est séduisante car elle peut en théorie permettre de détecter tous types de logiciels malveillant (y compris ceux qui exploitent des failles 0 day). Pour autant, ces mécanismes sont assez facilement contournables en dotant le virus de capacité d’analyse afin de détecter s’il se trouve ou pas dans ce type d’environnement virtuel (log d’utilisation, pas de mouvement de souris, temps de retard à l’infection…). De manière générale, les dispositifs malveillants à des fins d’APT sont dotés de capacité de contournement des dispositifs de sécurité : lors d’une APT, l’attaquant évalue les dispositifs de sécurité afin de les contourner. Ces pourquoi, ces solutions ne peuvent pas être considérées comme fiables du point de vue de la lutte contre les APT.

En parallèle, une seconde offre s’est développée : la corrélation d’évènements. L’ambition est généralement assez simple : mettre en relation des évènements qui d’apparence non aucun rapport les uns avec les autres mais qui mis en relation révèlent une attaque. Cette gamme de nouvelles solutions est déjà riche, côté grand compte : SourceFire, Damballa, Fidelis XPS, FireEye, Fortinet, lastLine, Deep Discovery, Websense, etc. mais on voit émerger aussi des start-ups comme Cyphert ou Filetreks. Bien que les premiers retours d’expérience semblent positifs, la détermination de leur efficacité réelle reste difficile. Ces solutions allient recherche de menaces déjà connues et analyse fine d’évènements de programmes identifiés. Si ces solutions permettent effectivement de détecter des menaces qui passent sous le radar des mécanismes traditionnels, leur analyse demeure sur un périmètre limité ou sur des scénarii déjà identifiés.

Le Big Data comme réelle solution

L’avenir de ces solutions semble alors résider dans le Big Data avec sa capacité à détecter et corréler en temps réel l’ensemble des évènements du SI. Cela permettra enfin de détecter les signaux faibles liés aux APT et de s’affranchir des analyses prédictives et limitatives. À noter toutefois, qu’aujourd’hui les sociétés ont du mal à traiter correctement leurs incidents de sécurité et que ce type de solution représente une importante marche de maturité qu’il ne sera pas évident de franchir.


Gabriel AMIRAULT

3 commentaires:

  1. et IBM ;)
    http://www-03.ibm.com/software/products/en/trusteer-apex-adv-malware

    RépondreSupprimer
  2. Je vous invite à vous glisser pour quelques minutes dans la peau d'un DSI qui, la veille d'un lancement stratégique, doit faire face à une potentielle APT. Saurez-vous réagir correctement ?

    http://targetedattacks.trendmicro.com/

    RépondreSupprimer
  3. Solution Française (et oui) : www.i-guard.fr
    s'installe sur les OS de PC et de serveurs

    RépondreSupprimer