Divers conseils pour sécuriser votre parc informatique

03/05/2017

L’année dernière a été une année particulièrement active en matières d'attaques informatiques. Plusieurs failles visant les moteurs de recherche et les systèmes d’exploitation ont été constatées. 

Comment réagir pour empêcher de telles attaques ?

Les pare-feux nouvelle génération emploient des signatures et des techniques avec succès, mais cela n'est plus suffisant face aux attaques malveillantes les plus récentes. Pour faire face à ces attaques ciblées et aux menaces, l'ajout de sandboxes (environnements de tests) est essentiel pour créer un système de sécurité efficace.

Cependant, le véritable danger ne réside pas tant dans les "ransomwares" qui se sont déjà propagés sur Internet, mais plutôt dans les attaques ciblées. Elles consistent à employer du code inédit qui cible spécifiquement l'organisation visée, tandis que les failles "zero day" exploitent les vulnérabilités inconnues et pour lesquelles les fournisseurs doivent découvrir et publier des correctifs.

Ce sont ces attaques dont les organisations doivent le plus se soucier, car elles rencontrent bien plus de succès que leurs consoeurs plus anciennes. La question est donc : comment vous prémunir de ces attaques qui peuvent également venir de l'intérieur même de votre réseau ?

Fermer la porte au code malveillant

Représentez-vous votre réseau comme un château-fort. Le meilleur endroit pour arrêter une attaque reste la porte, car elle constitue un goulet d'étranglement où vous pouvez contrôler les personnes et les marchandises avant de les laisser entrer.

Placer une solution capable de détecter du code malveillant juste après votre pare-feu nouvelle génération, revient à placer un garde à la porte de votre château-fort : rien ne rentre sans qu'il le sache.

Comment est analysé le trafic entrant ?

Le trafic entrant est analysé à l'aide de plusieurs méthodes afin de détecter le code malveillant :

Signatures

Le trafic est analysé afin d'y détecter toutes les données dont la signature est répertoriée dans une base de données de signatures malveillantes. Si une signature figurant dans la base de données est détectée, le code est signalé comme malveillant

Techniques de comportement

À l'inverse des signatures, qui recherchent des entrées spécifiques dans une base de données, les analyses heuristiques utilisent des règles et des algorithmes pour détecter du code à visées malveillantes.

Sandboxes

Une sandbox permet d'activer le code normalement et de surveiller le comportement obtenu afin d'y déceler toute activité malveillante. On utilise pour cela un environnement spécial, la fameuse « sandbox », dans laquelle votre système ne risque rien. 

La combinaison de ces méthodes est plus efficace et offre une meilleure gestion des ressources, car les menaces les plus faciles à détecter sont ainsi repérées par les technologies classiques, qui sont plus rapides et moins consommatrices. Par conséquent, la sandbox permet de se focaliser sur le contenu qui demande un niveau d'analyse plus poussé.

Améliorer les signatures à l'aide de la sandbox

Ces signatures peuvent être utilisées pour mettre à jour des bases de données de signatures, ce qui améliore la vitesse et la précision du processus de détection pour l'avenir.

Les techniques d'analyse passives présentent malgré tous des insuffisances en matière de détection et de port