Le contrôle des applications, garant de la sécurité du réseau 1ère partie

Sommaire

Introduction

La sécurité du réseau est une des plus grande préoccupation des entreprises d’aujourd’hui. Les programmes malveillants peuvent nuire considérablement à l’activité commerciale et la réputation de l’entreprise est souvent la première à souffrir. Les sociétés spécialisées dans la sécurité informatique proposent les solutions les plus diverses à un prix assez élevé et dans de nombreux cas, le déploiement de ces solutions entraîne une hausse sensible des dépenses au niveau de la maintenance et de la prise en charge du réseau. Mais les solutions traditionnelles sont loin de pouvoir toujours garantir une protection totale contre les menaces inconnues, surtout s’il s’agit d’attaques ciblées.

Cet article est consacré à une conception alternative de la protection des réseaux d’entreprise que nous avons baptisée Whitelist Security Approach. 

Cette conception s’inscrit dans la poursuite du développement des technologies de contrôle des applications (Application Control), de la mise en œuvre du mode Deny Default (blocage par défaut) et de la technologie innovante des listes blanches (liste blanche dynamique).

Nous considérons que la technologie WSA (Whitelist Security Approach) est un des éléments clés des dispositifs de protection des réseaux d’entreprise de demain. Les produits qui intègrent cette conception sont en mesure non seulement d’offrir une protection contre les menaces inconnues, mais également de proposer aux administrateurs système des réseaux et aux ingénieurs en sécurité informatique des outils développés de création de rapports et de contrôle des applications, y compris les applications tierces (non liées aux activités productrices) ainsi que les applications indésirables et sans licences.

Prérequis à la recherche de nouvelles conceptions de la sécurité

Le nombre de nouvelles applications ne cesse d’augmenter chaque année. Afin d’offrir une protection de qualité à leurs clients, les éditeurs de logiciels antivirus doivent pouvoir analyser un flux volumineux d’informations et traiter chaque jour des téraoctets de données en classant des dizaines de millions de fichiers. En matière de classification, chaque application appartient à une des trois catégories suivantes : malveillante connue, inoffensive connue et inconnue.

Un programme qu’un éditeur de logiciel antivirus ne parvient pas à classer sans aucun doute dans la catégorie inoffensif ou malveillant est considéré comme inconnu.

Une partie des programmes inconnus contient du code malveillant et ce sont précisément ces programmes qui sont les plus dangereux pour les utilisateurs et les plus problématiques en matière de détection. C’est de là qu’il faut s’attendre à voir surgir des menaces car les auteurs de virus perfectionnent leur technique sans cesse et de nouveaux programmes malveillants ne cessent de faire leur apparition.

Dans la majorité des cas, les éditeurs de logiciels antivirus sont en retard d’une guerre : l’introduction d’une nouvelle technologie par les auteurs de virus est suivie d’une nouvelle étape dans le développement des outils de protection. A l’heure actuelle, l’amélioration des niveaux de protection repose non seulement sur les technologies traditionnelles à base de signatures, mais également sur un arsenal complet de technologies de protection modernes. Il s’agit notamment des méthodes heuristiques proactives (aussi bien statiques que dynamiques) et des technologies dans le nuage qui non seulement garantissent une réaction quasi instantanée aux nouvelles menaces, mais qui confèrent aux outils traditionnels une plus grande puissance grâce à l’accès à l’infrastructure des services en ligne.

La conception traditionnelle de la sécurité repose sur le blocage des menaces connues, dont les modèles connus de comportement malveillant. Toutefois, le cas des chevaux de Troie Stuxnet, Duqu et Flame démontre que la protection traditionnelle offerte par les solutions commerciales est en réalité impuissante face à certains types de nouvelles menaces et aux attaques ciblées. C’est de là que vient la préoccupation grandissante pour la sécurité des réseaux en entreprise.

Dans la situation existante, les développeurs de logiciels dans le domaine de la sécurité informatique doivent trouver des solutions alternatives capables d’augmenter sensiblement le niveau de protection des réseaux des entreprises. La solution alternative présentée dans cet article, à savoir la Whitelist Security Approach, ne se contente pas de garantir un niveau de protection qui répond aux attentes d’aujourd’hui, mais elle permet également aux éditeurs de logiciels antivirus de commencer à imposer les règles du jeu au lieu de les subir.

La technologie Whitelist Security Approach repose non seulement sur nos connaissances des principes de développement et de diffusion des menaces contre les entreprises, mais également sur notre compréhension des nécessités économiques des entreprises et notre connaissance des outils de protection requis pour mettre en œuvre une solution fiable et équilibrée. La solution présentée ci-dessous se distingue par la simplicité de son intégration et de son administration, mais également, par son coût total de possession modeste et un niveau de protection informatique élevé.

La mise en œuvre de cette conception a requis non seulement une nouvelle interprétation du « paradigme de persécution » vieux de dix ans, mais elle a également marqué le début d’une toute nouvelle étape dans le développement des technologies de contrôle des applications (Application Control).

Composition des solutions modernes de sécurité.

Une protection informatique fiable requiert une démarche complexe.  Les solutions modernes de protection comptent plusieurs modules qui prennent un charge chacun des tâches particulières.


Modèle des solutions de protection modernes

On distingue dans ce modèle quatre groupes de modules principaux : les intercepteurs, les moteurs antivirus, le module de contrôle des applications et les services dans le nuage.

Nous allons aborder les fonctions de chacun de ces modules.

Les intercepteurs sont un peu comme des capteurs qui permettent aux logiciels antivirus de s’intégrer au processus de fonctionnement du système d’exploitation afin que les autres composants de la protection antivirus puissent analyser les objets et les événements au moment requis.

En guise d’intercepteurs, nous retrouvons :

  • Le pilote qui intercepte les requêtes des applications envoyées aux fichiers. Une fois qu’il a intercepté la requête adressée à un fichier, le logiciel antivirus peut rechercher la présence éventuelle de code malveillant dans ce fichier et peut vérifier si une telle opération est autorisée sur la base des règles de contrôle de l’activité des applications (HIPS). En présence de code malveillant ou de conflit avec les règles d’activité de l’application, le pilote peut interdire la requête adressée au fichier ou bloquer le lancement de l’application.
  • Le pilote réseaupermet de contrôler l’activité réseau de l’application (prévention des fuites de données via le réseau, blocage des attaques réseau, etc.)
  • Les modules externes, à savoir des bibliothèques (modules) intégrés à des applications très utilisées (clients de messagerie, navigateurs, client de messagerie instantanée, etc.) qui analysent les données transmises.

Les moteurs qui sont des modules de l’application prévus pour l’analyse des objets potentiellement malveillants. Les méthodes d’analyse peuvent être multiples et leurs noms et fonctions varient selon les éditeurs de logiciels antivirus.

Nous pouvons présenter les types principaux de moteur :

  • L’analyse statique permet de détecter les objets malveillants selon n’importe quelle caractéristique statique (le plus souvent en rapport avec la structure de fichiers d’un format déterminé).
  • L’analyse des URL détermine si l’URL à laquelle un utilisateur est sur le point d’accéder ou qui a été envoyée par courrier figure dans les bases d’URL malveillantes ou de phishing ou si elle appartient à une catégorie de sites déterminée (module « Contrôle Parental).
  • L’analyse heuristique est une technologie qui permet de détecter à l’aide d’une définition une multitude de fichiers malveillants, notamment des modifications jusque là inconnues d’un programme malveillant. Elle permet d’améliorer le taux de détection sans augmenter la taille des bases antivirus.
  • Les émulateurs sont des modules qui se chargent d’exécuter le code logiciel dans un environnement isolé afin d’en étudier le comportement.

Dans la majorité des logiciels antivirus commercialisés de nos jours, une des composantes de la protection des informations est le module de contrôle des applications (Application Control) qui exploite diverses technologies. Le contrôle des applications (Application) se base sur les événements des « intercepteurs ». Le traitement de ces événements est pris en charge par différents modules :

  • Module de défense proactive (PDM) Recherche et détection de modèles de comportement malveillant connus dans les applications (séquences, modèles) à l’aide de bases de modèles de comportements malveillants.
  • Système de prévention des intrusions sur l’hôte (HIPS) Analyse de chaque action potentiellement dangereuse de l’application (le plus souvent une action ponctuelle) selon une sélection de règles qui déterminent les actions autorisées pour cette application. Ces règles peuvent être différentes en fonction des catégories d’applications. Par exemple, les applications de confiance peuvent avoir carte blanche tandis que les applications inconnues ou suspectes peuvent être soumises à certaines restrictions.
  • Exploit protection. Prévu pour la protection contre les programmes malveillants qui exploitent les vulnérabilités des applications ou du système d’exploitation.

A l’heure actuelle, seules quelques sociétés comptent la protection contre les codes d’exploitation dans leur arsenal, mais nous estimons que ce niveau de protection est indispensable. Chez Kaspersky Lab, l’ensemble des technologies correspondant à ce module a été baptisé Automatic Exploit Prevention (AEP). Il repose sur l’analyse des codes d’exploitation ainsi que sur le contrôle spécial des applications qui sont attaquées plus souvent que d’autres par des individus malintentionnés. La technologie AEP empêche l’exécution des codes d’exploitation et le développement d’un comportement malveillant au cas où le code d’exploitation parviendrait malgré tout à être exécuté.

  • EAC (Enterprise Application Control). Le lancement d’applications de catégories ou de version différentes s’opère conformément à des règles.

L’interaction avec des services dans le nuage permet d’élargir les possibilités des moteurs et des technologies de contrôle de l’activité des applications. Le recours au nuage permet de dissimuler une partie de la logique de l’analyse (pour compliquer la tâche des individus malintentionnés qui souhaiteraient pratiquer la rétroconception et déjouer la logique de détection des programmes malveillants) et de réduire la taille des mises à jour des bases de définition et des modèles de comportement pour les utilisateurs/clients.

Application Control : outil clé pour le contrôle des applications dans les réseaux en entreprise

Dans la description des modules types ci-dessus, Application Control permet de réglementer en souplesse l’activité des applications à l’aide de stratégies HIPS proposées dès le départ par les éditeurs de solutions antivirus. Les applications, dans le contexte d’Application Control, sont scindées en quatre catégories : inoffensives, dangereuses, soumises à des restrictions strictes, soumises à des restrictions souples. Ces catégories permettent de définir le niveau de restrictions qui va être imposé à une application (stratégie HIPS). Pour chaque catégorie d’applications, il existe des règles qui vont définir l’accès des applications à divers ressources (fichiers, dossiers, registres, adresses réseau). Si une application doit pouvoir accéder par exemple à une ressource en particulier, Application Control vérifie si l’application dispose des autorisations correspondantes et réalise ensuite l’opération conformément aux règles définies.

Application Control permet également de consigner les informations relatives au lancement des applications. Ces informations peuvent être utiles dans le cadre de l’analyse des incidents et pour toute une série de vérifications. L’ingénieur en sécurité informatique ou l’administrateur qui dispose d’une telle fonctionnalité est en mesure d’obtenir rapidement et de manière structurée des réponses aux questions suivantes :

  • Quelles applications ont été lancées et quand exactement dans l’intervalle de temps défini ?
  • Sur quel ordinateur et sous quel compte utilisateur ont-elles été lancées ?
  • Depuis quand une application ou l’autre est-elle utilisée ?

L’efficacité selon laquelle les administrateurs d’un réseau peuvent mettre en place et soutenir différentes stratégies de sécurité dépend précisément des fonctionnalités (puissance et simplicité d’utilisation) de ce composant.

Equilibre entre liberté des actions et sécurité.

Au moment d’opter pour un modèle de sécurité informatique, il est primordial de trouver un équilibre raisonnable entre la liberté et la sécurité.

Pour les particuliers, il est important de pouvoir installer et utiliser n’importe quelle application sans restrictions. Et bien que le risque d’infection soit plus élevé que dans un contexte où les interdictions seraient plus strictes, le particulier manipule uniquement ses données personnelles et prend les décisions lui-même en tenant compte du risque de divulgation ou de perte de ces données.

Dans le cadre d’une entreprise, l’utilisateur manipule des informations qui ne lui appartiennent pas. Un contrôle plus strict signifie un risque moindre pour la sécurité des informations : fuite/perte de données capitales pour l’activité, violation des processus métier de la société et, en conséquence, pertes financières et réputation entachée.

Pour les sociétés, l’équilibre entre sécurité et liberté d’actions est en fait l’équilibre entre le risque potentiel et le confort d’utilisation pour les employés. Alors que dans les petites entreprises, la priorité est le confort des utilisateurs et, par conséquent, un faible niveau de restrictions pour ces derniers, la situation est différente dans les réseaux des grandes entreprises où la protection maximum arrive en tête des priorités. Les grandes sociétés déploient des stratégies de sécurité centralisées, à savoir des règles uniques appliquées à l’utilisation des ressources informatiques de l’entreprise. Le confort pour les utilisateurs finaux cède la place à l’unification des applications et à la transparence maximum des processus pour les administrateurs système.

Pour pouvoir s’acquitter de leurs tâches, les employés d’une société n’ont besoin en général que d’un ensemble déterminé d’applications. Limiter les applications utilisées à celles que l’administrateur désigne et bloquer toute les autres applications non désirables (applications non autorisées, non légitimes ou sans rapport avec l’activité) est un facteur extrêmement important pour un réseau d’entreprise, et encore plus pour des centres de commande, des infrastructures industrielles, des sociétés qui travaillent pour la Défense ou des appareils spécialisés comme des distributeurs automatiques de billet et autres terminaux).

Le mode Default Allow (autorisation par défaut) garantit le plus grand confort pour l’utilisateur tandis que la plus grande sécurité est garantie par le mode Default Deny (blocage par défaut).

Conception traditionnelle de la protection : Default Allow

Dans le cadre du mode Default Allow (autorisation par défaut) adopté traditionnellement dans les produits destinés aux particuliers et aux entreprises, l’utilisateur peut lancer n’importe quelle application, à l’exception des applications bloquées ou de celles dont le lancement est soumis à des restrictions. Ce paradigme repose sur le fait que les solutions proposées sur le marché sont orientées vers le confort maximum de l’utilisateur.

Il va de soi que la possibilité de pouvoir lancer n’importe quelle application requiert des technologies de détection de qualité. Dans le cadre du mode Default Allow, tous les modules de protection décrits ci-dessus interviennent dans l’analyse des programmes exécutables. Il est ainsi possible de détecter non seulement les menaces connues, mais également certaines menaces inconnues. La qualité de la détection dépend ici de l’éditeur de la solution antivirus.

Mais comme nous l’avons dit ci-dessus, les éditeurs de logiciels antivirus sont en retard d’une guerre sur les auteurs de virus, ce qui signifie qu’il existe toujours un programme malveillant qui n’est pas encore détectable par la protection antivirus. Dans le cadre du mode Default Allow, toute application qui n’a pas été ajoutée à la liste des applications dont le lancement est interdit peut être exécutée. Autrement dit, le mode Default Allow présente un risque particulier : un code dont l’exécution est autorisée peut contenir une menace qui n’a pas encore été identifiée.

Outre les programmes malveillants, il existe des applications légitimes mais indésirables pour un réseau en particulier. Une telle application n’est pas soumise à la stratégie de blocage, si bien qu’en mode Default Allow, elle peut être également lancée su le réseau de l’entreprise sans aucune restriction si elle ne fait pas l’objet d’une interdiction spéciale.

Voici deux exemples des dommages qu’une application qui n’est pas bloquée par les stratégies de sécurité d’une entreprise pourraient provoquer.

Un employé installe sur son ordinateur le client de messagerie instantanée Skype. Skype se distingue par le chiffrement des données transmises via les canaux de communication. Cela signifie que les systèmes DLP (prévention des pertes de données) ne sont pas en mesure de suivre le transfert d’informations confidentielles au-delà du périmètre protégé et d’identifier l’IP du destinataire de ces informations. De plus, les technologies antivirus n’interdisent pas l’utilisation de cette application car elle n’est pas malveillante. Un individu malveillant qui entrerait en contact avec un employé de la société pourrait obtenir via Skype des données confidentielles.

Voici un deuxième exemple. Les experts de Kaspersky Lab ont participé à une enquête sur un incident survenu dans une société. Aucun programme malveillant n’avait été détecté, mais un membre du service informatique avait installé un utilitaire légitime d’administration à distance sur plusieurs ordinateurs. Cet employé avait été licencié il y a plus d’an, mais personne n’avait connaissance de l’existence de cet utilitaire et encore moins du fait qu’il était toujours opérationnel et qu’il permettait à l’ex-employé d’accéder librement au réseau de l’entreprise et aux données.

Ainsi, alors qu’il garantit un confort maximal aux utilisateurs finaux, le mode Default Allow rend les réseaux en entreprise vulnérables aux menaces inconnues et aux applications indésirables. Qui plus est, le contrôle de toutes les applications exécutables requiert d’importantes ressources.

Toutefois, dans la majorité des cas, les employés d’une société sont tout à fait capables de réaliser leurs tâches à l’aide d’une sélection définie d’applications. Autrement dit, la solution logique serait la suivante : ajouter toutes les applications indispensables et inoffensives à une liste blanche et interdire par défaut l’exécution sur le réseau de toutes les autres applications. Ce mode de fonctionnement est le mode Default Deny

Mode Default Deny

A la différence du mode Default Allow, le mode Default Deny interdit l’exécution de toute application qui ne figure pas dans une liste blanche ou d’applications de confiance. Ainsi, aucune application inconnue ou indésirable ne peut être exécutée.

En mode Default Deny, le réseau de l’entreprise fonctionne dans un environnement logiciel isolé dans lequel seules les applications indispensables et suffisantes à l’exécution des tâches des employés sont autorisées.

Outre l’interdiction du lancement des applications malveillantes, sans fonction particulière, sans licence ou inconnue, ce mode contribue à la réduction des dépenses d’analyse des applications dont l’exécution serait autorisée dans le cadre du mode Default Allow.   Le mode Default Deny signifie également une réduction sensible des exigences au niveau des performances des systèmes de contrôle et du volume de ressources requis pour l’analyse des applications.  Ceci se traduit par une réduction de l’impact du système de protection sur le fonctionnement du réseau dans son ensemble.

Comme le montre l’illustration, ce qui distingue le mode Default Deny du mode Default Allow, c’est que le contrôle des applications en mode Default Deny s’opère au moment du lancement dans applications autorisées, et non pas au moment de l’exécution.  Ainsi, les risques au niveau de la sécurité des informations sont réduits dans les toutes premières étapes de la protection.

Avantages principaux du mode Default Deny :

  1. Réduction du risque de lancement d’une application malveillante ou indésirable :
    • Blocage des applications inconnues, y compris les nouveaux types de programmes malveillants, dont ceux utilisés dans le cadre d’attaques ciblées. Il en découle la garantie de la protection de l’environnement.
    • Possibilité de bloquer l’installation, le lancement et l’exécution d’applications illégitimes ou sans licence ou sans aucun rapport avec l’exécution des tâches de l’employé. Il s’agit notamment de clients de messagerie instantanée, de jeux, d’applications vulnérables ou d’utilitaires d’optimisation ou d’accélération du système. Le personnel peut ainsi se concentrer sur ses obligations et les indicateurs de productivité s’améliorent.
  2. Réduction des besoins en matière de performances des ressources requises pour l’analyse des applications. L’impact du système de sécurité sur le fonctionnement des systèmes contrôlés est ainsi réduit.
  3. Et dernier point, mais non des moindres : réduction des dépenses et réduction du coût total de maintenance du système de sécurité dans son ensemble : moins d’échecs, moins de plaintes et réduction de la charge de travail du service d’assistance technique.

Ainsi, l’adoption du concept alternatif intégré aux puissants outils de surveillance et de contrôle des applications peut sensiblement améliorer la protection informatique du réseau en entreprise tout en réduisant considérablement les dépenses consacrées à sa maintenance et au support. Comme nous l’avons déjà dit, il s’agit là d’un concept totalement nouveau et proactif qui, d’après les experts de Kaspersky Lab, pourrait très bien révolutionner dans un avenir proche les idées traditionnelles relatives à la sécurité des réseaux en entreprise.

Les auteurs souhaitent à remercier Vladislav Martynenko pour son aide dans la rédaction de la rubrique « Composition des solutions modernes de sécurité ».

2ème partie

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *